La question mérite d’être posée, et ce malgré le recadrage opéré par le Conseil d’Etat le 19 juin 2020 (1). Ce dernier a en effet rappelé que la Commission nationale de l’informatique et des libertés (Cnil) ne pouvait pas, par le biais de lignes directrices, interdire de manière générale et absolue le recours aux « cookies walls », pratique qui consiste à subordonner l’accès à un site internet ou la fourniture d’un service au dépôt de cookies ou autres traceurs sur le terminal de l’utilisateur.
Par Mathilde Gérot, collaboratrice senior, Signature Litigation et Constance Benoist, élève-avocate à l’EFB
Contrainte de se plier à la décision du Conseil d’Etat, la Commission nationale de l’informatique et des libertés (Cnil) a adopté de nouvelles lignes directrices, qui n’interdisent plus expressément l’utilisation des « cookies walls », complétées par des recommandations. Elle a octroyé un délai de six mois aux opérateurs concernés pour se mettre en conformité avec celles-ci, délai qui expirera le 31 mars 2021.
Contexte
L’utilisation des cookies est régie par la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques dite « directive ePrivacy » et le règlement général sur la protection des données (RGPD) s’agissant tout particulièrement du recueil du consentement (2).
Jusqu’à l’entrée en vigueur du RGPD, la pratique du consentement implicite aux cookies était largement répandue et tolérée. Les sites internet déduisaient ainsi de certains comportements de leurs utilisateurs un consentement au dépôt de cookies sur leurs terminaux. Depuis le 25 mai 2018, ces techniques ont été remises en cause et une action positive de l’utilisateur est désormais exigée, conformément aux nouvelles exigences du RGPD en matière de consentement.
Afin de satisfaire à l’exigence d’un consentement univoque, l’alternative élaborée par nombre d’opérateurs a été la mise en place de « cookie wall ». Si le consentement de l’utilisateur apparaissait alors explicite, c’est le caractère libre de ce dernier qui posait question. En effet, l’accès de l’utilisateur au site internet ou l’obtention du service souhaité se trouvait bloqué à défaut de consentir au dépôt de cookies sur son terminal.
Utilisation du droit souple à des fins de clarification
L’article 8, I, 2°, b) de la loi informatique et libertés n° 78-17 du 6 janvier 1978, telle que modifiée, prévoit que la Cnil, en sus de ses pouvoirs de sanction, exerce une mission générale d’information. Pour ce faire, l’autorité « […] établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants ». La Cnil est ainsi à l’origine d’une littérature fournie destinée à clarifier et interpréter la législation, souvent complexe et délicate à appliquer en pratique, en raison de l’approche technologiquement neutre du RGPD mais aussi de la complexité des concepts qu’il édicte.
Ces instruments de droit souple constituent dès lors un outil précieux du régulateur et des opérateurs qui bénéficient ainsi, sur une multitude de sujets (compteurs Linky, objets connectés, crise sanitaire de la Covid 19, etc.), de l’interprétation de la Cnil appliquée à des situations concrètes. C’est par ce biais, et plus particulièrement celui des lignes directrices, que la Cnil a entendu, le 4 juillet 2019, partager sa vision sur la manière d’utiliser les cookies tout en respectant les droits des personnes concernées.
Toutefois, ces différents textes interprétatifs n’ont pas, d’un strict point de vue juridique, de valeur contraignante. Est-ce à dire que les opérateurs peuvent librement adopter une interprétation divergente des textes ? Nous ne le croyons pas.
L’annulation partielle des lignes directrices de la Cnil
Dans ses lignes directrices du 4 juillet 2019, la Cnil avait fait sienne la position stricte du Comité européen de protection des données (CEPD) sur la pratique des « cookies walls », considérant que l’utilisateur subissait nécessairement un inconvénient majeur en cas d’absence ou de retrait du consentement, son accès au site devenant alors impossible.
Le 19 juin 2020, le Conseil d’Etat a rappelé à la Cnil les contours de ses pouvoirs, considérant qu’« en déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posée par le règlement du 27 avril 2016 [le RGPD], la Cnil a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple […] ».
L’impérativité est morte, vive l’impérativité
Prenant acte de cette décision, la Cnil a adopté de nouvelles lignes directrices le 17 septembre 2020. Celles-ci prévoient désormais que : « Le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur, pratique dite de «cookie wall», est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. » La Cnil précise d’ailleurs à cet égard que ses lignes directrices ne sont ni prescriptives ni exhaustives.
En complément de celles-ci, le régulateur a également publié des recommandations reflétant une consultation publique qui s’est tenue entre le 14 janvier et le 25 février 2020. Ces dernières fournissent des exemples concrets sur les modalités de recueil du consentement qui peuvent être mises en place par les organismes qui recourent à des cookies.
Si la Cnil a pris garde d’ôter à ses lignes directrices toute apparence de contrainte, il serait dangereux pour les responsables de traitement de penser pouvoir s’en éloigner sans risque. En effet, ces lignes directrices reflètent la position de la Cnil sur les « cookies walls » et, bien que juridiquement dépourvues de force obligatoire, c’est à l’aune de celles-ci que les pratiques des opérateurs seront contrôlées. L’autorité a d’ailleurs fixé un délai de six mois à compter de la publication des lignes directrices pour que les opérateurs concernés s’y conforment. A compter du 31 mars 2021, la Cnil s’attend par conséquent à ce que les responsables de traitement aient ajusté leurs pratiques en matière de cookies de manière que le caractère libre du consentement soit assuré.
Par conséquent, il ne peut qu’être vivement recommandé aux entreprises concernées de s’aligner sur les directives du régulateur français qui a d’ailleurs consacré l’utilisation des cookies au titre des thématiques prioritaires de contrôle pour 2021 (3). En outre, si la crise sanitaire actuelle a pu complexifier la réalisation, par la Cnil, de contrôles sur place, les pratiques en matière de cookies font généralement l’objet de contrôles en ligne qui eux, peuvent être mis en œuvre sans difficulté particulière.
Du droit souple de la Cnil à un règlement européen
Le 10 février 2021, les Etats membres se sont finalement mis d’accord sur un mandat de négociation en vue de la révision des règles en matière de protection de la vie privée et de la confidentialité dans l’utilisation des services de communications électroniques.
Le projet de règlement ePrivacy, qui a vocation à remplacer la directive ePrivacy, devrait par conséquent aboutir prochainement. Un texte attendu de longue date qui permettra de préciser et compléter utilement les règles existantes en matière de cookies et d’apporter de la sécurité juridique dont les opérateurs manquent parfois cruellement.
(1). Décision du Conseil d’Etat n° 434684 du 19 juin 2020.
(2). En effet, la directive ePrivacy renvoie à la définition de « consentement » donnée par la directive 95/46/CE qui a été abrogée par le RGPD. L’article 94 du RGPD précise que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD.
