le 16/06/2020

Le Comité européen de la protection des données publie ses lignes directrices sur les cookies

CEPD, 4 mai 2020, Guidelines 05/2020 on consent under Regulation 2016/679

Le 4 mai 2020, le Comité européen de la protection des données (CEPD), l’équivalent de la CNIL européenne, a publié ses lignes directrices sur le recueil du consentement lors de la pose de cookies sur les navigateurs des internautes. Ces lignes directrices s’inscrivent dans le prolongement des travaux que la CNIL a réalisés en la matière.

En effet, la CNIL a mené une concertation pendant l’automne 2019, afin d’élaborer, en concertation avec les entreprises du secteur, un projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet de recommandation a été soumis à consultation entre janvier et février 2020 avant que la CNIL ne prépare et publie la version finale de la recommandation.

Dans ses lignes directrices, le CEDP rappelle les obligations centrales en matière de consentement sur la pose de cookies.

Le CDPD indique que le consentement ne peut constituer une base légale appropriée que si la personne concernée se voit offrir un véritable choix quant à l’acceptation ou au refus des conditions offertes, et ce sans préjudice sur l’accès au site internet.

Lorsqu’il recueille le consentement de l’internaute, le responsable du traitement a le devoir d’évaluer s’il satisfera toutes les exigences pour obtenir un consentement valable. S’il est obtenu en pleine conformité avec le RGPD, le consentement est un outil qui permet aux personnes concernées de contrôler facilement si les données à caractère personnel les concernant sont ou non traitées. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement sera une base invalide pour le traitement, rendant l’activité de traitement illégale.

Dans ce cadre, les bandeaux bloquant l’accès de l’internaute au contenu du site tant que celui-ci n’a pas accepté les différents cookies (ou été spécifiquement paramétré dans un espace dédié les traceurs), tels qu’ils sont pensés aujourd’hui, ne sont pas légaux. Le CEPD affirme que « pour que le consentement soit donné librement, l’accès aux services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur au dépôt de traceurs, ou à l’accès à des traceurs déjà enregistrés, dans le terminal de l’utilisateur ».

La présence des bandeaux avec la possibilité de cliquer sur « Accepter les cookies » pose problème en ce qu’il ne laisse aucun choix à l’usager, empêchant par là-même le recueil d’un consentement libre.

Ensuite, tout comme la CNIL, le comité européen réaffirme son opposition à ce que toute action de défilement ou poursuite de la navigation puisse être assimilée à un recueil du consentement libre, éclairé, non-équivoque et spécifique. Le CEPD indique qu’il serait alors impossible pour celui-ci de retirer son consentement et donc la collecte pourrait se poursuivre indéfiniment.

Néanmoins, le 12 juin 2020, dans une affaire devant le Conseil d’Etat où des associations professionnelles des médias, de la publicité et du commerce en ligne (le Geste, le Fevad, l’IAB, le Syndicat des régies Internet notamment) s’opposaient à la CNIL et ses lignes directrices, le rapporteur public, Alexandre Lallet, a estimé que la CNIL allait trop loin sur ce point par rapport aux législations européennes et nationales en vigueur. Selon l’article du figaro[1], le rapporteur a rappelé que le RGPD exigeait que le consentement donné par l’internaute à ces fameux cookies soit «libre». Mais il serait «hasardeux» de conclure que les internautes seraient systématiquement «privés de leur liberté» si on leur barrait l’accès à un site internet, a défendu M. Lallet. «Un désagrément» comme la privation d’accès au site n’est pas forcément «un préjudice», selon lui, car l’internaute a le choix de se rendre sur d’autres sites similaires.

Le Conseil d’Etat devrait rendre sa décision définitive avant deux semaines, à moins qu’il n’envoie une question préjudicielle à la Cour européenne de justice.

[1]https://www.lefigaro.fr/flash-eco/cookies-les-editeurs-de-site-soutenus-sur-une-demande-cruciale-20200612