Newsletters
25.06.2020Hélène Lebon

Alerte – La décision du Conseil d’Etat sur les cookies point par point

La décision du Conseil d’Etat du 19 juin 2020 sur la délibération de la CNIL sur les Cookies et autres traceurs était très attendue.
Pour mémoire, le Conseil d’Etat s’était déjà prononcé sur d’autres aspects de cette décision au mois de septembre 2019 .
Les demandeurs souhaitaient obtenir l’annulation de la délibération ou, à titre subsidiaire, la saisine de la CJUE en vue de poser 12 questions préjudicielles.
Le Conseil d’Etat a uniquement annulé un alinéa de la délibération de la CNIL sur les « cookies walls ».
Mais l’arrêt du Conseil d’Etat comporte bien d’autres passages très intéressants.
De plus, il convientest intéressant de ne pas s’arrêter à la lecture de ce seul arrêt et d’analysers’intéresser à d’autres décisions pour disposer d’une vue plus complète sur le sujet. Ceci fera l’objet d’une prochaine newsletter.
Pour vous permettre de mieux comprendre cette décision, voici une analyse de l’arrêt du Conseil d’Etat point par point qui commence par une synthèse, et qui est suivie d’un tableau reprenant les demandes et la position du Conseil d’Etat.

EN RESUME, DANS LE CADRE DE SON POUVOIR DE SOFT LAW :

La CNIL ne peut pas décider, dans sa délibération, de façon générale et absolue que les « cookies walls » sont contraires au RGPD.

La CNIL peut :

  • adopter des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables
  • se prononcer sur les traitements de données liés aux cookies (indépendamment du fait de savoir s’il s’agit de données personnelles ou non)
  • rappeler que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte ». A contrario, la délibération n’aurait pas pu définir les modalités concrètes selon lesquelles le consentement devait être recueilli
  • indiquer qu’il devait « être aussi facile de refuser ou de retirer son consentement que de le donner ». Sa délibération n’a rien fait d’autre que caractériser les conditions du refus de l’utilisateur. A contrario, la délibération n’aurait pas pu définir de modalités techniques particulières d’expression d’un tel refus.
  • rappeler que, parmi les informations devant être portées à la connaissance de l’utilisateur, figure notamment et à tout le moins « l’identité du ou des responsables de traitement »
  • préciser que l’utilisateur « doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir »
  • rappeler qu’une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement
  • définir des durées indicatives pour l’utilisation des traceurs et pour la conservation des informations collectées par leur biais. La CNIL s’est bornée à préconiser, à travers des orientations non contraignantes des durées d’usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement. A contrario, la délibération n’aurait pas pu fixer de durée limite de validité aux cookies de mesure d’audience.
  • favoriser la diffusion de bonnes pratiques pour l’utilisateur des traceurs non soumis à un consentement préalable. A contrario, la délibération n’aurait pas pu imposer une nouvelle obligation d’information non prévue par la loi

Voici un tableau synthétisant la position de la CNIL :

LES DEMANDES

LA POSITION DU CONSEIL D’ETAT

  Cette délibération :

  • d’une part, livre l’interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions de sa part et,
  • d’autre part, édicte des recommandations de bonnes pratiques à destination des opérateurs concernés.
VICES DE FORME
SUR LA REGULARITE DE LA PROCEDURE D’ADOPTION DE LA DELIBERATION ATTAQUEE
La délibération attaquée a été adoptée à l’issue d’une procédure irrégulière. Au regard des visas de la délibération du 4 juillet 2019 ainsi que des pièces versées au dossier par la CNIL que cette délibération a été adoptée au terme d’une procédure conforme aux textes applicables :

  • Après une convocation des membres de la commission par sa présidente comportant l’ordre du jour de la réunion,
  • dans le respect des règles de quorum et de majorité requises pour l’adoption des délibérations et
  • après recueil des observations du commissaire du gouvernement.

SUR LA COMPETENCE DE LA CNIL POUR PRENDRE LA DECISION ATTAQUEE

La CNIL ne tient d’aucune disposition législative ou règlementaire le pouvoir d’édicter des lignes directrices portant sur des données dénuées de caractère personnel. La CNIL veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France .
Elle peut, à ce titre, établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables.Elle dispose, pour l’accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu’elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.Il s’ensuit que le moyen tiré de ce que la CNIL était incompétente pour adopter des « lignes directrices » applicables, de manière générale, aux « cookies » et autres traceurs de connexion doit être écarté.
La CNIL a commis une erreur de droit pour avoir appliqué le régime de protection dont bénéficient les données à caractère personnel à des données qui ne sont pas des données à caractère personnel. Il résulte de l’économie générale de la loi du 6 janvier 1978 et, en particulier, des dispositions citées aux points précédents, que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d’application, qu’il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu’aux obligations résultant du règlement du 27 avril 2016.

