À la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion déposés par les éditeurs de sites internet sur les dispositifs des utilisateurs à des fins, notamment, de ciblage publicitaire.Des lignes directrices qui concernent le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés. Nous pouvons y lire que :
« tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
« 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
« 2° Des moyens dont il dispose pour s'y opposer.
« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
Concernant le champ d'application des lignes directrices, il est très large : tablette, mobile multifonction (smartphone), ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public
Il va d’ailleurs au-delà des seuls cookies HTTP : « les lignes directrices portent sur l'utilisation des cookies HTTP, par lesquels ces actions sont le plus souvent réalisées, mais ont également vocation à s'appliquer au recours à d'autres techniques : les local shared objects (objets locaux partagés) appelés parfois les cookies Flash , le local storage (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. »
La CNIL a estimé que «le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU. Cependant, la CNIL a laissé un délai de 12 mois aux acteurs du Web pour s'y conformer, justifiant cette période de grâce par « l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme ».
Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices. Il s’agissait notamment de l’association des agences-conseils en communication, la fédération du e-commerce et de la vente à distance, le groupement des éditeurs de contenus et services en ligne, l’Interactive Advertising Bureau France, la Mobile Marketing Association France, le syndicat national communication directe de la data à la logistique, le syndicat des régies internet, l’union des entreprises de conseil et d’achat media et l’union des marques, qui ont demandé au Conseil d’État à titre principal, d’annuler pour excès de pouvoir cette délibération du 4 juillet 2019 de la CNIL.
Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple désignent les instruments, tels que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque, mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.
Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités du traitement de données
Les requérants critiquaient également le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ».
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose que le consentement de l’utilisateur préalable au dépôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Le Conseil d’État précise que cette exigence implique, lorsque le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités. Le Conseil d’État juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.
Le Conseil d’État confirme par ailleurs la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.
Pour résumé, le Conseil d’État a estimé que la CNIL ne pouvait légalement interdire dans ses lignes directrices les « cookie walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Le Conseil d’État a confirmé en revanche la légalité des autres points contestés, relatifs au recueil du consentement des internautes aux cookies et autres traceurs.
Source : décision du Conseil d’État
Et vous ?
Que pensez-vous de cette décision ? Êtes-vous plutôt en accord avec la CNIL sur les « cookie walls » ou le Conseil d'État ? Que pensez-vous du recueil du consentement des internautes aux cookies et autres traceurs ? Cela devrait-il être systématique ? Dans quelle mesure ? 
