Skip to content
Avocat Nantes La Roche sur Yon Paris

Cookies tiers : mais qui est responsable du traitement de vos données personnelles ?

Avocat rgpdLes cookies sont des fichiers informatiques profondément enfouis dans votre ordinateur par les serveurs gérant les sites WEB que vous visitez. Ils contiennent un ensemble de données relatives à votre activité sur ces sites. Ils peuvent notamment mémoriser votre identifiant ou votre mot de passe afin de les renseigner automatiquement lors de votre prochaine connexion, garder en mémoire vos favoris, ect. Les cookies sont également utilisés par les publicitaires afin d’avoir des informations sur vos centres d’intérêt et pouvoir, plus tard, vous proposer une publicité ciblée.

Ainsi, les cookies stockent un ensemble d’informations qui peuvent être qualifiées de données personnelles. De ce fait, les utilisateurs de cookies se doivent de respecter la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette dernière opère une distinction de régime entre les responsables de traitement, dont la responsabilité et les obligations sont particulièrement étendues, et les simples sous traitants. Qualifier correctement le rôle de chacun des intervenants à une opération de traitement de données personnelles est donc primordial pour pouvoir déterminer l’étendue de leurs diligences respectives.

Cette question de qualification se pose notamment dans le cadre de l’utilisation de cookies tiers. Ce sont des cookies installés, non par l’éditeur du site WEB visité, mais par des tiers. Deux entités distinctes participent alors à des opérations de traitement de données personnelles. Il est donc important de pouvoir déterminer la qualité de chacun de ces intervenants. C’est ce qu’a précisé la CNIL le 23 mai dernier. Elle distingue trois hypothèses :

  •  Dans un premier temps, elle envisage le cas où des cookies tiers sont installés sur un site internet par un émetteur tiers mais pour le compte de l’éditeur de ce site. Les données sont alors récoltées et exploitées par ce dernier. La CNIL considère logiquement que, dans cette hypothèse, la qualification de responsable de traitement, revient à l’éditeur du site et que c’est donc à ce dernier de veiller au respect de la réglementation sur le traitement des données personnelles.
  •  Dans un second temps, la CNIL envisage le cas où les cookies sont installés sur un site internet par un émetteur tiers mais pour son propre compte et non pour celui de l’éditeur du site. Cette hypothèse correspond concrètement à celle où des régies de publicité vont placer des cookies sur différentes pages internet afin de pouvoir cibler la publicité qu’ils passeront ensuite sur le réseau de sites qu’ils auront ainsi créés. Dans ce genre de situation, la CNIL considère que le responsable de traitement n’est plus l’éditeur du site mais bien l’émetteur puisque c’est ce dernier qui collecte et exploite les informations sur les internautes.
  • Enfin, la CNIL envisage l’hypothèse où des cookies tiers sont utilisés à la fois par l’éditeur du site internet où ils sont déposés et par l’émetteur tiers. Les données ainsi récoltés sont exploités par ces deux entités. Pour la CNIL, il faudra donc les considérer toutes deux comme des responsables de traitement.

Ainsi, la qualité avec laquelle les éditeurs de site internet et les émetteurs tiers agissent est susceptible de varier. Il est donc important de bien différencier ces trois hypothèses afin de déterminer avec précision l’étendue de leurs responsabilités et obligations réciproques. Cependant, en tout état de cause, la CNIL considère qu’il appartient toujours à l’éditeur de site internet d’informer les utilisateurs sur la présence de cookies et ce quelque soit sa qualité.

A lire aussi...