La société en charge du quotidien Le Figaro a été sanctionnée[1] par la CNIL[2], l’autorité de contrôle française, car le site « lefigaro.fr » utilisait un bon nombre de cookies à des fins publicitaires sans le consentement des visiteurs.

La loi[3], qui a été introduite en septembre 2020, est très claire : il n’est pas autorisé d’utiliser des cookies, ou d’autres moyens similaires, sans l’accord de l’utilisateur et sans l’avoir correctement informé au préalable. La CNIL a eu beau expliciter les règles et laisser une période de six mois pour permettre aux éditeurs de se mettre en conformité. Cela n’a servi à rien. La difficulté du changement n’est pas technique, mais économique. Les éditeurs de site Internet ne veulent pas faire évoluer leur modèle économique, qui repose grandement sur la vente des données personnelles de leurs visiteurs, sans aucune considération sur les conséquences que cela peut avoir sur les personnes ou sur notre société.

Certains pensent peut-être que c’est le prix à payer pour accéder à des informations gratuites, mais beaucoup d’éditeurs, dont Le Figaro, ne proposent pas la possibilité de supprimer tous ces traceurs de ses pages, même à ses abonnés payants :

« Le site [du Figaro] dispose d’une offre gratuite, permettant de rendre certains contenus accessibles à tout internaute. Il dispose également d’une offre payante, pour laquelle la société indique qu’elle permet à l’internaute d’accéder à l’ensemble des contenus publiés sur le site, de se connecter à son espace personnel et de bénéficier d’un "affichage publicitaire limité" »

Tous les visiteurs sont donc pistés et les données collectées sur les visiteurs sont ensuites partagées avec des centaines de sociétés qui ont pour objectif de collecter un maximum de données sur les internautes pour ensuite les profiler, afficher des publicités ciblées ou revendre ces données à d’autres organismes. À titre d’exemple, le site du Figaro indique, au moment de la publication de cet article, que les données personnelles des visiteurs sont partagées avec 727 « partenaires ».

Toutes ces entreprises accèdent aux machines et aux données des visiteurs du Figaro parce que le Figaro l’a décidé. Le journal reçoit une rémunération pour permettre à toutes ces sociétés d’espionner les 800 000 visiteurs quotidiens[4] du site. Le Figaro ne veut cependant pas être responsable de ce qu’il se passe sur son propre site Internet, sous prétexte que le traitement est effectué par des tiers :

« En défense, [Le Figaro] indique que l’ensemble des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site lefigaro.fr mentionnées dans le rapport et pour lesquelles le consentement ou le refus des utilisateurs n’a pas été pris en compte est le fait de tiers et ne relève pas de sa responsabilité. »

Oui, Le Figaro, vous êtes responsables de ce qu’il se passe sur votre site Internet, car vous seuls décidez du contenu de vos pages. Si vous permettez à d’autres entreprises d’inclure des éléments sur votre page, vous en prenez la responsabilité. Il n’est pas concevable de permettre à quiconque de réaliser des opérations sur son site sans en prendre la responsabilité, comme la CNIL l’a justement rappelé, en appuyant son argumentation, même si cela ne devrait pas être nécessaire, avec une délibération du Conseil d’État :

« Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de cookies mis en place pour son compte. Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le cookie, notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. »

Le Figaro tente néanmoins de se justifier en disant qu’ils ont essayé de comprendre et contrôler ce qu’il se passe sur leur propre site en déployant certains outils, qui fonctionnent uniquement pour certains internautes, sur certains navigateurs :

« [Le Figaro] indique ensuite avoir développé un outil de veille destiné à identifier les cookies déposés par des tiers en violation de la réglementation pour ensuite effectuer les démarches nécessaires auprès de ces derniers. Sur ce point, la société ajoute que cet outil de surveillance a été principalement conçu pour le navigateur Chrome, car son usage serait le plus répandu parmi ses utilisateurs. Elle indique que cet outil ne détecterait en revanche pas le dépôt de certains cookies sur le terminal des utilisateurs visitant le site au moyen du navigateur Firefox. »

Le site « lefigaro.fr » est composé de tellement d’éléments qu’eux-mêmes ne sont plus capables de maîtriser ce qu’il s’y passe. Un monstre est créé. Il est vivant et incontrôlable.

