Par un arrêt du 19 juin 2020, le Conseil d’État a jugé que la CNIL ne pouvait légalement interdire le recours aux « cookie walls » dans sa recommandation relative aux cookies et autres traceurs de connexion adoptée en juillet 2019. 

Le Conseil d’Etat ne s’est toutefois pas positionner sur le fait de savoir si cette pratique, consistant à bloquer l’accès au contenu d’un site internet en cas de refus des cookies, était conforme au RGPD, il a seulement jugé que la CNIL n’avait pas le pouvoir d’édicter une telle interdiction dans des lignes directrices dites de « droits souples ».

La haute juridiction adminsitrative confirme toutefois la légalité des autres points contestés par les associations professionnelles, qui avaient saisi le Conseil d’Etat d’une requête en annulation de ces recommandations, notamment sur la légalité des points relatifs au recueil du consentement des internautes aux cookies et autres traceurs ainsi que la fixation de la durée de vie des cookies d’audience et la durée de conservation des informations recueillies.

Cet arrêt, un peu décevant, dans la mesure où il ne statut pas sur le fond de la question et manquant parfois de clarté, va donner du fil à retorde à la CNIL dans l’élaboration de ces futures recommandations.

1. Le contexte

Des associations professionnelles avaient saisi le Conseil d’Etat afin d’annuler la recommandation de la CNIL relatives aux « cookies » et autres traceurs adoptée en juillet 2019.

Les associations soulevaient principalement des irrégularités concernant certaines positions de la CNIL prise dans la recommandation notamment celles relatives à l’interdiction du recours à la pratique de « cookies wall », le receuil d’un consentement spécifique par finalité, les conditions relatives aux durées de conservation de cookies de statistiques pouvant être exemptés de consentement.

2. Le Conseil d’Etat annule la recommandation de la CNIL sur les « cookie walls » sans en valider la pratique
2.1. La CNIL n’a pas le pouvoir d’interdire la pratique des « cookie walls » dans des lignes directrices dites de « droit souple »

Les associations professionnelles contestaient, en particulier, l’interdiction de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies et des traceurs de connexion.  

Le rapporteur public avait indiqué que la pratique des cookie walls étaient conforme au RGPD dans la mesure où l’internaute pouvait se retourner vers d’autres sites proposant des contenus similaires et qui n’exigent pas l’acceptation des cookies publicitaires.

Nous avions fait part de notre surprise quant aux arguments soulevés par le rapporteur public (voir ici) et avions pronostiqué que le Conseil d’Etat ne suivrait pas cette position.

La juridiction administrative a préféré contourner la problématique en se positionnant sur le fait de savoir si la CNIL avait le pouvoir de faire de telles recommandations.

Ainsi, le Conseil d’Etat juge qu’en déduisant une telle interdiction générale et absolue de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs,la CNIL a excédé ce qu’elle pouvait légalement dicter dans le cadre d’un acte dit « de droit souple ».

2.2. Le Conseil d’Etat ne valide pas pour autant la pratique des « cookie walls »

Le Conseil d’Etat ne se prononce pas sur le fait de savoir si la pratique des « cookie walls » est légale mais sur le fait de savoir si la CNIL a le droit de les interdire dans des recommandations.

Ainsi, en annulant la recommandation relative au « cookie walls », il ne valide pas pour autant cette pratique et il sera nécessaire de justifier le fait que le consentement est libre et dénuer de conséquence négative comme le prévoit le RGPD.

Ainsi, le recours aux « cookie walls » n’est pas recommandé dans la mesure où, bien que l’interdiction de recourir aux « cookie walls » ne peut plus faire l’objet d’une position officielle de la CNIL,  cette dernière peut toujours décider de sanctionner cette pratique dans le cadre de son pouvoir de contrôle et de sanction.  

3. Le consentement global doit être accompagné d’une information spécifique pour chacune des finalités du traitement de données et d’une possibilité de consentir spécifiquement à chacune des finalités

Les associations souhaitaient également faire annuler les recommandations précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ».

Le Conseil d’Etat rappelle que que selon la loi informatique et libertés, le consentement de l’utilisateur préalable au dépôt de traceurs doit porter sur chacune des finalités du traitement des données recueillies.

Cela implique, lorsque que le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités.

Le Conseil d’État valide le passage contesté des lignes directrices en précissant qu’il se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.

Toutefois, cela ne remet pas en question la position de la CNIL qui autorisait le consentement global à condition de donner la possibilité à l’utilisateur de consentir finalité par finalité.Cette recommandation, bien que non mentionné par le Conseil d’Etat, n’a pas été annulée. Elle demeure donc applicable.

