Par Jean Philippe Souyris et Aurélie Puig
Neuf associations professionnelles représentatives de l’écosystème de la communication et du marketing digital ont saisi le Conseil d’Etat afin qu’il se prononce sur la conformité au droit français et au droit européen de la délibération de la CNIL 2019-093 du 4 juillet 2019 sur les « cookies » et autres traceurs.
Dans ce contexte à forts enjeux pour les professionnels du secteur et pour la vie privée sur internet, cette décision n’est pas sans conséquences sur l’avenir de la navigation en ligne.
1. Retour sur la chronologie de l’encadrement des cookies
La quadrature du net le rappelle : le droit de l’Union Européenne interdit aux sites internet de déposer ou de lire des informations (tels que des cookies) sur nos appareils sans notre consentement (article 5§3 de la directive 2002/58/CE[1]). Ceci empêche que nous soyons tracés d’un site à l’autre afin d’établir des fiches comportementales à notre sujet.
Or plusieurs sites ne sont plus accessibles à partir du moment où nous refusons le traçage. Nous acceptons donc les cookies pour accéder au site, ce que la CNIL condamnait en estimant alors que le consentement n’était pas « libre ».
« Ce type de blocage nous force à donner notre accord. Pour accéder au site, nous devons « payer » avec notre vie privée, en acceptant malgré nous de révéler des informations parfois particulièrement intimes. Nos données personnelles deviennent ainsi une monnaie d’échange, faisant du droit à la vie privée un luxe uniquement accessible aux personnes qui peuvent se permettre de payer autrement [2]. » expliquait alors la Quadrature du net.
En attendant l’adoption d’un éventuel Règlement E-Privacy, la commission nationale informatique et libertés (CNIL) a adopté des lignes directrices relatives aux cookies et autres traceurs, en vue de mettre ses recommandations en cohérence avec les dispositions du RGPD. Ces lignes devaient être complétées au début de l’année 2020 par une recommandation visant à éclairer les opérateurs sur les modalités pratiques de recueil du consentement de l’internaute.
La CNIL avait ensuite prévu de laisser une période d’adaptation de 6 mois aux entreprises pour se mettre en conformité avec ces nouvelles recommandations, tout en focalisant ses contrôles sur le respect de sa recommandation de 2013.
Dans le contexte de la pandémie du Covid-19, la publication des recommandations définitives a été reportée à une date ultérieure « qui sera fixée en fonction de l’évolution de la situation ».
Le 4 mai 2020, le Comité européen de protection des données personnelles (CEPD), réunissant l’ensemble des autorités de protection des données européennes, publie à son tour des lignes directrices sur le consentement de l’internaute aux cookies, et plus précisément, sur la validité de celui-ci[3].
2. Les lignes directrices de la CNIL et du CEPD sur la validité du consentement aux cookies
Les lignes directrices adoptées par la CNIL le 4 juillet 2019 rappellent le droit applicable et ont pour objet de préciser les conditions dans lesquelles le RGPD renforce les droits des internautes en matière de ciblage publicitaire.
A ce titre, ces lignes directrices explicitent les règles du recueil du consentement des internautes aux cookies, en précisant que la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement et que les opérateurs qui exploitent des cookies doivent être en mesure de prouver qu’ils ont bien recueilli ce dernier.
Dans la pratique, ces interprétations/recommandations sur la validité du consentement reviennent à laisser la possibilité aux personnes de refuser les cookies aussi facilement que de les accepter ou simplement de ne pas faire de choix avant d’accéder au contenu.
Cette position est également confirmée par le Comité européen de la protection des données dans ses lignes directrices du 4 mai 2020 : « Pour que le consentement soit donné librement, l’accès aux services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur au dépôt de traceurs, ou à l’accès à des traceurs déjà enregistrés, dans le terminal de l’utilisateur » : il interdit donc les « murs de cookies » qui bloquent l’accès à un site sauf consentement global de l’internaute.
Neuf associations professionnelles du secteur de la publicité en ligne ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices. C’est cette position sur les « cookies walls » qui a été reprise par la CNIL et qui vient d’être censurée par le Conseil d’Etat.
3. La position du Conseil d’Etat sur les lignes directrices de la CNIL
Le conseil d’état a considéré que la CNIL ne pouvait pas interdire « les cookies walls », cette pratique consistant à bloquer l’accès à un site internet en cas de refus des cookies.
En effet, les lignes directrices font partie de ce que l’on appelle de la « soft law » (droit souple), c’est-à-dire des instruments qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques.
Par la décision du 19 juin 2020, le Conseil d’État juge que la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple » en interdisant par principe la pratique du cookie walls.
L’interdiction des murs des cookies provient d’une déduction faite par la CNIL sur l’obligation de recueillir le « consentement libre » de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD).
Sans se prononcer sur la pratique en elle-même, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue[4].
Le Conseil d’Etat confirme par ailleurs la légalité des autres points contestés des lignes directrices, notamment ceux concernant la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.
Cette décision ne remet donc pas en cause les principes généraux issus des lignes directrices ni le planning de contrôle et de transition pour les mois à venir en matière de cookies.
Les acteurs du secteur doivent donc analyser leurs pratiques actuelles pour identifier les éventuels manquements à la recommandation de 2013 et anticiper l’entrée en vigueur des futures recommandations de la CNIL en matière de collecte du consentement aux cookies et traceurs.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] Ce texte et sa transposition en droit français ont donné lieu à une recommandation de la CNIL en date du 5 décembre 2013 (Délibération n° 2013-378)
[2] Quadrature du Net sur le règlement e-privacy
[3] lignes directrices 05/2020 portant sur le consentement au sens du RGPD, du 4 mai 2020
[4] Décision contentieuse du 19 juin 2020 – Conseil d’Etat