Livv
Décisions

CE, 9e et 10e ch. réunies, 6 juin 2018, n° 412589

CONSEIL D'ÉTAT

Arrêt

COMPOSITION DE LA JURIDICTION

Rapporteur :

M. Hoynck

Rapporteur public :

Mme Bretonneau

Avocats :

SCP Gadiou, Chevallier

CE n° 412589

6 juin 2018

LE CONSEIL : -Vu la procédure suivante : - Par un recours sommaire et un mémoire complémentaire, enregistrés les 18 juillet et 18 octobre 2017 au secrétariat du contentieux du Conseil d'Etat, la société Editions Croque Futur demande au Conseil d'Etat : 1°) à titre principal, d'annuler la délibération n° SAN-2017-007 du 18 mai 2017 par laquelle la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a prononcé une sanction pécuniaire à son encontre d'un montant de 25 000 euros en application des articles 45 et suivants de la loi du 6 janvier 1978 modifiée ; 2°) à titre subsidiaire, d'en réduire le montant ; 3°) de mettre à la charge de la CNIL une somme de 3000 euros au titre de l'article L. 761-1 du code de justice administrative ; Vu les autres pièces du dossier ; Vu : - la directive n° 2002/58/CE du 12 juillet 2002 ; - la loi n° 78-17 du 6 janvier 1978 ; - le code de justice administrative ; Après avoir entendu en séance publique : - le rapport de M. Stéphane Hoynck, maître des requêtes, - les conclusions de Mme Aurélie Bretonneau, rapporteur public ; La parole ayant été donnée, avant et après les conclusions, à la SCP Gadiou, Chevallier, avocat de la société Editions Croque Futur ;

Considérant ce qui suit :

1. Il résulte de l'instruction que la Commission nationale de l'informatique et des libertés (CNIL) a diligenté le 27 novembre 2014 une mission de contrôle auprès de la société Editions Croque Futur, qui édite le site " www.challenges.fr ". Une délégation de la CNIL a procédé à des constatations en ligne les 28 novembre 2014 et 2 juin 2015. Plusieurs manquements aux dispositions de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ayant été constatés à 1'occasion de ce contrôle, la présidente de la CNIL a, par une décision du 3 juin 2016, mis en demeure la société de se conformer, sous un délai de trois mois, à ces dispositions. A la suite de la réponse écrite de la société indiquant que le développement du site " www.challenges.fr " dépendait des moyens techniques du journal Nouvel observateur et annonçant qu'un état des mesures prises pour se conformer à la mise en demeure serait adressé avant l'expiration du délai de trois mois, et en l'absence de la réponse annoncée, un courrier de relance a été adressé à la société postérieurement à l'expiration du délai de mise en demeure. Aucune suite n'ayant été donnée à cette relance, la présidente de la CNIL a engagé une procédure de sanction. Par une délibération du 18 mai 2017, la formation restreinte de la CNIL a infligé à la société Editions Croque Futur une sanction pécuniaire de 25 000 euros, qu'elle a décidé de ne pas rendre publique.

2. Aux termes de l'article 45 de la loi du 6 janvier 1978, dans sa version applicable à l'espèce : " Lorsque le responsable d'un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu'il fixe...[ Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui est adressée], la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes : 1° Une sanction pécuniaire, dans les conditions prévues à l'article 47, (...) ; 2° Une injonction de cesser le traitement, (...) ". La délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL précise en son article 59 : " [Les décisions de mises en demeure] caractérisent les manquements reprochés au responsable de traitement et précisent le délai imparti à celui-ci pour se mettre en conformité. Elles indiquent les conséquences pour le responsable du non-respect de la mise en demeure ".

3. Il résulte de ces dispositions que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée. Il incombe en principe à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments lui permettant d'apprécier si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu pour ce faire. S'il est toujours loisible à la CNIL de faire usage de ses pouvoirs d'instruction, elle n'est jamais tenue de procéder à un nouveau contrôle afin d'apprécier l'existence de manquements à la date d'expiration du délai fixé par la mise en demeure. Il s'ensuit qu'une procédure disciplinaire peut être légalement engagée au seul motif qu'à cette date, la personne mise en cause n'a transmis aucun élément suffisant permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dans une telle hypothèse, si l'instruction contradictoire de la procédure disciplinaire fait apparaître que la personne poursuivie avait remédié aux manquements constatés dans la mise en demeure, dans le délai qui lui était imparti, cette circonstance ne fait pas obstacle au prononcé d'une sanction pour méconnaissance de l'obligation de coopérer avec la CNIL qui est posée à l'article 21 de la loi du 6 janvier 1978, aux termes duquel : " Les ministres, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche. ". Il résulte de ce qui précède que le moyen tiré de l'irrégularité de la procédure à raison de l'absence d'un nouveau contrôle de la CNIL postérieurement à l'expiration du délai fixé par la mise en demeure et préalablement à la sanction ne peut qu'être écarté.