4. Un arrêt du Conseil d’Etat qui, par manque de clarté, dessert la CNIL et les professionnels

Bien que le Conseil d’Etat n’ait annulé que le paragraphe relatif à la pratique des « cookie walls », il ne statut pas sur le fond et il est difficile de suivre le raisonnement qui a mené à ses diverses conclusions.

Cet arrêt, au lieu de clarifier la question des cookies, va sûrement complexifier la rédaction de recommandations par la CNIL et les rendre toujours plus sybilines par crainte d’une future annulation.

4.1. Un manque de clarté sur les « cookies walls » …

Le Conseil d’Etat valide la référence aux recommandations du CEPD dans la mesure où elle n’en a pas donné de valeur contraignante mais, dans le même temps, il annule ce même paragraphe au motif que la CNIL aurait déduit de l’obligation de consentement libre une interdiction générale du recours au « cookie walls ».  

Or à la lecture de l’article 2 de la recommandation de la CNIL, la CNIL n’a fait que cité l’exemple du CEPD et n’ pas déduit explcitement une telle interdiction. La seule ambiguité réside dans le recours, pourtant validé, à la position du CEPD à titre d’exemple. Plus de précision du Conseil d’Etat aurait permi de comprendre ce que la CNIL ne pouvait pas faire exactement.

4.2. … et sur la validité des durées de conservation des cookies exemptées de consentement

Le Conseil d’Etat adopte encore un raisonnement ambigue lorsqu’il se prononce sur la validité des conditions selon lesquelles les cookies d’audience sont exemptés du consentement.

En effet, le Conseil d’Etat constate que la CNIL précise dans sa recommandation que les cookies de mesure d’audience ne doivent pas avoir une durée de vie excédent 13 mois et les informations recueillis via ces cookies ne peuvent pas être conservées plus de 25 mois.

Le Conseil d’Etat rappelle pourtant que la CNIL  ne peut légalement fixer la durée de vie des cookies mais considère afin de valider la position de la CNIL, qu’ il s’agit simplement de durée de conservation indicative et non contraignante.

Toutefois, la mention « les cookies ne doivent pas avoir une durée de vie excédant 13 mois » ne semble pas être une indication mais une obligation.

4.3. Conclusion

Il est difficile, à la lecture de cet arrêt,  de comprendre ce qui relève d’une indication ou d’une obligation générale et absolue. Quelques précisions du Conseil d’Etat aurait aidé à la compréhension de cet arrêt et de ces conséquences pratiques à l’avenir.

La CNIL a prévu de publier des recommandations opérationnelles sur l’obtention du consentement. A la suite de cette arrêt, la rédactions de ces recommandations risquent d’être compliquée. Ni la CNIL, ni les professionnels (qui souhaitaient voir autoriser la pratique des cookies walls) ne sortent gagnant de cette confrontation.

Pour lire la décision du Conseil d’Etat voir ici


Pour aller plus loin
Qu’est ce que le droit souple ?

Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques.

La réunion de trois critères cumulatifs permet d’identifier un instrument de droit souple.

  • Ces instruments « ont pour objet de modifier ou d’orienter les comportements de leurs destinataires en suscitant, dans la mesure du possible, leur adhésion ».

  • les instruments de droit souple « ne créent pas par eux-mêmes de droits ou d’obligations pour leurs destinataires ».

  •  « présentent, par leur contenu et leur mode d’élaboration, un degré de formalisation et de structuration qui les apparente aux règles de droit »

Ces documents peuvent prendre diverses formes telles que des publications, lignes directrices etc.

N’étant pas des décisions officielles des autorités dépourvu de caractère contraignants, ils ont échappé pendant longtemps à la possibilité de recours pour excès de pouvoir.

Dans quels cas les actes de droit souples peuvent -ils  faire l’objet d’un recours pour excès de pouvoir ?

Selon la jurisprudence du Conseil d’Etat, (CE, ass., 21 mars 2016, no 368082, Sté Fairvesta international GMBH et CE, ass., 21 mars 2016, no 390023, Société Numericable), les actes de droit souple peuvent faire l’objet d’un recours en excès de pouvoir :

« lorsqu’ils revêtent le caractère de dispositions générales et impératives ou lorsqu’ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance ».

« lorsqu’ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d‘influer de manière significative sur les comportements des personnes auxquelles ils s’adressent ».

Partage

Cookies – Conseil d’Etat : la CNIL ne peut légalement interdire les « cookies walls » dans ses lignes directrices
Étiqueté avec :