La CNIL face au Conseil d’État dans un nouvel épisode de la guerre européenne contre les cookies.

Qu’est-ce qu’un cookie wall ?

Les cookies

Les cookies sont de petits fichiers qui sont déposés par un site internet sur le navigateur d’un internaute. Ils permettent par exemple de maintenir la connexion d’une page à l’autre, mais aussi de collecter des données (parfois identifiantes) en vue de moduler le contenu ou le service proposé : publicité ciblée, analyse d’audience…

Dès lors que des données à caractère personnel sont traitées via l’utilisation de cookies par l’éditeur du site, ce dernier devient responsable de traitement au sens du RGPD, et doit donc se conformer à cette réglementation.

Les cookie walls

Avec le RGPD, le dépôt de certains cookies est ainsi soumis au consentement préalable de l’internaute. Cela signifie que les entreprises n’ont pas le droit de déposer des cookies avant que l’utilisateur du site ne l’ait dûment autorisé.

Face à cette obligation qui met à mal la stratégie marketing de nombreux acteurs du numérique est apparue une pratique qui consiste à bloquer l’accès au site lorsque le consentement aux cookies est refusé.

C’est cette pratique que l’on appelle « cookie wall », ou « mur de cookies » par traduction.

La question du consentement au sens du RGPD

Or, le régime applicable à la gestion du consentement aux cookies s’explique par les obligations règlementaires. En effet, pour que le consentement de l’internaute soit valable au sens du Règlement, il doit en principe être préalable, actif, spécifique, libre et éclairé.

Consentement préalable et actif : opt’in et opt’out

La règle en vigueur est ici l’interdiction de déposer des cookies sur le navigateur d’un internaute sans / avant qu’il n’y ait consenti, ce qui signifie que le paramétrage doit être au refus par défaut, et non l’inverse.

C’est ainsi que les pratiques de l’acceptation par la poursuite de la navigation deviennent illicites, car l’accord de l’utilisateur doit être actif et non passif, il doit s’agir d’une action positive d’acceptation et non du fait de ne rien faire.

>> Le consentement préalable aux cookies >>

Consentement univoque, spécifique et éclairé

De même, le responsable de traitement doit désormais détailler les modalités de traitement des données des internautes : indiquer quelles sont les utilisations prévues (finalités), les partenaires destinataires des données, …

Il s’agit ainsi de permettre à l’utilisateur de donner son consentement en connaissance de cause, et de pouvoir accepter certaines utilisations mais en refuser d’autres.

Liberté du consentement

Lorsque le droit parle de consentement libre, on peut utiliser l’image d’un braquage : si l’employé d’une banque ouvre le coffre sous la menace d’un braqueur, peut-on vraiment dire qu’il ait consenti à cette ouverture ? Sans aller dans cet extrême, la CNIL considère par exemple dans le cadre professionnel que le consentement d’un salarié face à son employeur n’est pas tout à fait libre, dès lors que le premier est dans une position de subordination vis-à-vis du second.

L’idée de la liberté du consentement réside donc dans la capacité d’une personne à prendre une décision sans être poussé dans un sens ou dans l’autre par sa position, le contexte, son cocontractant… Pour ce qui est des cookies, le raisonnement est ici de dire que si l’on ne peut pas décider de refuser les cookies sans se voir interdire l’accès au site, le consentement donné au dépôt des cookies n’a plus de valeur, qui est en quelque sorte forcé pour permettre l’accès au contenu internet, donc qu’il n’est pas libre.

La décision du Conseil d’État

C’est en tout cas la position de la CNIL, mais aussi du CEPD, dans la lignée de l’autorité néerlandaise de protection des données, position qui ne fait pas l’unanimité.

En effet, l’autorité française des données a publié en juillet 2019 de nouvelles lignes directrices sur les cookies et autres traceurs, qui suivent les règles proposées par le CEPD. La difficulté réside alors dans la lecture faite de la règlementation, qui n’évoque pas spécifiquement la problématique des cookies mais donne une définition générale du consentement.

Par ailleurs, la Directive sur les Contenus et Services numériques admettant la fourniture d’un service numérique en contrepartie de données personnelles pourrait légitimer la position inverse, ce qui ne facilite pas l’articulation du régime applicable.

Schématiquement, les associations de consommateurs reprochent une trop grande flexibilité à la CNIL (qui a prévu un délai pour l’application de ses lignes directrices), tandis que les professionnels appellent à plus de souplesse dans l’appréciation du RGPD.

Des professionnels (médias, publicité en ligne, marketing digital) ont ainsi remis en question le nouveau régime de gestion des cookies, la règle du consentement préalable réduisant considérablement l’efficacité de leurs stratégies.

La Conseil d’État a rendu sa décision le 19 juin. S’il approuve la règle du consentement préalable, ainsi que la période transitoire accordée par l’autorité de protection des données, il refuse de valider l’interdiction des cookie walls par la CNIL, pratique qui demeure donc légale à ce jour.

Reste à voir si l’affaire en restera là, la version définitive des règles posées par la CNIL étant attendue pour l’automne.

Références

  • Directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019, relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques, dite « Directive Contenus et Services Numériques »
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit Règlement Général sur la Protection des Données, ou RGPD : >> l’article 4, 11° >> et >> l’article 7 >> du RGPD donnent la définition du consentement et les conditions de sa validité
  • CNIL (Commission Nationale de l’Informatique et des Libertés) : Lignes directrices provisoires sur les cookies et autres traceurs >> voir ici le texte officiel >>
  • CEPD (Comité Européen de Protection des Données) : >> voir les lignes directrices du CEPD >>
  • Conseil d’Etat : >> voir la Décision N° 434684 du 19 juin 2020 >>

Crédit photo : Pexels – Vitaly Vlasov