Gestion de fichiers clients, commentaires excessifs, cookies publicitaires

Ou le rappel des dispositions de la loi du 6 janvier 1978

A propos de la décision 2015-063 de la CNIL 1./ Le 5 décembre 2013, la CNIL adoptait une délibération n° 2013-378 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978. Par la suite, la CNIL a procédé à des contrôles sur des sites internet aux fins d’évaluer le respect de cette dernière et a pu constater que plusieurs éditeurs n’étaient pas en conformité d’une part, avec les dispositions relatives à la mise en place de cookies sur leurs sites et d’autre part au regard du traitement de manière générale des données à caractère personnel. Tel est le cas de la société BOULANGER qui a été mise en demeure le 26 juin 2015 par la CNIL de se conformer aux dispositions de la loi du 6 janvier 1978. La motivation de cette décision est fondée sur deux arguments principaux : un traitement inadéquat et excessif des données à caractère personnel des clients de la société BOULANGER, une collecte de données par le biais de cookies sans le consentement des internautes visés.

2./ Tout d’abord, et si la société BOULANGER est sanctionnée, c’est au regard du non-respect des règles de traitement des données à caractère personnel. En effet, cette dernière n’est pas en infraction avec les procédures de déclaration des traitements opérées. En revanche, le contenu des fichiers de données qu’elle traitait ne s’est pas révélé en adéquation avec les dispositions de la loi du 6 janvier 1978. L’étude des fichiers clients de la société BOULANGER a permis de mettre en avant la présence de « commentaires non pertinents concernant les clients de la société » tels que « le client est chiant, fort accent africain, la cliente est une grosse connasse qui se croit tout permis… ». La CNIL a considéré que le traitement des données relatives à ses clients par la société BOULANGER ne respectait pas les dispositions de l’article 6.3° de la loi du 6 janvier 1978 et particulièrement celles relatives à l’adéquation, la pertinence et l’absence de caractère excessif des données collectées au regard des finalités du traitement. Rappelons l’article 6.3° : « Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; » En effet, le responsable de traitement ne peut collecter des données qui seraient sans rapport avec les finalités du traitement ou en nombre nettement supérieur par rapport au traitement envisagé. L’insertion des commentaires par la société BOULANGER était dès lors excessive et inadéquate par rapport au traitement d’un fichier de clientèle.

3./ Ensuite, et en rapport avec sa délibération relative aux cookies, la CNIL a constaté que si l’internaute était effectivement informé de la mise en place de cookies publicitaires sur le site internet de la société BOULANGER (bandeau d’information), il n’était toutefois pas en mesure de donner son consentement à la collecte de données. En outre, la durée de vie des cookies était excessive par rapport aux recommandations de la CNIL. En effet, « le dépôt des cookies dans l’équipement terminal de communications électroniques de l’internaute s’opère dès la connexion au site internet avant toute action de la part de l’internaute tendant à poursuivre sa navigation sur le site » et certains cookies avaient une durée de vie de plus de 15 ans.

4./ Cette décision permet de rappeler les conditions de collecte des données à caractère personnel par le biais de cookies sur un site internet et l’insuffisance d’un simple bandeau d’information à cet effet. En premier lieu, « le terme de cookies est à prendre au sens large et couvre l'ensemble des traceurs déposés et ou lus, par exemple, lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile » (délibération CNIL n° 2013-378 du 5 décembre 2013). En second lieu, la collecte de données par la mise en œuvre de traceurs nécessite de distinguer les cookies nécessitant un consentement de l’internaute (relatifs notamment à des opérations de publicité) et ceux qui en sont dispensés (cookies fonctionnels) (article 32 II de la loi du 6 janvier 1978). Dans ce cadre, si le cookie a pour finalité de mettre en œuvre des opérations de publicité, comme pour la société BOULANGER, le consentement de l’internaute est indispensable avant toute collecte d’information. Le responsable de traitement doit l’informer, aux fins de recueil de son consentement, de la finalité des cookies mis en place, de leur durée de vie dans son terminal (maximum 13 mois) et de la possibilité de s’opposer à leur mise en œuvre. Dans ces conditions, la CNIL met en demeure la société BOULANGER d’obtenir le consentement de l’internaute quant à la mise en place de ces cookies, et de ne pas déposer des cookies dont la durée de vie est supérieure à 13 mois.