On ne peut pas accepter qu’un éditeur perde le contrôle de ce qu’il se passe sur son site Internet. Tous les éléments doivent être analysés continuellement et s’ils ne sont pas fiables, ils doivent être retirés. Si Le Figaro détecte que certains des éléments qu’elle intègre à ses pages ne respectent pas la réglementation ou les consignes qui sont données, Le Figaro doit les retirer ou en assumer les conséquences. Le Figaro a cependant préféré garder tous ces éléments sur son site, car cela représentait un gain d’argent significatif. Le Figaro n’est d’ailleurs pas le seul éditeur à recourir à ces pratiques. L’écrasante majorité des sites fait la même chose, car ils ont toujours fait comme ça, et personne ne les oblige à changer.

La CNIL n’a pas encore fait passer le message que la loi devait être respectée et ce n’est pas les 50 000 € d’amende infligés au Figaro qui changeront la situation. Ces 50 000 € représentent 0,0015 % des 350 millions d’euros[5] du chiffre d’affaires du journal du milliardaire Dassault. Un montant dérisoire. Cette somme représente probablement une part infime des montants engrangés par Le Figaro en acceptant d’intégrer ces trackers à son site. Le moins qu’on puisse dire est que cela n’incitera pas les autres éditeurs à se mettre en conformité, ni à renoncer à vendre les données personnelles de leurs visiteurs au plus offrant.

La CNIL doit se faire respecter et doit faire respecter les règles. La Commission a la responsabilité de protéger la vie privée des internautes français. Le RGPD[6], texte de référence encadrant les traitements de données à caractère personnel, lui demande même d’émettre des amendes « dissuasives et proportionnées[7] ». En quoi cette amende de 50 000 € était-elle dissuasive ou proportionnée ?

Les données collectées par tous ces éléments présents sur le site du Figaro sont désormais dans les mains de nombreuses sociétés, sans aucun moyen de remettre la main dessus. Les données ont pourtant été collectées illicitement et devraient être supprimées. La vérité est que les conséquences des actes du Figaro ne pourront jamais être réparées. Ces données ne pourront jamais être supprimées.

La CNIL ne devrait pas accepter cela et devrait sanctionner plus durement le fait que les données de millions de français ont été collectées illicitement. L’amende devrait être au moins équivalente aux sommes engrangées par la société grâce à ces trackers.

En sanctionnant aussi légèrement Le Figaro, la CNIL envoie un message catastrophique. Les éditeurs sont, eux, rassurés car ils savent que la fête continue.

Notes et références

  1. La CNIL a sanctionné Le Figaro pour avoir utilisé des cookies à des fins publicitaires sans le consentement des visiteurs dans la délibération SAN-2021-013 du du 27 juillet 2021. Voir « Le journal LE FIGARO sanctionné pour avoir utilisé des cookies publicitaires sans informer les internautes ».
  2. CNIL : Commission Nationale de l’Informatique et des Libertés.
  3. Le texte principal encadrant l’utilisant des cookies est l’article 82 de la Loi Informatique et Libertés. Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  4. Le site lefigaro.fr a eu 24,5 millions de visiteurs en moyenne par mois, en 2020 (source : CNIL, SAN-2021-013, 27 juillet 2021, Figaro).
  5. La société SOCIETE DU FIGARO a déclaré un chiffre d’affaires de 351 millions d’euros en 2016 (source : societe.com).
  6. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  7. Les amendes imposées par les autorités de contrôle comme la CNIL doivent être dissuasives et proportionnées (source : RGPD, article 83).