Actus & medias > Actualités >

RGPD, Cookies et publicité en ligne

Vanessa Bouchara

Mise à jour le 16 janvier 2022

RGPD, Cookies et publicité en ligne

Alors que le Règlement général sur la protection des données (RGPD) fait régulièrement l’objet de discussion, tant dans la presse que dans la doctrine, un aspect essentiel du traitement des données personnelles est encore trop peu abordé et pourtant d’une importance majeure pour les entreprises : la problématique des Cookies et de la publicité en ligne.

Qu’est-ce qu’un Cookie ?

Un Cookie est traditionnellement défini comme une information déposée sur le disque dur d’un internaute par le serveur du site Internet qu’il visite. Le Cookie contient plusieurs données telles que le nom du serveur qui l’a déposé, un identifiant sous forme de numéro unique et une date d’expiration.

Il permet aux entreprises de suivre les activités et les mouvements des internautes naviguant sur le site Internet. Le Cookie permet, entre autre, d’utiliser les informations collectées pour profiler les visiteurs et ainsi leur proposer des produits ou services personnalisés lors de leur navigation sur Internet.

Toutefois, les Cookies qui permettent d’identifier, directement ou indirectement, une personne physique sont considérés comme constituant une activité de traitement de données à caractère personnel au sens du RGPD. Dès le 25 mai prochain, les entreprises devront donc disposer d’une base juridique sur laquelle fonder le traitement de ces données à caractère personnel.

Par défaut, la base légale du traitement de données à caractère personnel par la voie de Cookies sera sans nul doute celle du consentement des personnes concernées. Cependant, il conviendra de faire très attention à ce que ce consentement réponde aux conditions fixées par le nouveau règlement.

Le consentement devra donc être donné librement, spécifiquement, de manière éclairée et sans ambiguïté. Le dispositif de collecte du consentement devra être du type « Opt-in positif » : le consentement ne devra donc pas être déduit du silence, de cases pré-cochées ou de l’inactivité de l’individu comme cela est encore trop souvent le cas !

C’était notamment le cas des sites carrefour-banque.fr et carrefour.fr, tenu par les sociétés Carrefour Banque et Carrefour France. En effet, lors de contrôles effectués courant mai et juillet 2019 suites à de nombreuses plaintes, la CNIL a constaté que lorsqu’un utilisateur se connectait aux sites, des cookies publicitaires étaient automatiquement déposés sur le terminal, avant même que l’utilisateur ne donne son accord. C’est notamment au titre de ce manquement, entre autres, que la CNIL a alors condamné les sociétés Carrefour Banque et Carrefour France au paiement d’une amende de 3 millions d’euros (800 000 et 2 250 000 respectivement).

Par ailleurs, le consentement de la personne concernée devra être obtenu pour chaque activité de traitement. Le consentement ne peut donc pas être donné de manière générale pour n’importe quelle activité de traitement.

De plus, les personnes concernées devront pouvoir retirer facilement leur consentement quand ils le souhaiteront.

Pour rester en conformité avec le RGPD sur ce point, les entreprises devront au choix :

Il apparait donc clair que le consentement des personnes concernées par des opérations de traitement de données dans le cadre de Cookies sera plus difficile à obtenir sous l’empire du RGPD.

Une éventuelle solution : « l’intérêt légitime » 

La solution à cette nouvelle problématique pourrait se trouver dans la notion encore très trouble de traitement de données à caractère personnel « aux fins d’intérêts légitimes poursuivis par le responsable de traitement ». Cette notion pourrait permettant au responsable de traitement de passer outre le consentement des personnes concernées.

Selon le RGPD, il peut y avoir un intérêt légitime lorsqu’il « existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service ».

A titre d’exemple, peuvent être considérés comme légitimes les traitements visant à garantir la sécurité du réseau et des informations, ou visant améliorer la gestion administrative interne au sein de l’entreprise.

En outre, le RGPD reconnait expressément que des traitements effectués à des fins de prospection commerciale peuvent être considérés comme « étant réalisés pour répondre à un intérêt légitime », mais en pratique cela dépendra de la mise en balance des intérêts.

