La CNIL réécrit sa délibération sur les cookies : ce qui change… (article rédigé le 22 septembre 2020)
La CNIL vient d’abroger, dans une délibération du 17 septembre 2020, sa délibération du 4 juillet 2019 adoptant des lignes directrices sur l’usage des « cookies et autres traceurs ». Ces modifications tirent les conséquences de la décision du Conseil d’État du 19 juin 2020 sur le sujet, qui avait partiellement invalidé cette première délibération.
Notre objectif ici n’est pas de rappeler par le menu les nouvelles règles posées, mais d’analyser les évolutions apportées par ce nouveau texte au regard de l’ancien.
1. En synthèse, que nous apprennent ces modifications ?
Dans l’ensemble, la nouvelle délibération a été rédigée pour se mettre à l’abri de nouvelles invalidations du Conseil d’État (et alors même que l’avis du CEPD va à l’encontre de l’analyse de celui-ci). La CNIL avait été accusée par le Conseil d’État de produire le droit, et non de l’interpréter. Elle s’exprime donc maintenant de façon bien plus précise, reprenant les notions juridiques exactes utilisées dans les directives et règlements visés (« équipements terminaux » au lieu de « terminaux », « équipement terminal » au lieu d’« objet », « actions de lecture » ou « d’écriture » au lieu d’« actions », etc.) et visant plus spécifiquement les articles du RGPD, ainsi que la loi de 1978 (qui n’était pas applicable dans sa nouvelle rédaction lorsque la délibération de juillet 2019 avait été publiée).
La Commission en profite pour viser, dans la nouvelle décision, des jugements qui n’avaient pas encore été rendus à l’occasion de la première délibération (CJUE, Décision « Planet 49 », du 1er octobre 2019, notamment) afin de renforcer son argumentation.
Le texte est également plus « objectif ». La Commission n’« attire » plus qu’exceptionnellement « l’attention » sur telle ou telle règle existante, de même qu’elle ne « relève » plus tel ou tel point important du texte. Elle circonscrit également plus clairement le champ d’application de la délibération, indiquant que celle-ci ne s’applique pas aux traitements portant sur les données produites ou collectées via un traceur alors que l’ancienne version visait « tout traitement portant sur un traceur ».
Les exemples pris ne tournent plus non plus autour des statistiques d’usage des services (cf. la qualification des acteurs), qui pouvaient prêter à discussion justement sur cette notion de « statistiques », mais sur la personnalisation du « contenu éditorial proposé à l’internaute ».
Par ailleurs, la notion de consentement reste centrale. Néanmoins, celui-ci ne doit plus « être conforme » au RGPD, mais prendre en compte la directive « ePrivacy » dans l’interprétation de ces notions, le RGPD apportant seulement des « clarifications » (au lieu de « venir renforcer » les exigences en matière de consentement, comme dans l’ancienne version).
D’ailleurs, ce n’est plus le renforcement des droits des personnes qui motive ces lignes directrices (comme dans la délibération de 2013, jadis), mais bien l’apport de ces clarifications par le RGPD.
Les lignes directrices ne seront plus « complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement », sachant que les recommandations de la CNIL ont parfois servi à fonder des sanctions en cas de non-respect[1]. À la place – et ce n’est pas anodin – les lignes directrices sont complétées par des recommandations « non prescriptives et non exhaustives », présentant notamment « des exemples et bonnes pratiques » de modalités « concrètes »
Le texte s’applique à toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur, la nouvelle délibération précisant qu’il s’agit de l’utilisation « d’un service de communications électroniques ».
2. Des cookies walls en sursis ?
Les modifications les plus importantes concernent notamment le caractère libre du consentement, partie spécifiquement concernée par la décision du Conseil d’État, notamment sur la question des cookies wall. S’appuyant sur l’avis du CEPD, la Commission considérait que les cookies wall devaient être interdits, ce en quoi elle rejoignait également peu ou prou la position de ses homologues allemandes.
