le 21/01/2021

Le Conseil d’Etat invalide une partie des lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion

CE, 19 juin 2020, n° 434684

Le 4 juillet 2019, la CNIL a adopté des lignes directrices sur les cookies et autres traceurs afin de préciser les règles applicables et les bonnes pratiques en la matière depuis l’entrée en vigueur du « RGPD ».

Ces lignes directrices ont été adoptées dans le cadre de son plan d’action sur le ciblage publicitaire.

Par ailleurs, celles-ci ont pour objet de préciser les conditions dans lesquelles le « RGPD » renforce les droits des internautes, afin de leur permettre de garder la maîtrise de leurs données personnelles à l’encontre des cookies et traceurs fréquemment utilisés, en particulier, lors de la navigation sur les sites internet.

Elles ont été attaquées par plusieurs associations et syndicats professionnels de la publicité en ligne, de l’e-commerce et des médias.

Par la décision du 19 juin 2020, le Conseil d’État a rendu une première décision éclairante s’agissant du régime juridique autour des cookies que l’on peut résumer autour de quatre grandes thématiques.

 

I. L’interdiction du recours au « cookies wall » par la CNIL est invalide

Pour mémoire, un « cookie wall » est un dispositif intrusif imposant aux internautes de consentir à l’utilisation de cookies avant même de pouvoir accéder à un site web.

S’agissant de ce point spécifique, le Conseil d’Etat déroule son raisonnement en retenant les points suivants :

  • Le Contrôleur européen de la protection des données (ci-après « CEPD ») reconnait les « cookies wall» comme une entrave pour les internautes, puisque ceux-ci ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives ;
  • La CNIL, qui a rappelé la position du CEPD, a bien compris la portée juridique des recommandations du Comité en faisant le choix de ne pas leur donner force obligatoire (ce qu’elles n’ont pas, au demeurant) ;
  • La CNIL affirme que la validité du recueil du consentement des internautes est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement.
  • Sauf que, la CNIL considère que ne plus pouvoir accéder à un site internet était un inconvénient majeur empêchant les internautes de valablement retirer leur consentement.

 

Le Conseil d’Etat a estimé qu’en déduisant une pareille interdiction générale et absolue de la seule exigence d’un consentement libre et éclairé, la CNIL a excédé ce qu’elle pouvait valablement faire dans le cadre d’un instrument de droit souple.

En effet, ses lignes directrices ne sont adoptées que pour accompagner les acteurs d’un secteur d’activité spécifique, il n’est donc pas possible dans ce cadre d’édicter des interdictions générales et absolues.

 

Dans ce cadre, le responsable de traitement aura la possibilité de mettre en place un « cookies wall » tout en restant conforme au droit européen des données à caractère personnel.

 

II. Sur les rappels quant à la qualification de responsable de traitement

Le Conseil d’Etat rappelle que l’éditeur d’un site qui dépose des traceurs doit être considéré comme un responsable de traitement, même lorsqu’il sous-traite à des tiers la gestion de traceurs mis en place pour son propre compte.

Par ailleurs, le Conseil d’Etat estime que doivent également être considérés comme responsables de traitement les tiers qui déposent des traceurs à l’occasion de la visite du site d’un éditeur dès lors qu’ils agissent pour leur compte propre :

Forcément, la principale conséquence de cette position est qu’il doit être porté à l’utilisateur les informations relatives à « l’identité du ou des responsables de traitement » ;

L’autre conséquence est de pouvoir identifier l’ensemble des entités ayant recours à ces traceurs avant de pouvoir développer un consentement valable dans la mesure où ces entités au nombre desquelles ne figurent pas les destinataires de données, apparaissent comme responsables ou co-responsables de données.

 

Dans ce cadre, le responsable de traitement doit bien être attentif à ses droits et obligations, et, s’il utilise des traceurs sur son site internet, doit fournir une information transparente sur son identité (et celles de tiers s’il sous-traite cette question) ainsi que l’ensemble de la liste des destinataires éventuels de données.

 

III. Sur les rappels quant aux caractéristiques du consentement

Le Conseil d’Etat, au travers des lignes directrices de la CNIL, rappelle les grandes caractéristiques du consentement valide :

  • Le responsable de traitement doit pouvoir, à tout moment, fournir la preuve du fait que la personne a fourni un consentement valide ;
  • L’internaute doit consentir pour chacune des finalités qui lui sont soumises ;
  • En cas d’évolution des finalités ultérieurement, un nouveau consentement doit être recueilli ;
  • Chaque finalité doit bénéficier d’une information spécifique.

 

Dans ce cadre, le responsable de traitement devra toujours respecter ces exigences fondamentales qui participeront au respect de ses obligations légales.

 

IV. Sur le rappel des autres obligations

Le Conseil d’Etat valide enfin les obligations pesant sur les responsables de traitement déposant des traceurs sur leurs sites internet :

  • Il doit être aussi facile de donner que retirer son consentement ;
  • Un bouton « tout refuser » doit coexister avec un bouton « tout accepter » ;
  • Les délais de sauvegarde des cookies sont de 13 mois et les informations collectées par ce biais ont une durée de vie de 25 mois ;
  • Sur les traceurs non soumis au consentement préalable, les utilisateurs doivent être informés de leur existence et de leur finalité (par exemple par le biais d’une mention dans la politique de confidentialité). Il est par exemple question des traceurs de mesure d’audience, les traceurs destinés à l’authentification auprès d’un service, ceux concernant le choix exprimé par les utilisateurs sur le dépôt de traceurs, ceux permettant de conserver le contenu d’un panier d’achat sur un site marchant.

 

Dans ce cadre, le responsable de traitement devra toujours être à jour de ses obligations générales, qui concernent à la fois les cookies mais aussi les grands principes généraux du RGPD

 

En conclusion, le responsable de traitement devra prendre en compte la décision du Conseil d’Etat qui se contente principalement de valider la forme et le fond des lignes directrices de la CNIL en matière de traceurs. L’élément central à retenir reste que l’interdiction des « cookies wall » est à ce jour invalide, il sera donc possible pour le responsable de traitement d’interdire l’accès à son site internet si les internautes ne consentent pas à l’utilisation des cookies.