Dans un arrêt en date du 6 juin 2018, le Conseil d’Etat a confirmé une décision de la CNIL, qui avait prononcé une sanction pécuniaire à l’endroit d’un éditeur de site internet. Il était notamment reproché à ce dernier de ne pas avoir respecté l’obligation d’information aux personnes dont les données sont collectées et de ne pas avoir défini de durée de conservation des données.
C’est à l’occasion d’une mission de contrôle auprès de la société éditrice du site internet d’un journal en ligne que la CNIL a constaté des manquements aux règles en vigueur. Il s’agissait notamment d’un défaut d’information sur les finalités du traitement des cookies installés sur le site et de l’absence de définition d’une durée de conservation des données. La présidente de la CNIL avait alors mis en demeure la société de procéder aux mises aux normes prescrites dans un délai de trois mois. Ce délai écoulé et sans changement constaté, la CNIL a prononcé une sanction, qui était contestée devant le Conseil d’Etat.
Le Conseil d’Etat a alors estimé que les dispositions de la loi informatique et libertés instituent une obligation d’information claire et complète des utilisateurs d’internet sur le dépôt de témoins de connexion (« cookies ») sur les ordinateurs à l’occasion de la visite d’un site internet. Il en découle que les utilisateurs doivent être parfaitement informés sur la finalité de ces cookies et sur les moyens dont ils disposent pour s’opposer à leur dépôt. En outre, le recueil du consentement des utilisateurs est obligatoire avant tout dépôt de cookies sur un ordinateur, exception faite des cookies essentiels au fonctionnement technique du site.
En outre, la CNIL avait mis en demeure l’éditeur de définir et faire respecter une durée de conservation des données proportionnée à la finalité du traitement et, présentement, qui ne soit pas supérieure à treize mois pour les cookies déposés à l’occasion de la visite du site. Ayant constaté que l’éditeur n’avait pu apporter la preuve qu’il avait effectué les démarches auprès de ses partenaires pour qu’ils respectent cette obligation, la formation restreinte de la CNIL avait décidé de sanctionner l’éditeur sur ce fondement.
Cet arrêt, certes relatif à des manquements antérieurs à l’entrée en vigueur du RGPD, vient ainsi rappeler la rigueur avec laquelle le Conseil d’Etat entend appliquer les règles relatives au traitement des données personnelles et sanctionner les manquements. Il est à noter que le passage à la logique « accountability », qui prévaut dans le nouveau cadre juridique, induira nécessairement une rigueur supplémentaire dans l’application des règles par les autorités de contrôle et les juridictions, de sorte que les responsables de traitements doivent renforcer leur vigilance.
Plus encore, il apporte une illustration supplémentaire de la volonté de la formation restreinte de la CNIL et du Conseil d’Etat d’avoir une approche stricte de la notion de durée de conservation proportionnée à la finalité du traitement.
En conséquent, le présent arrêt du Conseil d’Etat constitue une piqure de rappel utile aux responsables de traitement, qui doivent rester particulièrement vigilants quant à l’application des nouvelles règles.