Le Conseil d’État a reproché à la CNIL cette position, compte tenu de la nature de droit souple de la délibération. Dans sa nouvelle version, la Commission est logiquement plus circonspecte et indique que la pratique des cookies wall « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement » et que l’information fournie à l’utilisateur doit être complète (conséquences des choix et dont l’impossibilité d’accéder au service). Elle rejoint ainsi la position de son homologue britannique, l’ICO, plus tolérante, soulignant en effet simplement l’improbabilité d’un consentement valable en présence d’un cookie wall.
Dans tous les cas, le couplage de finalités avec consentement unique pour des finalités multiples (tel que l’acceptation de CGU) est problématique, de nature à altérer la validité du consentement. Sur ce point, la CNIL est conforme à sa doctrine. Toutefois elle n’interdit plus la pratique, mais sous-entend que l’éditeur du site aura fort à faire pour étayer la légalité de sa pratique en cas de contrôle (par exemple par le biais d’une analyse d’impact sur la vie privée ?).
3. Le consentement sous toutes ses formes
Parmi les informations à communiquer à l’utilisateur, la CNIL a ajouté deux types d’information à fournir aux utilisateurs, qui ne font in fine que rappeler des concepts déjà énoncés par ailleurs dans la délibération :
- la manière d’accepter ou de refuser les traceurs ;
- les conséquences qui s’attachent à un refus ou une acceptation des traceurs.
La CNIL capitalise sur la décision « Planet 49 » du 1er octobre 2019 de la CJUE précitée pour rappeler qu’en l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier.
L’ancienne délibération précisait que « dans la situation où ces organismes ne recueillent pas eux-mêmes le consentement des personnes, la Commission rappelle qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie. » Cela ne figure plus dans la nouvelle version, ce qui suppose donc a contrario qu’une telle pratique devient possible.
Concernant le retrait du consentement, la Commission précise maintenant que « le refus » du consentement « peut se déduire » du « silence » de l’utilisateur, le consentement demandant un acte positif.
Les développements sur la qualification des acteurs sont quant à eux beaucoup plus fouillés et argumentés. Ils font référence à des décisions non citées auparavant (CE, 6 juin 2018) ainsi qu’à des décisions rendues depuis la première décision (CJUE, 29 juill. 2019, Fashion ID GmbH). Il en ressort…un rappel de l’obligation du sous-traitant d’aider le responsable du traitement à respecter certaines de ses obligations, notamment celles relatives aux demandes d’exercice des droits des personnes.
Contrairement à la délibération de juillet 2019, qui était assez abstraite sur ce point, la délibération de septembre 2020 approfondit et argumente la notion de responsabilité conjointe, s’appuyant sur la décision du 6 juin 2018 du Conseil d’État pour mieux en éviter la critique. Elle en arrive à la conclusion que « l’organisme qui autorise l’utilisation de traceurs, y compris par des tiers, depuis son site ou application mobile, doit s’assurer de la présence effective d’un mécanisme permettant de recueillir le consentement des utilisateurs » et que l’organisme et les tiers en question « doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d’un consentement valable ».
Enfin, dans la nouvelle délibération, la CNIL est également beaucoup plus succincte qu’elle ne l’était auparavant sur le consentement via paramétrage du terminal. Sans que sa position de change, elle résume sa position en précisant que « à la date d’adoption des présentes lignes directrices, la Commission estime, en l’état des connaissances dont elle dispose et sans préjudice d’une possible évolution de la technique, que les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide ».
4. Et pour les cookies dispensés de consentement ?
Dans l’ancienne délibération, la CNIL mentionnait les traceurs dédiés à la l’audience du web ou de l’application ou bien au test des versions différentes afin d’optimiser ses choix éditoriaux en fonction de leurs performances respectives, les exemptant de demande de consentement, puis listait les « opérations de lecture ou écriture non soumises au consentement préalable » en indiquant qu’il fallait « malgré tout informer l’utilisateur » dans la politique de confidentialité des organisations y ayant recours.
