Le Conseil d’Etat autorise la CNIL à laisser faire en matière de cookies et autres traceurs

Faits : Par un communiqué en date du 28 juin 2019, la CNIL annonce avoir élaboré un plan d’actions pour l’année 2019-2020 visant à préciser les règles applicables en matière de ciblage publicitaire en ligne et permettant d’accompagner les acteurs dans leur mise en conformité auxdites règles.

Par un autre communiqué publié sur son site le 18 juillet 2019, la CNIL a apporté des précisions sur sa délibération à savoir qu’elle engagerait une concertation pour permettre l’adoption d’une recommandation visant à préciser les modalités pratiques du recueil du consentement pour le dépôt des cookies et autres traceurs de connexion, prévue au premier trimestre 2020.

Enfin, elle prévoit une période d’adaptation de 6 mois après ladite recommandation destinée à permettre aux opérateurs d’intégrer ces nouvelles règles et de se mettre en conformité.

Les associations « La Quadrature du net » et « Caliopen » reprochent à la CNIL de demeurer dans un esprit de pédagogie et de refuser d’user de ses prérogatives pour sanctionner les manquements aux règles applicables en matière de cookies et traceurs, alors que le RGPD est applicable depuis 2018 et que les entreprises avaient 2 ans pour s’y préparer. Par requête en date du 29 juillet 2019, elles saisissent le Conseil d’Etat en demandant notamment :

  • L’annulation pour excès de pouvoir de la décision de la CNIL révélée les 28 juin et 18 juillet 2019 par des communiqués de presse,
  • Une injonction à la CNIL de publier un encart, sur la page d’accueil de son site web et sur les pages de ses communiqués des 28 juin et 18 juillet, sous astreinte de 500 €/jour de retard, faisant référence à la décision du Conseil d’Etat et indiquant que « la poursuite de la navigation » ne répond pas aux conditions de validité du consentement en matière de cookies et de traceurs en ligne,

Sur la fin de non-recevoir opposée par la CNIL : Il est établi que le plan d’action élaboré par la CNIL constitue une prise de position publique quant aux maniements des prérogatives dont elle dispose, notamment en matière répressive, qui a pour objet d’influer sur le comportement des opérateurs auxquels elle s’adresse. A cet égard, l’objet social de cette prise de position concerne la défense des libertés sur internet et la protection de la confidentialité des données personnelles, ce qui la rend dommageable pour les associations qui sont donc recevables à en demander l’annulation. La fin de non-recevoir est donc écartée.

Sur la légalité de l’acte attaqué : Le CE confirme que la CNIL a établi que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » et que « l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement » à un traitement de données personnelles.

Il rappelle par ailleurs que la CNIL dispose, s’agissant de l’usage des prérogatives qui lui ont été conférées pour l’accomplissement de ses missions, d’un large pouvoir d’appréciation, en particulier pour ce qui concerne l’exercice de son pouvoir de sanction, que ce soit pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir.

Elle est donc libre d’informer de sa pratique et a d’ailleurs souligné que pendant la période de transition envisagée elle continuera à contrôler le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage.

Le CE a été considéré que la période d’adaptation de 6 mois durant laquelle la CNIL ne mettra pas en mouvement son pouvoir répressif concernant la poursuite de la navigation comme expression du consentement permettra, à son terme aux opérateurs de respecter les principes de consentement et d’information préalable des internautes (sur les finalités de cookies et les moyens pour s’y opposer) en leur permettant d’être accompagnés dans l’objectif d’une complète mise en conformité d’ici l’été 2020.

Décision : Le Conseil d’Etat rend sa décision le 16 octobre 2019. La requête des associations y est rejetée, le Conseil d’Etat ayant décidé qu’en fixant, à échéance raisonnable, une obligation de mise en conformité que ses pouvoirs répressifs ne seraient pas susceptibles de faire respecter plus rapidement, la CNIL n’a pas porté atteinte au droit au respect de la vie privée et au droit à la protection des données personnelles. Le Conseil d’Etat confirme ainsi la liberté de la CNIL, dans son pouvoir d’appréciation de l’opportunité de sanctionner ou non et de ses méthodes pour parvenir au respect de la réglementation. A noter, par ailleurs, que la CNIL n’a pas exclu la possibilité de faire usage de ses prérogatives répressives notamment en cas d’atteinte particulièrement grave aux principes précités.

Ce qu’il faut en retenir : L’impact de cette décision pour les entreprises doit être mesuré car s’il est admis que la CNIL puisse décider de laisser davantage de temps pour la mise en conformité des bandeaux cookies (rappelons que le bandeau cookies du site de la CNIL est lui-même resté non conforme plusieurs mois après l’entrée en vigueur du RGPD…), on ne peut aucunement en tirer que la CNIL ne sanctionnera pas les comportements fautifs avant mi-2020.

Il y a sans doute un certain laxisme à permettre de ne pas sanctionner immédiatement la collecte illicite de cookies et traceurs (qui porte effectivement atteinte à la vie privée des internautes concernés), d’autant que dans une démarche de mise en conformité d’une entreprise, la revue du bandeau cookies et la mise en place d’un process adapté/légal ne fait pas partie des opérations les plus complexes.

Il est assez amusant et symptomatique de constater que la collecte de cookies sur le site même du Conseil d’Etat est, au moment de sa décision, basée sur un consentement du seul fait de la navigation sur le site …

Pour en savoir plus : https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-16-octobre-2019-plan-d-action-de-la-cnil-en-matiere-de-publicite-ciblee