La société en charge du quotidien Le Figaro a été sanctionnée1 par la CNIL2, l’organisme de contrôle français, car le site lefigaro.fr contenait un bon nombre de cookies utilisés à des fins publicitaires, sans le consentement des visiteurs.

La loi3, qui a été introduite en septembre 2020, est pourtant claire : il n’est pas autorisé d’utiliser des cookies, ou d’autres moyens similaires, sans l’accord de l’utilisateur.

La CNIL a eu beau laisser une période de six mois pour permettre aux éditeurs de se mettre en conformité. Cela n’a servi à rien. La difficulté du changement n’est pas technique, mais économique. Les éditeurs de site Internet ne veulent pas faire évoluer leur modèle économique, qui repose grandement sur la vente des données personnelles de leurs visiteurs, sans aucune considération sur les conséquences que cela peut avoir sur les personnes ou sur notre société.

Certains pensent peut-être que c’est le prix à payer pour accéder à des informations gratuites, mais beaucoup d’éditeurs, dont le Figaro, ne proposent pas la possibilité de supprimer tous ces trackers de ses pages, même à ses abonnés payants :

« Le site [du Figaro] dispose d’une offre gratuite, permettant de rendre certains contenus accessibles à tout internaute. Il dispose également d’une offre payante, pour laquelle la société indique qu’elle permet à l’internaute d’accéder à l’ensemble des contenus publiés sur le site, de se connecter à son espace personnel et de bénéficier d’un "affichage publicitaire limité" »

Tous les visiteurs sont donc pistés, et pas seulement sur le site du Figaro, mais sur tous les sites qui utilisent ces mêmes trackers, fournis par des sociétés qui ont pour objectif de collecter un maximum de données sur les visiteurs pour ensuite les profiler, afficher des publicités ciblées ou revendre ces données à d’autres organismes.

Ces centaines de trackers4 sont inclus dans les pages du site lefigaro.fr, parce que le Figaro l’a décidé. La société reçoit une rémunération pour inclure ces éléments dans ses pages et permettre à toutes ces sociétés d’espionner les 800 000 visiteurs quotidiens5 du site.

Le Figaro ne veut cependant pas être responsable de ce qu’il se passe sur son propre site Internet, sous prétexte que le traitement n’est pas effectué par eux, mais par des tiers :

« En défense, [Le Figaro] indique que l’ensemble des opérations de lecture et / ou d’écriture d’informations dans le terminal des utilisateurs visitant le site lefigaro.fr mentionnées dans le rapport et pour lesquelles le consentement ou le refus des utilisateurs n’a pas été pris en compte est le fait de tiers et ne relève pas de sa responsabilité. »

Oui, Le Figaro, vous êtes responsables de ce qu’il se passe sur votre site Internet, car vous seuls décidez du contenu de vos pages. Si vous permettez à d’autres entreprises d’inclure des éléments sur votre page, vous en prenez la responsabilité. Il n’est pas concevable de permettre à quiconque de réaliser des opérations sur son site sans en prendre la responsabilité, comme la CNIL l’a justement rappelé à la société, en appuyant son argumentation avec une délibération du Conseil d’État :

« Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de cookies mis en place pour son compte. Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement. Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le cookie, notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. »

Le Figaro tente néanmoins de se justifier en disant qu’ils ont essayé de comprendre et contrôler ce qu’il se passe sur leur propre site en déployant certains outils, qui fonctionnent uniquement pour certains internautes, sur certains navigateurs :

« [Le Figaro] indique ensuite avoir développé un outil de veille destiné à identifier les cookies déposés par des tiers en violation de la réglementation pour ensuite effectuer les démarches nécessaires auprès de ces derniers. Sur ce point, la société ajoute que cet outil de surveillance a été principalement conçu pour le navigateur Chrome, car son usage serait le plus répandu parmi ses utilisateurs. Elle indique que cet outil ne détecterait en revanche pas le dépôt de certains cookies sur le terminal des utilisateurs visitant le site au moyen du navigateur Firefox. »

Le site lefigaro.fr est donc composé de tellement d’éléments qu’eux-mêmes ne sont plus capables de savoir ce qu’il s’y passe. Un monstre est créé. Il est vivant et incontrôlable.

On ne peut pas accepter que l’éditeur perde le contrôle de ce qu’il se passe sur son site Internet. Tous les éléments doivent être analysés continuellement et s’ils ne sont pas fiables, ils doivent être retirés. Si le Figaro détecte que certains des éléments qu’elle intègre à ses pages ne respectent pas la réglementation ou les consignes qui sont données, Le Figaro doit les retirer ou en assumer les conséquences. Le Figaro a cependant préféré garder tous ces trackers sur son site, car cela représentait un gain d’argent significatif.

Le Figaro n’est d’ailleurs de loin pas le seul éditeur à avoir recours à ces pratiques. L’écrasante majorité des sites font la même chose, car ils ont toujours fait comme ça, et personne ne les oblige à changer. La CNIL n’a pas encore fait passer le message que la loi devait être respectée et ce n’est pas les 50 000 € d’amende infligés au Figaro qui changeront la situation.

Ces 50 000 € représentent 0,0015 % des 350 millions d’euros6 de chiffre d’affaires du journal du milliardaire Dassault. Un montant dérisoire. Cette somme représente probablement une part infime des montants engrangés par le Figaro en acceptant d’intégrer ces trackers à son site.

Le moins qu’on puisse dire est que cela n’incitera pas les autres éditeurs à se mettre en conformité, ni à renoncer à vendre les données personnelles de leurs visiteurs au plus offrant.

La CNIL doit se faire respecter et doit faire respecter les règles. La Commission a la responsabilité de protéger la vie privée des internautes français. Le RGPD7, texte de référence encadrant les traitements de données à caractère personnel, lui demande même d’émettre des amendes « dissuasives et proportionnées8 ». En quoi cette amende était-elle dissuasive ou proportionnée ?

Les données collectées par tous ces trackers présent sur le site du Figaro sont désormais dans les mains de nombreuses sociétés, sans aucun moyen de remettre la main dessus. Les données ont pourtant été collectées illégalement et devraient être supprimées. La vérité est que les conséquences des actes du Figaro ne pourront jamais être réparées. Ces données ne pourront jamais être supprimées.

La CNIL ne devrait pas accepter cela et devrait sanctionner plus durement le fait que les données de millions de français ont été collectées illégalement. L’amende devrait être au moins équivalente aux sommes engrangées par la société grâce à ces trackers.

En sanctionnant aussi légèrement le Figaro, la CNIL envoie un message catastrophique. Les éditeurs sont, eux, rassurés car ils savent que la fête continue.

Notes et références

  1. La CNIL a sanctionné le Figaro pour avoir utilisé des cookies à des fins publicitaires sans le consentement des visiteurs. Voir « Délibération de la CNIL contre Le Figaro du 27 juillet 2021 (SAN-2021-013) ».
  2. CNIL : Commission Nationale de l’Informatique et des Libertés.
  3. Le texte principal encadrant l’utilisant des cookies est l’Article 82 de la Loi Informatique et Libertés. Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  4. La bannière de consentement du site lefigaro.fr indique que les données sont partagées avec 727 partenaires.
  5. Le site lefigaro.fr a eu 24,5 millions de visiteurs en moyenne par mois, en 2020 (source : délibération de la CNIL).
  6. Le chiffre d’affaires du Figaro est 351 millions d’euros en 2016 (source : Societe.com).
  7. RGPD : Règlement Général de Protection des Données.
  8. Les amendes imposées par les autorités de contrôle comme la CNIL doivent être dissuasives et proportionnées (source : Article 83 du RGPD).