Cookies, RGPD : la SOCIETE DU FIGARO écope d'une sanction de 50 000 € le 27 juillet 2021
Le Groupe Figaro est un emblématique groupe français comptant +600 collaborateurs. Son activité est diversifiée dans les médias print et digitaux et les services (publicités, abonnements numériques, annonces classées, e-commerce et e-services). Il édite notamment Le Figaro, premier quotidien généraliste national, diffusé chaque jour à plus de 313 876 exemplaires. Et réalise un chiffre d’affaires de 550 millions d’euros (exercice 2018).
Le 27 juillet 2021, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une sanction financière de 50 000 euros à l’encontre de la SOCIETE DU FIGARO pour avoir placé des cookies à finalité publicitaire à partir du site lefigaro.fr sans autorisation préalable des internautes, ce qui constitue une violation au RGPD (Délibération n°SAN-2021-013 du 27 juillet 2021).
A l'origine : le dépôt d'une plainte contre la société
Le 11 août 2018, un internaute du site lefigaro.fr constate dès son arrivée sur le site, le dépôt de traceurs sur son terminal, et ce avant toute action de sa part et sans recueil de son consentement. Il dépose une plainte auprès de la CNIL.
Cette plainte a engendré cinq contrôles en ligne de la CNIL, notamment entre 2020 et 2021, afin d’apprécier la conformité du site lefigaro.fr avec les dispositions de la Loi Informatique et Libertés et du RGPD en termes de cookies et autres traceurs.
Les principaux manquements
La formation restreinte de la CNIL a relevé plusieurs négligences importantes fondées principalement sur l’article 82 de la Loi Informatique et Libertés :
- Cookies tiers : des cookies publicitaires étaient déposés par des partenaires de la société sur les terminaux des utilisateurs, à l’arrivée sur le site web et avant toute action de leur part ;
- Consentement des internautes : celui-ci n’était pas recueilli avant le dépôt des cookies publicitaires ;
- Défaillance dans le dispositif de refus de déposer des cookies : en effet, les opérations de dépôt et/ou de lecture des informations à finalité publicitaire se poursuivaient après l’expression du refus par l’utilisateur.
Cookies tiers et obligations de moyens
L’entreprise qui édite un site internet déposant des cookies tiers a une obligation de moyens relative à la gestion conforme de ces traceurs. La récente décision de la CNIL (21/07/2021) a élargi cette responsabilité aux partenaires de l’entreprise qui émettent ces traceurs par l'intermédiaire de son site internet. La vigilance est donc de mise.
L’entreprise éditrice de site internet qui dépose des cookies tiers, en sa qualité de Responsable de Traitement au sens du RGPD, est responsable. Elle est dans l’obligation d’apporter à la CNIL ou à tout contradicteur (le RGPD autorise des actions de groupe de plaignants en réparation de dommages) des informations et des explications relatives aux moyens qu’elle aura mis en oeuvre en vue :
- de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France ;
- et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
Cette décision qui clarifie la chaîne des responsabilités et entérine le régime des co-responsabilités des partenaires de l’entreprise, rappelle par ailleurs, la doctrine de base de la CNIL sur les cookies remontant à 2013 (Délibération 2013-378 du 5 décembre 2013) et avec laquelle la CNIL est en ligne en 2021.
Site internet, Cookies et RGPD : points d'attention et bons réflexes pour un usage conforme
Visionnez l'intégralité de la capsule conçue par Alcees et découvrez comment appliquer les responsabilités et les obligations légales de l'éditeur de site internet ayant recours à des cookies tiers :
- En matière d'information de l'utilisateur
- En matière de collecte d'un consentement valable
Le cabinet Alcees se tient à votre disposition pour vous informer et vous conseiller dans votre démarche de mise et/ou maintien en conformité avec le RGPD, et notamment sur l’optimisation de votre politique de gestion des cookies.