Sur le manquement à l'obligation d'information par le responsable de traitement :

4. Aux termes du I de l'article 32 de la loi du 6 janvier 1978, dans sa version applicable à la date de la mise en demeure du 3 juin 2016 : " I.-La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l'a été au préalable, par le responsable du traitement ou son représentant : 1° De l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ; 2° De la finalité poursuivie par le traitement auquel les données sont destinées ; 3° Du caractère obligatoire ou facultatif des réponses ; 4° Des conséquences éventuelles, à son égard, d'un défaut de réponse ; 5° Des destinataires ou catégories de destinataires des données ; 6° Des droits qu'elle tient des dispositions de la section 2 du présent chapitre ; 7° Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne. Lorsque de telles données sont recueillies par voie de questionnaires, ceux-ci doivent porter mention des prescriptions figurant aux 1°, 2°, 3° et 6°. "

5. Il résulte de l'instruction qu'alors que la société avait été mise en demeure d'inscrire sur les formulaires permettant de créer un compte sur le site internet " www.challenges.fr " l'intégralité des mentions d'information obligatoires prévues par le I de l'article 32 précité, les éléments fournis dans le cadre de l'instruction disciplinaire ne portent que sur l'information relative aux droits d'opposition, d'accès et de rectification à laquelle renvoie le 6° de l'article cité ci-dessus. Il s'ensuit que la formation restreinte de la CNIL ne s'est pas fondée, pour estimer qu'il n'avait pas été entièrement remédié au manquement à l'obligation d'information, sur des faits matériellement inexacts.

Sur le manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion (" cookies ") sur le terminal des utilisateurs :

6. Aux termes du II de l'article 32 de la loi du 6 janvier 1978, dans sa version applicable à la date de la mise en demeure du 3 juin 2016 : " II. - Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; - des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : - soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; - soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. ".

7. Ces dispositions, éclairées par les objectifs de la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (" cookies ") qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site, ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal. Elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces " cookies " et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de " cookies " sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les " cookies " qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, contrairement à ce que soutient la société, le fait que certains " cookies " ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme " strictement nécessaires à la fourniture " du service de communication en ligne.

8. En premier lieu, alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences dès le mois de juin 2016, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de " cookies ", il résulte de l'instruction que les éléments portés à la connaissance des utilisateurs du site " www.challenges.fr " ne leur permettaient ni de différencier clairement les catégories de " cookies " susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la CNIL a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de " cookies " et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion.

9. En second lieu, contrairement à ce que soutient la société requérante, la formation restreinte ne s'est pas fondée sur un défaut de caractère préalable à tout dépôt de " cookie " du recueil du consentement de l'utilisateur ni ne lui a fait grief de ne pas avoir bloqué des " cookies " essentiels au fonctionnement de son site. Il suit de là que les moyens reprochant à la décision litigieuse d'avoir retenu de tels manquements ne peuvent qu'être écartés.

Sur le manquement à l'obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement :

10. Aux termes de l'article 6 de la loi du 6 janvier 1978, un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : " [...] 5 ° elles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ".

11. L'utilisation de " cookies " répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 constitue un traitement de données qui doit respecter les prescriptions de l'article 6 précité. Lorsque des " cookies " sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de " cookies " mis en place pour son compte. Les autres tiers qui déposent des " cookies " à l'occasion de la visite du site d'un éditeur doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et l'utilisation de tels " cookies " par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le " cookie ", notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l'éditeur de site dans une telle hypothèse, figurent celle de s'assurer auprès de ses partenaires qu'ils n'émettent pas, par l'intermédiaire de son site, des " cookies " qui ne respectent pas la règlementation applicable en France et celle d'effectuer toute démarche utile auprès d'eux pour mettre fin à des manquements.

12. Il résulte de l'instruction que la société n'a pas donné suite à la mise en demeure de définir et de respecter une durée de conservation des données qui ne soit pas supérieure à treize mois pour les " cookies " déposés à l'occasion de la visite du site qu'elle édite. En ce qui concerne les " cookies " déposés par des tiers, il résulte de l'instruction que ses allégations selon lesquelles elle aurait effectué des démarches auprès de ses partenaires afin qu'ils respectent une durée de conservation ne sont étayées d'aucun élément. Il s'ensuit que c'est à bon droit et sans méconnaître le principe de la responsabilité personnelle que la formation restreinte de la CNIL a estimé qu'il n'avait pas été remédié au manquement à l'obligation de définir et respecter une durée de conservation des données proportionnée à la finalité du traitement.

Sur le manquement à l'obligation de répondre aux demandes de la CNIL :

13. Ainsi qu'il a été dit au point 3, il découle de l'article 21 de la loi du 6 janvier 1978 une obligation de coopération, qui implique que les personnes mises en demeure par la CNIL lui communiquent, au plus tard à l'expiration du délai qui leur a été fixé, tous les éléments lui permettant d'apprécier si et dans quelle mesure il a été remédié aux manquements constatés. Dès lors qu'il résulte de l'instruction et qu'il n'est pas contesté que la société Editions Croque Futur n'a pas fourni de tels éléments dans le délai de trois mois qui lui avait été assigné, c'est à bon droit que la formation restreinte de la CNIL a estimé que le manquement à l'obligation de coopérer était caractérisé, sans incidence sur ce point étant la circonstance que le responsable de traitement ferait appel à un prestataire technique.

Sur le montant de la sanction :

14. Aux termes de l'article 47 de la loi du 6 janvier 1978 : " Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de la CNIL prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission ".

15. Eu égard à la nature, à la gravité et à la persistance des manquements constatés, la formation restreinte la CNIL n'a pas infligé à la société une sanction disproportionnée en prononçant à son encontre une sanction pécuniaire d'un montant de 25 000 euros.

16. Il résulte de tout de ce qui précède que la société Editions Croque Futur n'est pas fondée à demander l'annulation de la décision du 18 mai 2017, qui est suffisamment motivée. Sa requête doit donc être rejetée, y compris ses conclusions présentées au titre de l'article L. 761-1 du code de justice administrative.

DECIDE :

Article 1er : La requête de la société Editions Croque Futur est rejetée.

Article 2 : La présente décision sera notifiée à la société Editions Croque Futur et à la Commission nationale de l'informatique et des libertés.