Le Conseil d’État s’est récemment prononcé sur un différend opposant la CNIL et un groupe d’éditeurs variés autour de point liés au consentement et au dépôt de cookies sur les terminaux des internautes. La décision du Conseil d’État a fait l’objet d’une reprise dans un certain nombre d’articles de presses, ces derniers clament que bloquer un internaute refusant les cookies est légal, que la CNIL a été désavouée, que « le Conseil d’État donne raison aux éditeurs ».
Est-ce vraiment ce que dit la décision rendue par le Conseil d’État ? C’est ce que nous allons voir (spoiler : non).
Les griefs des requérants
L’association des agences-conseils en communication, la fédération du e-commerce et de la vente à distance, le groupement des éditeurs de contenus et services en ligne, l’Interactive Advertising Bureau France, la Mobile Marketing Association France, le syndicat national communication directe de la data à la logistique, le syndicat des régies internet, l’union des entreprises de conseil et d’achat media et l’union des marques, demandaient au Conseil d’État :
- d’annuler la décision d’adoption des lignes directrices relative aux cookies et autres traceurs
- de statuer sur un certain nombre de question préjudicielles sur l’interprétation de deux directives et du RGPD.
- de contraindre la CNIL à indemniser les requérants ayant subi le contentieux, à hauteur de 15 000€ (article L. 761 du code de justice administrative) ou, pour « vulgariser », les requérants demandaient à la CNIL de payer les frais engagés dans la procédure.
Les « cookie walls »
Un point très attendu de cette décision concerne les cookies walls. Les cookies walls, ce sont ces petites choses là…
Ces « murs » sont la première et parfois la seule chose que vous voyez d’un site lorsque vous arrivez dessus. Le but est d’interpeller l’internaute et de lui dire, en substance « si tu viens sur mon site Internet, tu acceptes que je viennes déposer des cookies dans ton terminal, voire des cookies publicitaires et des cookies tiers et, si tu refuses, tu peux partir de mon site Internet. »
Le désaccord entre les requérants et la CNIL est le suivant : dans sa ligne directrice relative aux cookies, la CNIL a déclaré que ces « cookies walls » n’étaient pas légaux. Elle fondait son propos sur la ligne directrice (PDF) relative au consentement, édictée par le Comité Européen à la Protection des Données, ou CEPD, qui explique que cette pratique est contraire au RGPD (le soulignage est fait par mes soins) :
39. In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information,or gaining of access to information already stored,in the terminal equipment of a user (so called cookie walls).
40. Example 6a: A website provider puts into place a script that will block content from being visible except for a request to accept cookies and the information about which cookies are being set and for what purposes data will be processed. There is no possibility to access the content without clicking on the “Accept cookies” button. Since the data subject is not presented with a genuine choice, its consent is not freely given.
41. This does not constitute valid consent, as the provision of the service relies on the data subject clicking the “Accept cookies” button. It is not presented with a genuine choice.
Source : EDPB (CEPD en français)
Les éditeurs, on peut s’en douter, ne partagent pas cette vision et cette orientation de la CNIL. Certains déclarent que les cookies walls sont parfaitement conformes au RGPD, d’autres que de cette pratique dépend leur business model voire leur survie et d’autres expliquent que la CNIL n’est pas compétence pour se prononcer sur ces aspects.
Le Conseil d’État a tranché : la CNIL n’est effectivement pas compétente pour déclarer que les cookies walls sont contraires au droit. Une telle disposition ne peut pas être déclarée dans une mesure de droit souple.
Droit souple ? Depuis quand le droit c’est souple ?
Je vous vois venir : « non mais le droit, c’est binaire, c’est absolu, c’est simple !!!!! » Jean Claude, chut. Tu vas te rasseoir, tu reprends ton cahier et tu notes.
Le droit souple est une « façon » d’exprimer le droit, dans des mesures contradictoires et moins contraignantes. Le droit « dur », le droit « classique » si vous préférez est défini par son caractère incontournable, contraignant et obligatoire. Il interdit strictement quelque chose, des exceptions strictement encadrées à ce droit peuvent voir le jour mais il reste obligatoire. Ce n’est pas le cas du droit « souple ». Les lignes directrices, les recommandations, les avis ou les chartes de bonne conduite sont, par exemple, des mesures de droit souple.
