La BrèveResponsabilité conjointe et cookies : quelles répercussions pour les éditeurs de site internet ?

19 avril 2019
logo_sticky
Responsabilité conjointe et cookies : quelles répercussions pour les éditeurs de site internet ?

Nombreux sont les éditeurs de sites internet ayant recours à des cookies tiers, que ce soit pour générer un suivi statistique sur le trafic d'un site, améliorer la visibilité d'une marque sur des moteurs de référencement payants, ou encore faire le lien vers des réseaux sociaux. Ces pratiques ne sont pas sans conséquences sur l'utilisation qui sont faites des données des internautes. C'est dans ce cadre que plusieurs décisions de justices sont ainsi intervenues, et vont intervenir prochainement.

LE DROIT POSITIF :

Au sens du Règlement Général sur la Protection des Données (ci-après "RGPD"), est responsable conjoint de traitement "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui conjointement détermine les finalités et les moyens du traitement". L'article 26 du RGPD fait obligation aux responsables conjoints de partager par un accord écrit les responsabilités sur les obligations relatives à la protection des données, notamment sur celles de l'information des personnes concernées et de l'exercice de leurs droits.

LES DECISIONS DE JUSTICE : 

La première décision a été ainsi rendue par la Cour de Justice de l'Union Européenne (ci-après "CJUE") le 5 juin 2018 dans l'affaire Wirtschaftsakademie (Aff. C-210/16). En l'occurence, la CJUE considère que l'administrateur d'une page "fan" sur Facebook était responsable conjoint avec le géant du net. L'administrateur d'une page "fan" peut obtenir des données statistiques sur la consultation de la page.  Bien que ces données soient anonymes,  la Cour considère que "Par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement". La création d'une page "fan" offre la possibilité à Facebook de placer des cookies. La Cour reconnait néanmoins que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. En tout état de cause, la réglementation n'exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées.

Sans reconnaître la qualité de responsable conjoint à un éditeur de site et les éditeurs tiers de cookies, un arrêt du Conseil d'Etat du 6 juin 2018 (10ème - 9ème chambres réunies, aff. n°412589), confirmant une décision de sanction de la CNIL, confirme l'obligation pour l'éditeur d'un site d'effectuer les "démarches auprès de ses partenaires afin qu'ils respectent une durée de conservation".

Exemples de mesures à mettre en œuvre

  • S'assurer du respect des principes fondamentaux (article 5 du RGPD), y compris en entreprenant des démarches auprès de ses partenaires et sous-traitants (Cf. CE, 6 juin 2018, n° 412589) : attention ce point est dans le programme de contrôle de la CNIL en 2019 ;
  • S'assurer du recueil du consentement des personnes concernées et organiser ses modalités de preuve (Article 6 et 7  du RGPD, article 24 du RGPD) : le règlement e-privacy qui n'a pas encore été adopté devrait apporter des réponses relatif à l'obligation de consentement ;
  • S'assurer de l'information des personnes concernées (article 13 et 14 du RGPD) ;
  • Prévoir une répartition des obligations notamment sur l'information des personnes concernées et l'exercice de leurs droits (article 26 du RGPD).

LA PORTEE :

Bien que la notion existait déjà sous l'empire de la directive 95/46/CE précédent le Règlement Général sur la Protection des Données (ci-après "RGPD"), ce dernier devrait favoriser une recrudescence des qualifications de responsabilité conjointe. L'étendue et les effets concrets de ce type de responsabilité ne sont pas complètement connus, et une incertitude pèse en ce domaine. En ce sens, il convient de prévenir les risques liés à la responsabilité conjointe.

La décision Wirtschaftsakademie indique la finalité de cette reconnaissance d’une responsabilité conjointe : en l'espèce, il s'agit "d'assurer une protection plus complète des droits dont disposent les personnes qui visitent une page fan". Une décision de la Cour de justice devait intervenir prochainement dans l'affaire dite "FashionID" (C-40/17) concernant le dépôt de cookies tiers sur un site. L'avocat général de la Cour dans cette affaire présente, dans ses conclusions, sa vision des choses : la responsabilité conjointe de l'éditeur du site devrait être limitée aux opérations de traitements pour lesquelles il détermine conjointement les finalités et les moyens avec l'éditeur du cookie. En l'occurence, les opérations de traitements en cause serait la  "collecte et la transmission" des données à l'éditeur de cookie tiers.

L'article 82.4 du RGPD instaure une responsabilité solidaire "Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d'un dommage causé par le traitement (...)". Ainsi, la personne concernée pourra demander la réparation de la totalité du dommage au responsable conjoint qu'il choisit d'assigner. Une solution pour encadrer la responsabilité conjointe serait de limiter la responsabilité des parties dans un contrat.

Il n'est pas assuré que les géants du net accepteront de négocier ...

Risques encourus

  • Manquement à l'obligation de prévoir un accord écrit entre responsables conjoints du RGPD : Jusqu'à 10 millions d'euros, ou 2% du Chiffres d'affaire annuel mondial (article 83.4 du RGPD) ;
  • Manquements aux principes de bases des traitements, à l'obligation d'information, ou au respect des droits : jusqu'à 20 millions d'euros et 4% du Chiffres d'affaire annuel mondial (article 84.5 du RGPD) ;
  • Responsabilité solidaire avec le responsable conjoint (article 82.4 du RGPD).

Les conseils d'ATALEX

  • Mettre en oeuvre un système de consentement et d'information de premier niveau pour les cookies (consent management platform) : bandeau ou surimpression pour informer du dépôt des cookies, finalités des cookies, possibilité de choix des cookies, moyen d'oppositions ;
  • Mettre en place une information de second niveau sur les cookies dans une charte de confidentialité ou une charte spécialement dédiée aux cookies incluant des moyens d'opposition alternatif au Consent management platform ;
  • Si possible, conclure un accord avec les partenaires tiers en limitant le champ de la responsabilité conjointe.