Franse Raad van State vernietigt cookiewall-verbod van de CNIL

De Franse Raad van State vernietigt het cookiewall-verbod van Franse gegevensbeschermingsautoriteit (de CNIL), maar cookie walls blijven uiteindelijk wel verboden. De CNIL mag volgens de Franse Raad van State geen cookie walls verbieden, maar wel aanraden om geen cookie walls te gebruiken. Als een cookie wall in strijd is met de principes van de AVG (bv. door ongeldige toestemming) of de Franse wet op de gegevensbescherming, kan de CNIL nog steeds het gebruik van een dergelijke cookie wall sanctioneren. Een korte analyse van het arrest.

Achtergrond

In juli 2019 heeft de CNIL richtsnoeren vastgesteld voor de toepassing van artikel 82 van de Franse wet van 6 januari 1978 voor het lezen van of schrijven in eindapparatuur van gebruikers (met name voor cookies en andere tracers). Dit artikel zet de bepalingen van de ePrivacy-richtlijn om. 

In haar richtlijnen herinnert de CNIL aan de toepasselijke wetgeving voor het lezen van of schrijven in de eindapparatuur van een gebruiker, en in het bijzonder het gebruik van cookies en andere tracers. Zij gaat met name in op de modaliteiten van de toestemming, aangezien "tracers [zoals cookies] waarvoor toestemming nodig is, kunnen niet voor lezen of schrijven gebruikt worden zolang de gebruiker zijn wil daartoe niet vooraf op vrije, specifieke, geïnformeerde en ondubbelzinnige wijze kenbaar heeft gemaakt door middel van een verklaring of een duidelijke positieve handeling" (vertaald uit het Frans).

De CNIL richtte zich met name op de vrije en specifieke aard van de toestemming met betrekking tot cookie walls, namelijk de praktijk om de toegang tot een website of mobiele applicatie afhankelijk te maken van de toestemming voor de installatie van cookies en tracers op het gebruikte apparaat. Na het standpunt van de European Data Protection Board (EDPB) over dit onderwerp in herinnering te hebben gebracht, was de CNIL van mening dat "de algemene aanvaarding van algemene gebruiksvoorwaarden geen geldige manier kan zijn om toestemming te verkrijgen, voor zover deze niet voor elk doel afzonderlijk kan worden gegeven" (vertaald uit het Frans), en dat cookies walls dus geen aanvaardbare praktijk zijn en niet voldoen aan de GDPR. De CNIL stelde ook dat het op algemene wijze aanvaarden van cookies en tracers alleen mag is als deze wordt aangevuld met de mogelijkheid om specifiek voor elk doel toestemming te geven. De CNIL rechtvaardigde dit verbod met de noodzaak om vrije en specifieke toestemming te verkrijgen, wat door de aard van de cookie walls niet mogelijk is.

Deze richtlijnen werden breed bekritiseerd en voor de Franse Raad van State werd voornamelijk aangevochten dat deze richtlijnen te ver gingen. Eisers - grote mediabedrijven - voerden met name aan dat de bestreden richtlijnen in strijd waren met de toepasselijke wet- en regelgeving door het gebruik van cookie walls te verbieden, waardoor de vrijheid van ondernemen en het recht op toegang tot informatie onnodig werden ingeperkt.

De beslissing van de Raad van State

Niet alleen relevant voor de cookie walls

Het belang van de beslissing van de Raad van State is niet beperkt tot de cookie walls. De eisers voerden aan dat de CNIL niet bevoegd was omdat zij niet bevoegd was om richtlijnen te geven over gegevens van niet-persoonlijke aard uit hoofde van enige wettelijke of bestuursrechtelijke bepaling. Eisers stelden ook dat de CNIL haar bevoegdheden had overschreden en blijk had gegeven van een onjuiste rechtsopvatting door haar richtlijnen te baseren op die van de EDPB, die geen bindende rechtskracht hebben.

De bevoegdheid van de CNIL 

De Raad van State herinnert eraan dat de CNIL bevoegd is op basis van de Franse wet op de gegevensbescherming. Artikel 20 van de wet geeft de voorzitter van de CNIL de bevoegdheid om corrigerende maatregelen te nemen in geval van niet-naleving van de verplichtingen die voortvloeien uit Verordening (EU) nr. 2016/679 (de AVG) of haar eigen bepalingen. De Franse wet op de gegevensbescherming zet echter ook de bepalingen van de ePrivacy-richtlijn om, die onder andere cookies regelt. De Raad van State concludeert dat uit de algemene regeling van de wet op de gegevensbescherming volgt dat de CNIL verantwoordelijk is voor de naleving van elke gegevensverwerking die binnen haar toepassingsgebied valt, ongeacht of het om persoonsgegevens gaat. Daarom was de CNIL bevoegd om "richtlijnen" vast te stellen die in het algemeen van toepassing zijn op "cookies" en andere tracers.

