18 Nov Cookies tiers / Coresponsabilité : Note d’analyse du GESTE
De nombreux sites internet comportent des fonctionnalités nécessitant l‘intégration de technologies fournies par des prestataires tiers (boutons de partage de réseaux sociaux, plugin d‘affichage de tweets, lecteurs vidéo...). Les éditeurs les utilisent tant pour enrichir les contenus éditoriaux (par exemple via le suivi de conversations sur
Twitter autour d‘un thème donné ou l‘affichage de vidéos) que pour analyser le trafic de leurs sites et/ou diffuser de la publicité.
Il convient en premier lieu d‘observer que les cookies sont indispensables au fonctionnement même du service mis en ligne par l‘éditeur dans ses diverses composantes. Les solutions d‘intégration de fonctionnalités (affichage de publicité sur les pages et intégration de modules de réseaux sociaux au sein même de certains articles) ne permettent en effet pas d‘afficher du contenu sans déposer de cookies. Privée de ce type de fonctionnalités, la page d‘accueil d‘un site média s‘en trouverait dès lors fortement appauvrie.
L‘article 5.3 de la Directive 2002/58/CE du 12 juillet 2002 conditionne le dépôt et la lecture de cookies à une information claire et complète de l‘utilisateur et la mise à disposition d‘un dispositif d‘opposition. Le G29 applique cette disposition à ceux qui placent des cookies et/ou récupèrent des informations à partir des cookies déjà stockés dans l‘équipement terminal de la personne concernée*. Dans de nombreux cas, les cookies sont déposés par des acteurs autres que l‘éditeur qui n‘en maîtrise pas la gestion. Ces acteurs peuvent être des partenaires liés à l‘éditeur via des conditions générales et/ou un contrat spécifique (fournisseur de réseau publicitaire, rés aux sociaux, agences média, fournisseur de liens commerciaux...).
Les acteurs de la publicité, en particulier ceux centrés sur le ciblage, utilisent une plateforme de RTB pour monétiser leurs espaces publicitaires. En revanche, lorsqu‘un éditeur commercialise des espaces publicitaires via une plateforme de Real Time Bidding (RTB), l‘affichage de publicités n‘entraîne pas la signature d‘un contrat spécifique avec chaque annonceur acquéreur. Seule l‘acceptation des Conditions Générales de la plateforme lie les différents acteurs de l‘écosystème du RTB entre eux. De surcroit, d‘autres intermédiaires peuvent intervenir dans la chaine de valeur, par exemple des régies pratiquant l‘achat pour revente. Dans la majorité des cas, l‘éditeur n‘a pas la connaissance préalable de l‘identité de l‘annonceur, dont les publicités seront diffusées, et ne maîtrise pas non plus les conditions de diffusion de la campagne s‘agissant des cookies déposés. En cas de manquement, l‘éditeur ne peut dès lors que réagir a posteriori en interrompant la diffusion d‘une campagne.
Dès lors que plusieurs acteurs sont susceptibles d‘intervenir dans le processus de dépôt/lecture d‘un cookie, le G29 analyse les faits selon une méthode inspirée de celle exprimée dans un avis 1/2010 sur les notions de responsable du traitement et de sous–traitant. Le G29 estime en particulier que la qualification de responsable du traitement « dépend de la discrétion dont bénéficie le responsable pour déterminer les finalités et de sa latitude dans la prise de décisions ». Le G29 estime en particulier que « des degrés différents de contrôle peuvent donner lieu à divers degrés de responsabilité, et la responsabilité «solidaire» ne peut certainement pas être présumée dans tous les cas ».
Vers une coresponsabilité distributive
La CNIL considère** que « lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (...), chacun d‘entre eux doit être considéré comme coresponsable (...)». Cependant, « dans la mesure où les éditeurs de site constituent souvent l‘unique point de contact des internautes et que le dépôt de Cookies de tiers est tributaire de la navigation sur leur site, il leur appartient de procéder, seuls ou conjointement avec leurs partenaires, à l’information préalable et au recueil du consentement ».