VICES DE FOND

SUR L’INTERDICTION DU RECOURS AUX « COOKIE WALLS »

La délibération de la CNIL méconnaît les dispositions législatives et réglementaires applicables en posant l’interdiction du recours aux cookie walls, et porte une atteinte excessive à la liberté d’entreprendre et à la liberté d’information. La CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ».

En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité.

SUR L’INDEPENDANCE, LA SPECIFICITE ET LE CARACTERE ECLAIRE DU CONSENTEMENT

La CNIL a interprété les conditions d’indépendance et de spécificité du consentement en méconnaissance des dispositions législatives et réglementaires applicables, en omettant de prendre en considération la compatibilité de chaque finalité avec les finalités initiales du traitement. En rappelant que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte » la CNIL qui, ce faisant, n’a pas défini les modalités concrètes selon lesquelles le consentement devait être recueilli, n’a pas méconnu les dispositions applicables en la matière.

SUR LE DROIT AU REFUS DES COOKIES

La CNIL a consacré un droit au refus des cookies en méconnaissance des dispositions législatives et réglementaires applicables. Il s’ensuit que la CNIL qui, en indiquant qu’il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s’est bornée à caractériser les conditions du refus de l’utilisateur sans définir de modalités techniques particulières d’expression d’un tel refus, n’a entaché sa délibération d’aucune méconnaissance des règles applicables en la matière.

SUR L’OBLIGATION D’IDENTIFIER LE RESPONSABLE DE TRAITEMENT ET DE METTRE A JOUR LA LISTE DES ENTITES AYANT RECOURS AUX COOKIES

La délibération attaquée a posé, en violation de la loi, une obligation d’identification du ou des responsables de traitement ainsi qu’une information exhaustive et régulièrement mise à jour de toutes les entités qui ont recours à des cookies. La CNIL a pu légalement :

  • rappeler que, parmi les informations devant être portées à la connaissance de l’utilisateur, figure notamment et à tout le moins « l’identité du ou des responsables de traitement », et,
  • préciser que l’utilisateur « doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir » dans la mesure où ces entités, au nombre desquelles ne figurent pas les destinataires de données, apparaissent comme responsables ou co-responsables du traitement de données
  • rappeler qu’une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs telles qu’elles sont définies au point précédent doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement .

SUR LA FIXATION D’UNE DUREE DE VALIDITE DES COOKIES

La CNIL a fixé une durée de validité limitée aux cookies de mesure d’audience en méconnaissance des dispositions législatives et réglementaires applicables. Il ressort des pièces du dossier que la CNIL a, à l’article 5 de la délibération attaquée, énuméré les conditions que doivent respecter les traceurs de mesure d’audience pour bénéficier d’une telle exemption du recueil du consentement, en indiquant notamment que les traceurs utilisés par ces traitements qui relèvent d’une des deux catégories visées à ce même article 82, ne doivent pas avoir une durée de vie excédant treize mois et que les informations collectées par l’intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à vingt-cinq mois.

En définissant de telles durées indicatives pour l’utilisation des traceurs et pour la conservation des informations collectées par leur biais, la CNIL, qui ne pouvait légalement pas fixer de durée limite de validité aux cookies de mesure d’audience, s’est bornée à préconiser, à travers des orientations non contraignantes des durées d’usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues aux deux derniers alinéa de l’article 82. Il s’ensuit que, contrairement à ce qui est soutenu, la délibération attaquée n’est pas entachée d’illégalité sur ce point.

SUR L’INFORMATION CONCERNANT LES COOKIES NON SOUMIS A CONSENTEMENT PREALABLE

La délibération attaquée pose, en violation de la loi, une obligation d’information de l’utilisateur pour les cookies non soumis à un consentement préalable. En fixant un tel objectif de transparence, après avoir rappelé que la loi ne soumet ces cookies à aucune obligation de recueil du consentement préalable de l’utilisateur, pas plus qu’elle n’impose d’offrir la possibilité de s’opposer à l’utilisation de tels traceurs, la CNIL n’a pas entendu imposer une nouvelle obligation d’information non prévue par la loi, mais simplement favoriser la diffusion de bonnes pratiques pour l’utilisateur des traceurs non soumis à un consentement préalable . Il s’ensuit que, contrairement à ce qui est soutenu, la délibération attaquée n’est pas davantage entachée d’illégalité sur ce point.