De regeling voor cookies en tracers

Volgens de Raad van State is het niet omdat de CNIL verwijst naar het werk van de EDPB dat deze bindende waarde wil geven. De verwijzing naar het werk van de Raad van State wordt immers verklaard door zijn opdracht, die erin bestaat te zorgen voor een uniforme toepassing van de AVG. In navolging van het werk van de EDPB verwijst de CNIL dus naar een interpretatie die in de hele Europese Unie wordt erkend. Zo benadrukt de EDPB in advies 5/2019 het verband tussen de ePrivacy-richtlijn en de AVG en opnieuw in de richtlijn over toestemming van mei 2020 dat de praktijk van de cookie walls niet in overeenstemming is met de ePrivacy-richtlijn, aangezien deze geen vrije toestemming in de zin van de ePrivacy-richtlijn toestaat. Zowel de Autoriteit Persoonsgegevens als de EDPB zijn van mening dat cookie walls geen vrije toestemming toestaan en dus ook niet zijn toegestaan. Ook de Belgische Gegevensbeschermingsautoriteit is deze mening toegedaan.

De moeilijkheid ligt hier in de verschillen in aard tussen de EDPB-richtsnoeren, die niet-bindende aanbevelingen zijn, en die van de CNIL, die het resultaat zijn van beraadslagingen en bindende kracht hebben. Volgens de Franse Raad van State was de CNIL, die de draagwijdte van de aanbevelingen van de EDPB niet verkeerd heeft begrepen, echter “niet van plan om deze bindende kracht te verlenen door het standpunt van de EDPB op [cookie walls] in herinnering te brengen, zonder zich deze eigen te maken" (vertaald uit het Frans).

Het verbod op cookie walls

De Raad van State heeft het verzoek van de eisers op alle punten afgewezen, behalve dat van het algemene en absolute verbod op cookie walls. 

De bewering van de CNIL dat de toestemming alleen geldig is als de betrokkene geen grote hinder ondervindt van het ontbreken of intrekken van zijn toestemming, zoals de onmogelijkheid om toegang te krijgen tot een website of applicatie vanwege een cookie wall, is immers een algemeen en absoluut verbod. Volgens de Raad van State kan een dergelijk verbod niet worden afgeleid uit het enkele vereiste van vrije toestemming. Als zodanig heeft de CNIL haar bevoegdheden overschreden op grond van een soft law instrument zoals richtlijnen. De Raad van State is dan ook van mening dat de CNIL bij het opstellen van soft law haar bevoegdheden heeft overschreden door een algemeen verbod af te leiden uit een bepaling van de AVG. 

De gevolgen van de beslissing van de Raad van State

De CNIL heeft verklaard kennis te nemen van het arrest van de Raad van State en zal haar richtlijnen aanpassen.

Men zou echter kunnen opmerken dat zelfs als de CNIL bij het opstellen van soft law geen algemeen en absoluut verbod kan afleiden uit de tekst van de GDPR, zij in het kader van het aannemen van richtlijnen wel aanbevelingen kan doen over de tenuitvoerlegging van de AVG en de Franse wet op de gegevensbescherming. Dus als de CNIL de cookies niet kan verbieden, kan ze wel nog aanbevelingen doen over de implementatie van de cookies (en de cookie walls). Bijgevolg kan elke niet-naleving door de CNIL van de aanbevelingen in haar richtlijnen uiteindelijk toch worden gesanctioneerd.

In de praktijk zijn cookie walls dus niet verboden, maar elke beheerder van een website die gebruik maakt van cookies en andere tracers zal alle andere aanbevelingen van de CNIL wel moeten volgen. 

Wat moet uw organisatie doen?

Hoewel de Franse Raad van State het absolute verbod op cookie walls van de CNIL heeft opgeheven, blijft het een feit dat een dergelijke praktijk niet in overeenstemming met de AVG lijkt te zijn. Bovendien spreekt de Raad van State zich niet uit over de wettelijkheid van de cookie wall, maar alleen over het feit dat de CNIL niet bevoegd is om deze te verbieden door middel van een richtlijn. 

Zelfs als cookie walls niet voldoen aan de AVG, worden ze eigenlijk niet verboden door de CNIL. Wel kan de CNIL de praktijken die hieruit volgen, zoals een ongeldige toestemming, blijven sanctioneren. Daarom wordt nog steeds aanbevolen om cookie walls te vermijden.

Heeft u vragen over cookies of cookie walls? Neem dan contact op met Timelex.