Dans le cas de cookies tiers déposés à l‘occasion du lancement d‘un lecteur vidéo, de l‘affichage de publicités par une régie, de l‘intégration d‘un module de partage ou de conversation sociale, l‘éditeur n‘a pas la maîtrise préalable des finalités d‘exploitation des cookies ni de leur gestion. Ceci vaut également pour les cookies de mesure d‘audience.
A titre d‘exemple, l‘éditeur n‘est potentiellement pas en mesure de supprimer l‘ensemble des cookies tiers passé un délai de 13 mois à compter de l‘accord préalable de l‘utilisateur. Chaque tiers fixe lui–même la « durée de vie » des cookies qu‘il dépose. De la même manière, si l‘utilisateur exprime son opposition à recevoir de nouveaux cookies, l‘éditeur ne peut exécuter ce choix directement. Il ne peut que renvoyer vers des dispositifs d‘opposition développés par les partenaires à l‘origine de la dépose des cookies.
Nous considérons par conséquent que l‘éditeur n‘a pas d‘autre choix que d‘organiser, par voie contractuelle avec ses prestataires, les modalités de respect des obligations légales dont chaque partie est tributaire.
Le G29 a interprété à plusieurs reprises l‘article 5.3 dans le sens d‘une coresponsabilité distributive. S‘agissant de cookies publicitaires, il a estimé que v l‘obligation de fournir les informations nécessaires et d‘obtenir le consentement des personnes concernées incombe en dernier ressort à la partie qui envoie et lit le cookie***. Dans la plupart des cas, il s‘agit du fournisseur de réseau publicitaire ». En 2012, le G29 a considéré que c‘est l‘exploitant du réseau social qui est tenu de demander l‘accord préalable de l‘utilisateur pour l‘utilisation de modules sociaux de pistage entraînant le dépôt de cookies ****.
Des difficultés opérationnelles fortes et la nécessité de prendre en compte un principe de bonne foi de l‘éditeur
L‘éditeur peut en effet être dans l‘incapacité d‘empêcher la dépose et l‘exploitation de cookies dans des conditions non conformes. C‘est pourquoi nous souhaitons qu‘il soit tenu compte de sa bonne foi dans ses efforts pour répartir par contrat la mise en oeuvre des obligations liées aux cookies.
L‘éditeur dépend en pratique des informations transmises par le prestataire concernant le fonctionnement de la technologie déployée, la typologie des cookies déposés, les finalités d‘exploitation. Sa relation avec les prestataires est par ailleurs souvent encadrée par des conditions générales standardisées sans pouvoir de négociation réel en raison d‘un rapport de force souvent déséquilibré. L‘éditeur est très rarement en position de force pour contraindre ses prestataires à signer une nouvelle répartition des obligations mettant en place une coresponsabilité.
Dans certains cas, les cookies permettant l‘affichage et la gestion des publicités ne sont pas directement déposés par les régies, avec lesquelles l‘éditeur a contractualisé, mais par des prestataires techniques. Ces acteurs proposent aux régies des plateformes techniques de gestion des campagnes publicitaires sur les sites de leurs éditeurs. Les éditeurs se retrouvent dès lors tributaires des pratiques des sous traitants de leurs régies avec des capacités de contrôle très limitées.
Les annonceurs peuvent en outre confier à des prestataires techniques l‘hébergement, la distribution, parfois le comptage des visualisations, des campagnes publicitaires. Ces prestataires peuvent être amenés à déposer des cookies publicitaires, sans que l‘éditeur ou même la régie n‘aient de contrôle dessus.
S‘agissant du cloud computing, la CNIL a précédemment tenu compte de ce type de situation. Elle a estimé dans une recommandation du 25 juin 2012 que « les clients ne peuvent pas réellement leur donner d‘instructions et ne sont pas en mesure de contrôler l‘effectivité des garanties de sécurité et de confidentialité apportées par les prestataires. Cette absence d‘instruction et de moyens de contrôle est due notamment à des offres standardisées, non modifiables par les clients, et à des
contrats d‘adhésion qui ne leur laissent aucune possibilité de négociation ». Sur cette base, elle a déterminé une grille de répartition des obligations des parties en présence.
