Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Hervé Hugueny

Chef des informations

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > Publicité > Publicité en ligne : la CNIL précise les règles à respecter pour les cookies tiers - Publicité

Publicité
/ Flash


29/05/2017


Publicité en ligne : la CNIL précise les règles à respecter pour les cookies tiers




 
En juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autre traceurs) au-delà des éditeurs de sites, notamment auprès des émetteurs tiers. Il s’agissait d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur, complexe, de la publicité en ligne. Ces contrôles ont permis à la Commission d’identifier deux situations distincte et de préciser les règles à respecter pour les cookies tiers.

Dans le premier cas, l’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte. Il doit alors être considéré comme le responsable de ce traitement (article 3 de la loi de 1978) et assumer l’ensemble des obligations découlant de la loi, notamment son article 32-II  : recueil du consentement préalable et informé, fourniture des moyens de s’opposer au dépôt des cookies concernés. Si le cookie utilisé provient du serveur d’un tiers, ce dernier peut être qualifié de sous-traitant, car il traite « des données à caractère personnel pour le compte» et selon les instructions de l’éditeur (article 35 de la loi).

Le second cas de figure identifié par la CNIL est celui dans lequel les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur. La situation est ici inversée : l’éditeur du site ne définit pas les modalités et objectifs d’exploitation des données collectées par les cookies, mais se limite à appeler les tiers « directs » qui vont déposer des cookies sur le terminal de l’internaute visitant son site. Ces tiers « directs » sont susceptibles par la suite d’appeler d’autres tiers avec lesquels l’éditeur n’a aucun lien direct. L’émetteur de cookies tiers décide de la finalité du traitement des données collectées, que ces données soient exploitées pour son propre compte ou pour vendre des services d’analyse ou de profilage auprès de clients et partenaires.

L’émetteur de cookies tiers doit ici être considéré comme responsable de ce traitement et, à ce titre, respecter l’ensemble des obligations prévues par la loi et notamment son article 32-II. A l’inverse, les éditeurs des sites ayant permis le dépôt de cookies doivent être qualifiés de sous-traitants, agissant pour le compte et sur instruction de l’émetteur de cookies tiers. La relation entre les éditeurs de site sous-traitant et l’émetteur de cookie doit être encadrée contractuellement de manière à garantir notamment le recueil d’un consentement préalable et informé des personnes spécifique au site visité, ainsi que la mise à disposition de moyens d’opposition effectif avant tout dépôt de cookies.

Pour une grande majorité de sites internet, les deux cas précités s’appliquent simultanément. Dès lors, la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies.

En conclusion, la CNIL estime que, dans tous les cas, les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes. En pratique, qu’ils soient responsable de traitement (cas numéro 1) ou sous-traitant (cas numéro 2) il leur appartient donc de mettre à leur disposition une information sur les groupes de cookies déposés et les moyens dont ils disposent pour s’y opposer. Toutefois, dans le cas numéro 2 et dans la mesure où l’éditeur doit adresser aux internautes l’information relative au traitement réalisé par un tiers, seul ce dernier peut voir sa responsabilité engagée si cette information est incomplète ou erronée.

Il est observé que le cadre réglementaire applicable est susceptible d’évoluer dans les mois à venir, avec le projet de Règlement "ePrivacy" , appelé à remplacer l’actuelle Directive 2002/58/ CE  "vie privée et communications électroniques" . La Commission espère pouvoir adopter ce règlement d'ici la fin 2017, pour une entrée en application en mai 2018.
29 mai 2017 - Légipresse N°350
762 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer de meilleurs services et de meilleures performances, des fonctionnalités de partage, des informations et des publicités adaptées à vos centres d’intérêts, et les statistiques de visites. Pour en savoir plus sur notre politique d'utilisation des cookies.
X Fermer ce message
Powered by Walabiz