La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. L’évolution des règles applicables marque un tournant pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
01 octobre 2020
L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
En 2013, la CNIL adoptait une première recommandation pour guider les acteurs dans la mise en œuvre des textes régissant à l’époque les opérations de lecture et d’écritures par des cookies.
Le 25 mai 2018, l’entrée en application du règlement général sur la protection des données (RGPD) est venue renforcer les exigences en matière de validité du consentement, rendant obsolète une partie de cette recommandation.
Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a donc entrepris d’actualiser en deux temps ses cadres de référence.
Le 4 juillet 2019, la CNIL a ainsi adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’Etat.
En parallèle, la CNIL a également décidé d’établir, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation. Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute.
Ce projet a été soumis, le 14 janvier dernier, à une consultation publique, dont les apports ont permis d’enrichir la version finalement adoptée le 17 septembre 2020.
L’évolution des règles applicables
L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
Refuser les traceurs doit être aussi aisé que de les accepter.
- elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
- elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
Les recommandations de la CNIL
Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.
En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
Afin de répondre aux questions des acteurs concernés et des internautes, la CNIL propose une FAQ accompagnement la publication des lignes directrices et de la recommandation.
Vers une mise en conformité des acteurs concernés
La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy.
Comme elle l’avait annoncé, elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.
Si la CNIL tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.
Dans ses lignes directrices, sur lesquelles le Conseil D’État vient de se prononcer, la Cnil jugeait le recours à des «cookies walls» contraire au règlement général sur la protection des données (RGPD).
Question posée sur Twitter le 22/06/2020
Bonjour,
Votre question fait référence à cet article du journal les Échos, selon lequel, «à l’avenir, les sites Internet pourront bloquer l’accès à tous les internautes qui refusent les cookies, ces traceurs informatiques controversés». Et ce en vertu d’une «décision du Conseil D’État publiée vendredi» où la plus haute juridiction administrative «donne raison aux éditeurs de sites contre la Cnil [Commission nationale de l’informatique et des libertés, ndlr], le gendarme français de la vie privée sur Internet, qui avait interdit une telle pratique».
Même son de cloche du côté d’une dépêche AFP sur le sujet (notamment reprise par le Monde) : «Selon la plus haute juridiction administrative, les éditeurs peuvent bloquer l’accès à leur site à un internaute qui refuserait les cookies, contrairement à ce que préconise le gendarme français des données personnelles dans ses lignes directrices sur le sujet publiées en 2019.»
En bref, le Conseil D’État «légaliserait» cette pratique, généralement appelée «cookies walls» (où il est nécessaire d’accepter les cookies pour accéder à un contenu, comme on parle de paywall lorsqu’il faut payer), à la suite d’une procédure menée par neuf associations qui représentent des entreprises françaises dans le domaine des médias, de la publicité et du commerce en ligne (Geste, SRI, IAB France, MMAF, Udecam, AACC, Fevad, UDM et SNCD).
Problème : selon plusieurs spécialistes des questions de vie privée et médias spécialisés, qui s’appuient sur le contenu de la décision, le Conseil d’État se prononce en fait sur la forme et non sur le fond. Sa décision ne permettrait donc pas, en l’état, de préjuger de la légalité ou non d’un «cookies walls».
On peut lire dans le communiqué de presse de la juridiction que «le Conseil D’État annule partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion». Mais plus bas, on apprend que le Conseil D’État juge que «la Cnil a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit "de droit souple"». Les actes de droit souple désignant «les instruments, telles que les lignes directrices des autorités de régulation [comme la Cnil], qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques».
Le Conseil D’État considère donc «que la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue» à propos des cookies walls. Tout en prenant bien soin de préciser qu’il se prononce sur cette question de forme «sans se prononcer sur le fond de la question», à savoir la légalité de bloquer l’accès à un contenu à un utilisateur qui refuserait les cookies.
Pour Bernard Lamon, avocat spécialiste des questions liées au règlement général sur la protection des données (RGPD), le Conseil D’État a simplement dit que sur un point très précis de ses lignes directrices, la Cnil avait franchi la ligne jaune puisque «dans des lignes directrices on ne peut pas dire que les cookies walls sont interdits de manière globale». «Mais le Conseil D’État ne s’est pas prononcé sur la légalité des cookies walls, contrairement à ce que prétendent certains qui se livrent à une bataille de communication. Pour savoir si c’est légal ou non, il faudra du contentieux, avec un examen concret, site par site», estime-t-il.
Pour Etienne Drouard, l’avocat du cabinet Hogan Lovells qui représente les associations requérantes, le Conseil D’État «rappelle que la Cnil doit analyser au cas par cas les alternatives proposées à l’utilisateur en contrepartie de l’accès au site de l’éditeur.» En d’autres termes, en proposant à l’internaute soit d’accéder gratuitement au contenu avec des cookies publicitaires, soit de se connecter via un compte, soit de payer, l’éditeur du site offre un choix au lecteur, «qui préserve la liberté du consentement prévue par le RGPD». «Ce qui n’est pas possible, c’est de conditionner l’accès au site à l’acceptation des cookies, sans offrir d’alternative», avance l’avocat, confirmant donc que le Conseil d’État n’a pas «légalisé» les cookies walls. Plus largement, il se félicite que le Conseil d’État rappelle qu’un «régulateur comme la Cnil ne peut pas, à la différence d’un législateur, créer des interdictions de principe».
