retour

« Cookies wall » - le Conseil d’Etat invalide une partie des lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion

Article IT et données personnelles Droit de la concurrence, consommation et distribution Contrats commerciaux et internationaux | 24/06/20 | 4 min. | Roxane Blanc-Dubois Florence Chafiol Alice Hourquebie

Protection des données personnelles

Saisi d’un recours en annulation par divers syndicats et associations professionnels du secteur publicitaire, de l’e-commerce et des médias, le Conseil d’Etat vient de rendre sa décision au sujet des lignes directrices relatives aux cookies et autres traceurs de connexion (les « cookies ») adoptées par la CNIL le 4 juillet 2019 (les « lignes directrices »).

Pour mémoire, l’objet de ces lignes directrices est de préciser (i) les règles issues du Règlement Général sur la Protection des Données (« RGPD ») en matière de recueil du consentement aux cookies et (ii) les bonnes pratiques en la matière depuis l’entrée en vigueur du RGPD.

Les requérants précités contestaient, notamment, l’interdiction posée par les lignes directrices de la CNIL de la pratique dite du « cookie wall ». Cette pratique consiste à bloquer l’accès à un site Internet ou une application mobile lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies.

Pour fonder cette interdiction, la CNIL indiquait dans ses lignes directrices, au titre de la nécessité d’un consentement libre, que celui-ci ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. La CNIL considérait à cet égard que l’accès à un site Internet ou une application mobile ne peut jamais être subordonné à l’acceptation des cookies (interdiction du « cookie wall »). Elle reprenait, en cela, la position du Comité européen de la protection des données (CEPD) sur le sujet.

Le Conseil d’Etat estime que la CNIL ne peut procéder de la sorte : « en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le RGPD, la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit de droit souple ».

Ainsi, une telle interdiction générale et absolue ne peut être imposée, selon le Conseil d’Etat, dans le cadre de ces lignes directrices qui constituent un acte de droit souple. Il censure donc l’alinéa concerné des lignes directrices.

S’agissant des autres points contestés, le Conseil d’Etat rejette les arguments des requérants.

Dans un contexte où les autorités administratives recourent de plus en plus aux actes de droit souple (recommandations, lignes directrices, chartes, avis etc.), la décision du Conseil d’Etat sonne comme un rappel à l’ordre. Néanmoins, il convient de préciser que le Conseil d’Etat ne juge pas de la légalité ou non, sur le fond, des « cookies walls », mais plutôt de l’adéquation de l’instrument utilisé par la CNIL pour déduire et acter une telle interdiction, comme cela lui est permis dans le cadre d’un recours pour excès de pouvoir.

Le jour même de la publication de la décision par le Conseil d’Etat, la CNIL a publié un communiqué. Elle indique prendre acte de la décision du Conseil d’Etat et compte ajuster ses lignes directrices en conséquence, dans la stricte mesure nécessaire.

L’ajustement des lignes directrices et l’adoption des futures recommandations en la matière n’interviendront pas avant septembre 2020.

 

Liens utiles

Décision du Conseil d’Etat n°434684 en date du 19 juin 2020

Communiqué de la CNIL en date du 19 juin 2020 concernant la décision du Conseil d’Etat

Communiqué de la CNIL en date du 18 juillet 2019 concernant les lignes directrices du 4 juillet 2019 relatives aux cookies et autres traceurs

Lignes directrices de la CNIL en date du 4 juillet 2019 relatives aux cookies et autres traceurs

 

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement