« Cookiegate » : après la décision du Conseil d’État, où en sommes-nous ?

Cookies – « Cookie walls » – « Cookiegate » : De quoi parle-t-on ?

Il s’agit des cookies que la plupart d’entre nous acceptons mécaniquement parce que le bandeau barre la vue du site Internet. Ils sont destinés à suivre la navigation de l’internaute et à lui faciliter la visite mais, surtout, ils permettent aux éditeurs de proposer des publicités ciblées.

Le dépôt de cookies est un traitement de données personnelles pour lequel les éditeurs de sites doivent recueillir un consentement de l’internaute, clair, informé, spécifique et… libre.

Les éditeurs, en particulier de sites gratuits, considèrent les cookies comme indispensables à leur modèle économique, alors que l’association La Quadrature du Net les dénonce comme étant de la « surveillance publicitaire ».

L’expression « cookie walls » désigne le fait, pour un site internet ou une application mobile, de refuser d’afficher son contenu quand l’internaute n’accepte pas le dépôt de cookies.

C’est cette pratique que la CNIL a condamnée dans ses lignes directrices de juillet 2019 (ici) en se fondant sur l’avis du CEPD (Comité européen de la Protection des Données). L’idée est que si la conséquence du refus de cookies par l’internaute est le refus d’accès au contenu du site, le consentement donné manque singulièrement de liberté.

Enfin, le « Cookiegate », c’est la fronde que les éditeurs de sites Internet et professionnels des médias, de la publicité et du commerce en ligne, opposent à l’interdiction des cookie walls, au point d’avoir saisi le Conseil d’État aux fins d’annulation des lignes directrices de la CNIL.

 

Que dit le Conseil d’État dans sa décision du 19 juin 2020 ?

Il confirme l’essentiel des lignes directrices de la CNIL sur les points relatifs aux cookies et autres traceurs de connexion, mais il invalide spécifiquement la disposition prohibant de façon générale et absolue la pratique des « cookie walls ».

 

Cookies et traceurs : confirmation de la position de la CNIL

Dans les lignes directrices adoptées le 4 juillet 2019 – relatives à l’article 82 de la Loi « Informatiques et Libertés » qui transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (dite « ePrivacy ») – la CNIL est venue renforcer les exigences en matière de validité du consentement et a formulé des recommandations qui sont confirmées par le Conseil d’État.

 

1/ Renforcement de l’exigence du consentement : acte positif, spécifique et indépendant pour chaque finalité

La simple poursuite de la navigation sur un site Internet ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. Il est nécessaire de mettre en place une action positive de l’internaute pour qu’il exprime son consentement.

Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités poursuivies par le traitement de données. Cette information claire, complète et préalable, doit inclure notamment, l’identité du ou des responsables de traitement, ainsi que de la liste des destinataires ou des catégories de destinataires de ces données.

En ce sens, une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs, doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement.

Dans cette lignée, le Conseil d’État, par une seconde décision du 19 juin 2020, rejette le recours dirigé contre la sanction de 50 millions d’euros infligée à Google par la CNIL (Conseil d’État, 19 juin 2020, Sanction infligée à Google par la CNIL). Le Conseil estime que le géant n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Il juge par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.

 

2/ Preuve et retrait du consentement, durée des cookies

Le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l’utilisateur.

Les utilisateurs doivent pouvoir aussi facilement refuser ou retirer leur consentement que le donner.

Les cookies et autres traceurs ne doivent pas avoir une durée de vie excédant 13 mois et les informations collectées par l’intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à 25 mois.

Les utilisateurs doivent être informés de l’existence et de la finalité des cookies et autres traceurs non soumis au consentement préalable.

 

L’annulation de la disposition relative aux « cookie walls »

Les requérantes ont reproché à la CNIL de faire une lecture erronée du RGPD. Pour elles, le visionnage d’annonces publicitaires est la contrepartie de l’accès à un contenu gratuit, ce qui doit autoriser les sites Internet à refuser d’afficher tout contenu en l’absence de consentement de l’internaute au dépôt de traceurs.

 

Qu’a répondu le Conseil d’État ?

Il importe d’être précis. Le Conseil d’État a reproché à la CNIL d’avoir tiré de la seule exigence d’un consentement libre, posée par le RGPD, une règle selon laquelle « la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookie walls » :

« En déduisant pareille interdiction générale et absolue, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité. »

Le Conseil d’État condamne ainsi la CNIL à verser aux associations requérantes une somme globale de 3.000 euros.

Il est vrai qu’en théorie, les lignes directrices sont un instrument de droit souple, c’est-à-dire un acte ayant pour objectif d’influencer fortement les pratiques des opérateurs économiques, sans créer à leur charge ni droit ni obligation juridique.

S’il en résulte que la CNIL, dans des lignes directrices, ne peut interdire de manière générale et absolue la pratique des cookie walls, il n’est pas non plus dit que cette pratique est généralement autorisée. On peut, au contraire, envisager que les situations s’analyseront au cas par cas.

La CNIL a réagi par un communiqué (ici) précisant que « (…) le Conseil d’État a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. La CNIL prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer. »

Nous en saurons davantage à la rentrée car la CNIL envisage de faire connaître sa nouvelle recommandation en septembre 2020.  Elle annonce aussi poursuivre le plan d’action cookies sur le ciblage publicitaire et maintient sa ligne de conduite tendant à « garantir aux internautes un plus haut degré de protection, le RGPD venant renforcer les exigences du consentement ».

 

Date et référence : Conseil d’État, 19 juin 2020, Lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion

Lire la décision sur le site du Conseil d’État

 

Anne MESSAS, Avocate associée

Synthia TIENTCHEU TCHEUKO, Élève-avocate