En effet, cette base légale est subordonnée à la condition que l’intérêt poursuivi ne méconnaisse pas les droits et intérêts des personnes concernées.

Ainsi, afin de pouvoir bénéficier de cette base légale, les entreprises doivent tout d’abord faire une pondération entre leurs propres intérêts légitimes et les intérêts ou libertés et droits fondamentaux des personnes concernées, y compris les atteintes qui pourraient découler du traitement. Comme l’avait exposé l’avis du 9 avril 2014 (Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE), la question peut se poser le plus fréquemment dans certains contextes, comme :

  • Dans les médias ou les arts, où la liberté d’expression ou d’information est en jeu ;
  • Dans le cadre du commerce, pour des traitements à des fins prospection commerciale ;
  • Au sein de l’entreprise, concernant la surveillance des employés à des fins de sécurité ou de gestion interne ;
  • De manière générale, les traitements à finalité historique, scientifique, statistique ou de recherche.

Le caractère légitime de l’intérêt poursuivi dépend donc de l’analyse des intérêts présents, de la nature des traitements, des atteintes probables aux droits de la personne concernée, ainsi que des garanties supplémentaires éventuellement mises en œuvre par l’entreprise.

Là où les intérêts de la personne concernée prévalent, l’entreprise doit recourir à d’autres bases légales pour justifier le traitement de données personnelles, laquelle est, le plus souvent, d’obtenir le consentement préalable des personnes concernées.

Par ailleurs, selon l’avis 06/2014 du Groupe de Travail « Article 29 », pour être considéré comme légitime, l’intérêt poursuivi par l’entreprise doit :

  • Être licite au regard du droit ;
  • Constituer un intérêt réel et présent, à savoir non-hypothétique ;
  • Être formulé en termes suffisamment clairs pour « permettre l’application du critère de mise en balance avec l’intérêt et les droits fondamentaux de la personne concernée».

Enfin, comme l’expose la CNIL (L’intérêt légitime : comment fonder un traitement sur cette base légal ? – 02 décembre 2019, CNIL), l’entreprise qui poursuit des traitements de données personnelles doit également vérifier que celui-ci « permet effectivement d’atteindre l’objectif poursuivi, et non, en réalité, d’autres objectifs » et « s’assurer qu’il n’existe pas de moyen moins intrusif pour la vie privé d’atteindre cet objectif ».

Pour conclure, même si l’article 6, paragraphe 1 f) du règlement semble être une solution à la problématique du consentement, l’intérêt légitime n’est pas si facile à mettre en œuvre, et encore moins à prédire. Son application en pratique reste floue, le règlement n’ayant pas réellement défini la notion, et la jurisprudence ne l’ayant pas encore particulièrement étayé.

Ainsi, il convient donc de rester particulièrement attentif aux évolutions que prend cette notion d’intérêt légitime au fur et à mesure des applications jurisprudentielles.

Actus récentes

La disponibilité du signe

Mise à jour le 07/01/2021

Pour être déposé à titre de marque, le signe choisi doit, en plus d’être licite et distinctif, être disponible(…)

Dans quelles circonstances un concurrent peut-il utiliser de manière licite la marque d’un tiers sur Internet ?

Mise à jour le 16/12/2021

La marque possède le pouvoir de fédérer une clientèle. De manière impulsive, instinctive, irréfléchie. Parfois, aveugle(…)

L’usage de photographies de tiers sans autorisation

Mise à jour le 24/12/2021

Les photographies sont considérées, selon l’article L.112-2 9° du Code de la propriété intellectuelle comme étant des œuvres de l’esprit.(…)

L’utilisation du produit d’un tiers dans une publicité : l’appréciation du caractère accessoire par les Tribunaux.

Mise à jour le 23/12/2021

Il arrive fréquemment que les annonceurs utilisent dans leurs publicités des produits de sociétés tierces qui sont des créations protégées au titre des droits d’auteurs(…)