Le Conseil d'Etat français annule l'interdiction des cookie walls imposée par la CNIL

L'autorité française de protection des données (la CNIL) n'est pas autorisée à interdire les cookies walls selon le Conseil d'État français, mais elle peut recommander de ne pas utiliser de cookies walls. Par ailleurs,  quand un cookie wall enfreint les principes du RGPD ou de la loi française sur la protection des données, la CNIL peut toujours sanctionner l'utilisation de ce cookie wall. Une brève analyse de l'arrêt :

Contexte :

En juillet 2019 la CNIL adoptait des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 (la loi Informatique et Libertés) modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs). Cet article transpose les dispositions de la Directive ePrivacy. 

Dans ces lignes directrices la CNIL rappelle le droit applicable concernant les opérations de lecture ou écriture dans le terminal d’un utilisateur, et notamment l’usage des cookies et autres traceurs. Elle aborde en particulier les modalités du consentement puisque les ‘traceurs [tels que les cookies] nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair’.

La CNIL s’attardait en particulier sur le caractère libre et spécifique du consentement en relation avec les cookies walls, une pratique qui consiste à conditionner l’accès à un site web ou à une application mobile au consentement à l’installation de cookies et traceurs sur l’appareil utilisé. Après avoir rappelé la position du Comité européen sur la protection des données (CEPD) à ce sujet, la CNIL considérait que « l’acceptation globale de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité », et que donc les cookies walls ne sont pas une pratique acceptable en termes de protection des données et ne sont pas conformes au RGPD. La CNIL expliquait également que l’acceptation de cookies et traceurs de façon globale n’est acceptable que si elle est complétée par la possibilité de consentir spécifiquement à chaque finalité. La CNIL justifiait cette interdiction sur la nécessité d’obtenir un consentement libre et spécifique, ce que par nature, les cookie walls ne permettent pas.

Ces lignes directrices furent largement critiquées, et la section du contentieux du Conseil d’Etat français fut saisie à titre principal d’une requête en annulation pour excès de pouvoir des lignes directrices. Les requérants (de grandes entreprises de presse) soutenaient en particulier que les lignes directrices attaquées méconnaissaient les dispositions législatives et réglementaires applicables en posant l’interdiction du recours aux cookie walls, et portaient ce faisant une atteinte excessive à la liberté d’entreprendre et à la liberté d’information.

La décision du Conseil d’Etat

Pertinence de la décision au-delà des cookie walls 

L’intérêt de la décision du conseil d’Etat ne se limite pas au cookies walls. Parmi les moyens soulevés, les requérants soutenaient que la CNIL ne serait pas compétente car elle ne tiendrait d’aucune disposition législative ou règlementaire le pouvoir d’édicter des lignes directrices portant sur des données dénuées de caractère personnel. Les requérants soutenaient également que la CNIL aurait outrepassé ses pouvoirs et commis une erreur de droit en fondant ses lignes directrices sur celles du CEPD, qui sont dépourvues de force juridique contraignante.

Sur la compétence de la CNIL 

Le conseil d’Etat rappelle que la CNIL est compétente sur la base de la loi Informatique et Libertés. En effet, l’article 20 de la loi confie au président de la CNIL le pouvoir de prendre des mesures correctrices en cas de non-respect des obligations résultant du règlement (UE) 2016/679 (le RGPD) ou de ses propres dispositions. Or la loi Informatique et Libertés transpose en droit français les dispositions de la Directive ePrivacy, qui règlemente entre autres les cookies. Le Conseil d’Etat conclut qu’il résulte de l’économie générale de la loi Informatique et Libertés que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d’application, qu’il concerne ou non des données à caractère personnel. Et que donc, la CNIL était bien compétente pour adopter des « lignes directrices » applicables, de manière générale, aux « cookies » et autres traceurs de connexion.

