Le Conseil d’État a détaillé les obligations pesant sur les responsables du traitement de données consistant en l’utilisation de cookies.
L’article 32 de la loi du 6 janvier 1978 institue une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu’ils visitent un site.
Les utilisateurs doivent être ainsi informés de la finalité de ces cookies et les moyens dont ils disposent pour s’y opposer.
Leur consentement doit être recueilli avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services.
Mais « ne sont pas concernés par ces obligations les “cookies” qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. En revanche, le fait que certains “cookies” ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme “strictement nécessaires à la fourniture” du service de communication en ligne ».
L’utilisation de cookies « constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi », poursuit la haute juridiction.
Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de cette dernière. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de cookies mis en place pour son compte. Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement. Toutefois, ajoute le Conseil d’État, « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels “cookies” par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le “cookie”, notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation ».
Il relève enfin que, si l’instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d’une sanction pour méconnaissance de l’obligation de coopérer posée par l’article 21 de la loi de 1978.
CE 06 juin 2018