Nous proposons les observations suivantes :
– Dans le cas de cookies tiers, l‘éditeur ne saurait être considéré comme seul responsable dès lors que les conditions d‘exploitation des cookies sont principalement voire exclusivement définies par les prestataires déposants.
– Nous déduisons de la position de la CNIL que constituant le principal point de contact des internautes, il appartient à l‘éditeur d‘organiser une répartition par contrat de la mise en oeuvre des obligations liées au dépôt et à la lecture de cookies. Il est à noter que de nombreux contrats existants, en particulier avec des fournisseurs de solutions technologiques et de partenaires de monétisation, ne comportent pas de clauses spécifiques à ce sujet. Nous demandons dans ce cadre de prendre en compte le fait que l‘audit de l‘ensemble des contrats liant l‘éditeur aux partenaires et l‘ajustement de ces textes nécessitent un temps d‘investigation et un coût significatif pour les éditeurs. A titre d‘exemple, un éditeur américain (Evidon) proposant un outil de surveillance des cookies tiers, basé sur la récolte de données de navigation d‘un panel d‘internaute, facture l‘accès aux données permettant d‘identifier les tiers déposant des cookies sur le site d‘un éditeur.
– Nous demandons à la CNIL de préciser les contours de la notion de coresponsabilité dans le sens d‘un régime de responsabilité distributive, limité au seul périmètre des obligations que chacun des acteurs a la charge de respecter. A titre d‘exemple, l‘éditeur devrait logiquement être tenu d‘informer l‘utilisateur de l‘exploitation de cookies sur son site et, concernant les cookies tiers, des moyens d‘opposition à sa disposition, notamment ceux que les prestataires devraient développer. Il est à noter que toutes les agences et les prestataires d‘adserving ne proposent à date pas ce type de dispositif.
– Nous recommandons également de tenir compte de la bonne foi de l‘éditeur, et notamment des conditions de contractualisation de ses relations avec ses prestataires dans la mise en oeuvre du régime de responsabilité conjointe en particulier en l‘absence de contrats ou dans l‘hypothèse où l‘éditeur ne serait pas en mesure de négocier, avec ses prestataires une répartition de la mise en oeuvre des obligations précitées (cas des contrats ou offres d‘adhésion)excluant toute responsabilité solidaire). En pareil cas, nous demandons au régulateur d‘évaluer en pratique le rôle joué par chaque intervenant dans la lecture et l‘exploitation des cookies, et d‘orienter le marché dans la détermination du périmètre des responsabilités de chacun des acteurs.
Nous proposons qu‘il soit tenu compte de la bonne foi de l‘éditeur dans les situations suivantes :
– Le prestataire est dans l‘incapacité d‘informer l‘éditeur des caractéristiques
okies déposés. Par exemple, l‘exploitant d‘une plateforme RTB jouant le rôle d‘un intermédiaire technique, les éditeurs se rendent compte qu‘il ne maîtrise pas nécessairement les conditions de dépose et d‘exploitation de cookies par
les annonceurs.
– Le prestataire refuse d‘informer l‘éditeur s‘agissant tant des conditions techniques que des finalités d‘exploitation des cookies déposés.
– Le prestataire refuse l‘insertion de clauses organisant une répartition contractuelle et impose ses conditions aux éditeurs via des conditions générales. Nous préconisons en pareil hypothèse que le périmètre des obligations et responsabilités de chaque partie soit déterminée à partir d‘une analyse des conditions réelles d‘exploitation des cookies.
––—–––––––—– * fG29, Avis 2/2010 sur la publicité comportementale en ligne, 22 juin 2010 ** Délibération no 2013–378 du 5 décembre 2013 portant adoptio recommandation relative aux Cookies et aux autres traceurs visés par l‘article 32–11 de la loi du 6 janvier 1978 *** Avis 2/2010 précité. **** Avis 04/2012 sur l‘exemption de l‘obligation de consentement pour certains cookies, 07 juin 2012