Sur le régime applicable aux cookies

D’après le Conseil d’Etat, ce n’est pas parce que la CNIL se réfère aux travaux du CEPD qu’elle cherche à leur conférer une valeur contraignante. En effet la référence aux travaux du CEPD s’explique pour la mission de ce dernier, qui est de garantir une application uniforme du RGPD. Et donc en faisant écho aux travaux du Comité la CNIL fait référence à une interprétation reconnue à travers l’Union européenne. Ainsi, dans son avis 5/2019 sur la relation entre la directive « vie privée et communications électroniques » et le RGPD, et de nouveau dans ses lignes directrices sur le consentement de mai 2020, le CEPD souligne que la pratique des cookie walls n’est pas conforme au RGPD, en ce qu’elle ne permet pas d’obtenir un consentement libre au sens du RGPD. L’autorité néerlandaise (Autoriteit Persoonsgegevens) comme le CEPD considère que les cookie walls ne permettent pas l’expression d’un consentement libre, et donc à ce titre ils ne sont pas autorisés.  L’Autorité de Protection des Données belge est aussi du même avis.

La difficulté ici découle des différences de nature entre les lignes directrices du CEPD, qui ne sont pas contraignante alors celles de la CNIL sont le résultat de délibérations et ont une force obligatoire. Cependant d’après le Conseil d’Etat français, « En rappelant la position du CEPD sur [les cookies walls], sans la faire sienne, la CNIL, qui ne s’est pas méprise sur la portée des recommandations du Comité, n’a pas entendu leur donner force obligatoire ».

Sur l’interdiction des cookie walls

Le Conseil d’Etat a rejeté la requête des requérants en tout point, sauf concernant l’interdiction général et absolue des cookie walls. 

En effet, l'affirmation de la CNIL selon laquelle le consentement n'est valable que si la personne concernée ne subit pas d’inconvénient majeur en cas d'absence ou de retrait de son consentement (comme l'impossibilité d'accéder à un site ou à une application en raison d'un cookie wall) est une interdiction générale et absolue. Selon le Conseil d'État, une telle interdiction ne peut être déduite de la seule exigence du libre consentement. À ce titre, la CNIL a outrepassé les pouvoirs qui lui sont conférés par un instrument de droit souple tel que les lignes directrices. Et donc le Conseil d’Etat considère que la CNIL excède ses pouvoirs lors de l’élaboration de droit souple en déduisant une interdiction générale d’une disposition du RGPD. 

Les conséquences de la décision du Conseil d’Etat

La CNIL a déclaré prendre note de la décision du conseil d’Etat, et adoptera ses lignes directrices en conséquence.

Si la CNIL ne peut déduire du texte du RGPD une interdiction générale et absolue lors de l’élaboration de droit souple (soft law), elle peut dans le cadre de lignes directrices faire des recommandations sur la mise en œuvre du RGPD et de la loi Informatique et Libertés. Donc si la CNIL ne peut pas interdire les cookie walls, elle peut en revanche donner des recommandations sur la mise en œuvre des cookies (et des cookies walls). C’est pour cette raison que le reste de la délibération n’est pas entaché de nullité.  Dès lors, tout manquement constaté par la CNIL aux recommandations faites dans ses lignes directrices peut être sanctionné.

En pratique les cookie walls ne sont donc pas interdits, mais tout operateur mettant en œuvre des cookies et autres traceurs devra mettre en œuvre toutes les autres recommandations de la CNIL. 

Que faire ?

Si le Conseil d’Etat a retoqué la CNIL dans son interdiction absolue des cookie walls, il n’en reste pas moins qu’une telle pratique n’est pas considérée comme conforme au RGPD. Par ailleurs, le Conseil d’Etat ne se prononce pas sur la légalité des cookie walls, mais simplement sur le fait que la CNIL n’a pas la compétence pour les interdire par un instrument de droit souple. 

De fait, même si les cookie walls ne sont pas conformes au RGPD, ils ne sont pas interdits par la CNIL. Cela dit, si la CNIL ne peut donc pas les sanctionner en tant que tels, les pratiques qu’ils peuvent entrainer, notamment en termes d’information et de validité du consentement peuvent, elles, être sanctionnées.  Il est donc recommandé d’éviter les cookie walls.

Vous avez des questions sur les cookies ou les cookie walls ? Contactez Timelex.