Ce droit se caractérise donc par son critère non obligatoire, il indique les lignes à suivre, le principe général. Il est possible dans certains cas spécifiques de déroger à ces règles.
On comprendra donc qu’il n’est pas possible, au travers d’une mesure de droit souple, d’interdire formellement un usage, une technologie, … Tout au plus cela relèvera de l’avis et de l’interprétation de l’autorité qui aura édicté cette mesure de droit souple, mais ne pas la respecter ne fera pas tomber un organisme dans l’illégalité. Il pourra contester, devant les autorités compétentes, la capacité de l’autorité ayant émis la mesure de droit souple… C’est ce qui s’est produit dans le présent cas.
En portant le litige au Conseil d’État, les plaignants ont souhaité trancher sur la capacité de la CNIL à interdire formellement les cookies walls au travers d’une mesure de droit souple. C’est pour cette raison que le Conseil d’État a décidé que l’interdiction de la CNIL était entachée d’illégalité, la CNIL n’étant pas compétente pour édicter de telles restrictions au travers d’une mesure de droit souple.
Donc les cookies walls sont légaux et on peut interdire l’accès à un site à un internaute ?
Du calme, Jean Claude.
La réponse n’est pas aussi évidente que ça. Les journaux ont certes titré « Selon le Conseil d’Etat, un éditeur peut bloquer l’accès à son site à un internaute qui refuserait les cookies » (Le Monde) mais dans les faits, c’est un poil plus compliqué.
Le Conseil d’État n’a pas dit que les cookies walls étaient légaux. Il n’a pas non plus dit que les sites pouvaient bloquer les accès à internaute qui refuserait les cookies. Il a simplement souligné que la CNIL n’était pas compétente pour décider d’interdire les cookies walls au travers d’une mesure de droit souple. Ni plus, ni moins.
Cela ne rend pas la pratique licite, cela ne l’interdit pas non plus. Cette question de fond n’a pas trouvé réponse et le débat n’est donc pas encore terminé. La CNIL a pris acte de la décision du Conseil d’État et va modifier ses lignes directrices en conséquence, mais la licéité des cookies walls n’est, au final, pas tranchée.
La suite ?
C’est un peu la question que je me pose… Il est possible que la décision change la donne entre les internautes et les éditeurs qui font usage des cookies walls.
Premièrement car si ces derniers interprètent mal la décision du Conseil d’État, ils risquent vraiment de bloquer les internautes qui refuseraient le dépôt de cookies. Nous pourrions donc en arriver à une situation d’opposition entre les éditeurs et les internautes, les premiers défendant qu’ils ont le droit et que leur survie en dépend, les second refusant d’être dans l’obligation d’accepter un quelconque tracking non justifié pour accéder à un contenu en ligne.
La suite pourrait très bien être parfaitement identique à l’actuelle situation : les éditeurs gardent leurs cookies walls, la CNIL ne les considérera simplement plus comme étant contraires au RGPD et « basta ».
Il existe une possibilité que j’entrevois au loin : comme je l’écrivais plus haut, le CEPD, dans ses lignes directrices, a explicitement dit que les cookies walls n’étaient pas conformes au RGPD. Il est donc possible, pour la CNIL, dans le cadre de ses contrôles ou son alignement, de faire appel aux orientations du CEPD pour condamner la pratique.
Seule problématique, d’ailleurs identifiée dans la décision du Conseil d’État : les lignes directrices du CEPD sont des mesures de droit souple, il est possible d’attaquer ces dernières devant la cour de justice compétente, la CJUE dans ce cas, et de la forcer à statuer, mais c’est risquer gros : elle pourrait très bien déclarer que c’est effectivement contraire au RGPD, cela mettrait un coup d’arrêt définitif aux cookies walls…
A suivre…
Bravo ! Enfin ! Ouf ! Quelqu’un qui sort du lot et qui lit réellement les textes.
Merci d’avoir apporté votre éclairage sur la décision rendue par le Conseil d’État.
Mon avis est complémentaire, sur la finalité des cookies walls.
https://www.facebook.com/ibrainsystem85/posts/881217905720063