Ce dernier point avait également été discuté par le Conseil d’État, qui avait considéré, par une interprétation du texte pour le moins surprenante, que la CNIL n’avait « pas entendu imposer une nouvelle obligation d’information non prévue par la loi, mais simplement favoriser la diffusion de bonnes pratiques pour l’utilisateur des traceurs non soumis à un consentement préalable ». La cause est entendue avec la nouvelle délibération : la « bonne pratique » n’y figure plus.
Plus globalement, dans la nouvelle délibération, l’approche de la CNIL est différente concernant les cookies exemptés de consentement préalable :
- En abordant le cas des cookies « mixtes » et en indiquant que le régime devait être différent suivant les fonctionnalités utilisées de ce cookie (authentification sans consentement, mais, en l’absence de consentement, impossibilité d’utiliser ce cookie à des fins publicitaires) ;
- En commençant par détailler les cookies exemptés du recueil du consentement (authentification, mémoire du panier d’achats, équilibrage de charge, mesure d’audience, etc.) et en ne reprenant pas l’obligation d’informer les utilisateurs de la présence de ceux-ci ;
- En indiquant que, concernant les cookies de mesures d’audience, des règles spécifiques s’appliquent.
Sur ce point, le lecteur ne peut que constater que plusieurs éléments majeurs de la précédente délibération manquent à l’appel et notamment : plus d’information préalable, plus de mention d’un droit d’opposition, plus d’interdiction d’utiliser l’adresse IP pour géolocaliser l’internaute, plus de limitation des durées de vie des traceurs.
Pourquoi ? L’explication est simple : le Conseil d’État avait considéré dans sa décision que « la CNIL, qui ne pouvait légalement pas fixer de durée limite de validité aux cookies de mesure d’audience », s’était « bornée à préconiser, à travers des orientations non contraignantes des durées d’usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité ».
À la relecture de la précédente délibération, nous cherchons encore cette vision du caractère non contraignant face à une recommandation présentée au contraire comme impérative, mais l’on note que le message a été reçu fort et clair là aussi par la CNIL : le passage a été supprimé.
5. Une délibération CNIL « bullet proof » ?
L’ensemble des modifications apportées concourent à un objectif : rendre la délibération à l’épreuve de toute critique. Étayée par les plus récentes décisions, clarifiée, précisée, s’appuyant sur les expressions des textes légaux, gommant les ajouts problématiques, la délibération semble difficilement critiquable sur le fond.
Mais le futur règlement « ePrivacy », s’il est un jour adopté, pourrait à nouveau rebattre les cartes. Et en pratique, le problème ne fait que se déplacer pour les responsables de traitement : en cas de contrôle, quel texte observer ? La délibération officielle plus succincte ou l’ancienne délibération plus hardie risquant de rester dans l’esprit des agents de la CNIL opérant les contrôles ? Et si une sanction était prise sur le fondement d’une interprétation discutable, sa contestation devant le Conseil d’État, à supposer qu’elle soit soutenue, serait-elle rendue avant le futur règlement ePrivacy ?
Encore une fois, le sujet des cookies et autres traceurs n’en a pas fini de provoquer des indigestions chez les responsables de traitement…
Et surtout, la conformité RGPD, si elle est souvent vue comme une contrainte, recèle d’importantes opportunités : quand les données sont mieux maîtrisées et les citoyens mieux informés sur les traitements, l’optimisation et la meilleure connaissance des citoyens permet une amélioration des services qui leur sont proposés, au bénéfice de tous.
Me François Coupez
Avocat à la Cour, Fondateur
Chargé d’enseignements (Paris II Panthéon-Assas, Paris Dauphine-PSL)
Certifié :
– Spécialiste en Droit des nouvelles technologies (CNB)
– DPO (CNIL – AFNOR, APAVE)
– ISO 27001 Lead implementer – niveau avancé (LSTI)
Crédits photo : Adobe Stock
[1] Ex : sanction de FNAC DIRECT le 19 juillet 2012 sur le fondement d’un manquement à une « simple » recommandation de 2003 en principe dénuée de tout caractère contraignant (Délibération n° 03-034 du 19 juin 2003 portant adoption d’une recommandation relative au stockage et à l’utilisation du numéro de carte bancaire dans le secteur de la vente à distance).
