Cookies et autres traceurs : Impacts et contestations des lignes directrices de la CNIL

La protection des données personnelles collectées lors de la navigation des utilisateurs est un sujet qui, plus de deux ans après l’entrée en application du RGPD et la transposition de la directive ePrivacy ne fait toujours pas consensus.

Entre une volonté d’application stricte du RGPD, défendue notamment par les associations de protection des droits des internautes et le souhait des acteurs de la publicité en ligne de conserver un modèle économique permettant la gratuité du contenu pour l’utilisateur, par l’exploitation de ses informations de navigation, les débats restent ouverts.

Actecil vous propose donc de s’intéresser à l’impact et aux contestations des lignes directrices de la CNIL sur l’utilisation des cookies et autres traceurs.

Afin d’aligner sa doctrine au standard européen de protection des données, complété par l’entrée en application le 25 mai 2018 du RGPD et par la transposition de la directive ePrivacy, la CNIL a adopté dans une délibération du 4 juillet 2019 des lignes directrices sur l’utilisation des cookies et autres traceurs.

L’apport principal de ces lignes directrices concerne le consentement des utilisateurs, désormais :  

  • La simple poursuite de la navigation sur un site ne doit plus être considérée comme un consentement au dépôt de cookies.
  • Les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement de l’utilisateur.

Ces lignes directrices devaient être complétées par des recommandations pratiques, prévues pour début 2020, cependant elles ne devraient finalement pas être publiées avant la rentrée 2020.

Report de l’application des lignes directrices de la CNIL – une période de tolérance contestée

Afin de permettre aux différents acteurs une mise en conformité sereine, la CNIL a prévu une période d’adaptation, devant initialement s’achever en janvier 2020.

Cette période de tolérance, pendant laquelle l’autorité administrative promet de ne pas faire appliquer le droit positif, n’a pas été bien accueillie par les associations de protection des droits des internautes, qui ont alors saisi le Conseil d’État.

La Haute juridiction, dans une décision publiée le 16 octobre 2019, a rejeté la demande des requérants, considérant que la CNIL, en tant qu’autorité administrative indépendante, dispose d’un large pouvoir d’appréciation dans l’exercice de ses missions et que la mise en place de ce délai, visant à terme à faire appliquer le droit positif, n’est pas illégal.

Il semble donc qu’en l’absence de nouvelle communication de la part de la CNIL et dans l’attente des recommandations pratiques attendues pour la rentrée 2020, cette période de tolérance se soit étendue, alors que les règles posées par le RGPD sur le consentement sont maintenant connues depuis mai 2016, date de publication du RGPD.

Le Conseil d’État valide-t-il la position de la CNIL ?

Dans une décision publiée le 19 juin 2020, le Conseil d’État a eu à se prononcer sur la validité des lignes directrices de la CNIL, à la suite d’un recours déposé par certains acteurs de la communication en ligne.

Le Conseil d’État a globalement validé l’approche de la CNIL sur plusieurs aspects :

  • La régularité de la procédure d’adoption des lignes directrices de la CNIL.
  • La CNIL est compétente pour émettre des lignes directrices, en tant qu’instrument de droit souple, sur l’utilisation des cookies et autres traceurs.
  • L’utilisateur peut retirer son consentement aussi facilement qu’il l’a donnée.
  • Il ne doit pas être plus difficile de refuser que d’accepter le dépôt des cookies.
  • L’utilisateur doit être informé de chacune des finalités et de l’identité des responsables de traitement via une liste proposée lors du recueil du consentement et mise à jour régulièrement.
  • Les opérateurs doivent être en mesure de démontrer qu’ils ont recueilli un consentement valide.

COOKIE WALL : interdit d’interdire pour la CNIL !

Le Conseil d’État a cependant censuré l’une des dispositions des lignes directrices. En effet la Cnil souhaitait clarifier les règles relatives à l’utilisation des « cookies walls » : pratique qui consiste à bloquer l’accès à un site web ou à une application pour l’utilisateur qui ne consent pas au dépôt des cookies.

La CNIL, dans la lignée du CEPD (Comité européen de la protection des données) a précisé que cette pratique est contraire au RGPD et donc prohibée car elle prive l’utilisateur de la faculté de consentir librement au dépôt des cookies, considérant que le fait de lui interdire l’accès au site ou à l’application représente un inconvénient trop fort pour l’utilisateur.

C’est cette disposition que le Conseil d’Etat a censuré, au motif que cette interdiction générale et absolue n’est pas justifiée par l’exigence d’un consentement libre et que la CNIL n’a pas le pouvoir de poser une telle interdiction dans le cadre de ses lignes directrices.

Conclusion :

Bien que globalement confortée par le conseil d’État, plus haute juridiction administrative française, la CNIL a prévu d’ajuster ses lignes directrices et de fournir des recommandations pratiques qui devraient voir le jour après la rentrée de septembre 2020. 

Alors que les règles en matière d’utilisation des cookies et autres traceurs semblent aujourd’hui posées, elles n’en sont certainement pas à leur dernière évolution. En effet le règlement « vie privée et communications électroniques », en discussion au niveau européen, devrait à nouveau faire évoluer ces règles contestées.

Article rédigé par Guillaume PERS, consultant RGPD juriste chez Actecil, selon les sources :