«Retour à l’équilibre»
«La Cnil prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer», a indiqué la commission sur son site.
Sur le fond, la Cnil s’était alignée sur la position du comité européen de protection des données (CEPD), organe européen indépendant qui «contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne». Celui-ci considère en effet que les cookies walls ne sont pas «conformes» au RGPD puisque «les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté)».
Le Groupement des éditeurs de services en ligne (Geste), qui faisait partie des requérants, se satisfait de son côté de la décision du Conseil d’État qui permet «un retour à l’équilibre du RGPD» : «Nous avions la conviction que la Cnil avait surinterprété le RGPD. Nous défendons le droit pour les éditeurs de site de choisir leur modèle économique», avance son président, Bertrand Gié. Y compris le cookies walls donc, même si «à sa connaissance», aucun gros site français n’a pour le moment fait ce choix. Explicitement en tout cas : selon le blogueur Aeris, qui travaille «dans la sécurité informatique et plus précisément sur la vie privée», la pratique du cookies wall recouvre aussi les nombreux sites qui partent du principe que «si vous continuez à visiter ce site, vous consentez à recevoir des cookies» : «C’est tout aussi illégal, et en pratique le refus des cookies implique une impossibilité de visite du site», estime-t-il.
Dans la même décision, «le Conseil d’État donne raison à la Cnil sur tout le reste, que ce soit sur sa compétence ou les lignes directrices» relève par ailleurs l’avocat Bernard Lamon. Idem pour le média spécialisé Next Inpact qui juge que la décision du Conseil D’État va dans le sens de la commission, «même si cette dernière devra parfois ajuster sa manière de faire. C’est notamment le cas pour les cookies walls» : «Alors qu’éditeurs de presse et autres organismes publicitaires s’étant attaqués aux lignes directrices de la Cnil s’attendaient à une confirmation de leur position, cela n’a pas été le cas. […] Concernant le consentement [des utilisateurs] ses positions se trouvent renforcées par le Conseil D’État qui a "validé l’essentiel des interprétations ou recommandations" en la matière. Notamment que la gestion devait être symétrique (aussi simple à accorder qu’à refuser) et "porter sur chacune des finalités, ce qui implique notamment une information spécifique".»
Les sites français ont droit à un sursis d’un an quant au recueil du consentement de leurs visiteurs à se faire traquer. Cette période transitoire offerte par la Cnil aux éditeurs fait enrager les défenseurs de la vie privée et pourrait valoir au régulateur un remontage de bretelles au niveau européen.
Marie-Laure Denis et le collège renouvelé de la Cnil n’étaient pas là pour rigoler. C’était en substance le message envoyé en avril dernier, à l’occasion de la présentation du bilan annuel de l’autorité. Google venait d’écoper d’une amende de 50 millions d’euros pour ne pas avoir respecté les principes du RGPD et le gendarme des données personnelles assurait vouloir « crédibiliser le nouveau cadre juridique ». De la pédagogie, toujours, mais surtout des contrôles et des sanctions renforcées.
Et pourtant, le plan d’action de la Cnil en ce qui concerne le ciblage publicitaire ne va pas dans ce sens. Depuis l’entrée en vigueur du RGPD, le régulateur s’est toujours refusé à offrir une « période de grâce »… jusqu’à aujourd’hui. Le programme de la Cnil consiste à réviser sa recommandation relative aux cookies, en date de 2013, afin de l’adapter au nouveau cadre juridique. Sur le papier, l’harmonisation de ces lignes directrices avec le droit européen, in fine un rappel des « règles de droit applicables », est sensée.
Echec au droit (européen)
Mais la décision d’offrir une période transitoire d’un an fait hausser plus d’un sourcil. A commencer par ceux de la Quadrature du Net. Sur son site, la Cnil explique que, « durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ». Soit l’application d'une règle antérieure à l’entrée en vigueur du RGPD.
Ce qui va en outre à l’encontre des lignes directrices du Comité Européen de la Protection des Données, dont la Cnil est co-rédactrice. « Il n’existe aucune possibilité laissée à la CNIL pour repousser jusqu’à juillet 2020 l’application du RGPD » dénonce la Quadrature dans un communiqué. « La décision que la CNIL s’apprête à prendre violerait de plein front le droit européen et justifierait un recours en manquement contre la France par la Commission européenne ».
Open bar sur les cookies jusqu’en juillet 2020
Certes, la Cnil affirme qu’elle « continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement ». Mais cette « période de grâce » courant jusqu’en juillet 2020 implique que le seul fait de faire défiler la page après un bandeau d’information sur le dépôt de cookies vaut consentement de l’internaute (attention donc à vos molettes de souris, un consentement involontaire est si vite arrivé).
L’association assure que cette décision est le résultat de négociations entre la Cnil et le GESTE, syndicat d’éditeurs de contenus en ligne). « Aujourd’hui, la CNIL semble vouloir appliquer un droit différent entre Google et les médias français qui, eux, pourraient se contenter d’un consentement « implicite », violant tranquillement nos libertés fondamentales dans la poursuite de profits publicitaires intolérables » écrit la Quadrature, qui n’exclut pas de former un recours devant le Conseil d’Etat.