Les cookie walls pose des problèmes
Les recommandations et lignes directrices de la Commission
nationale de l’informatique et des libertés sont généralement sources de bonnes pratiques en matière de protection des données.
Néanmoins dans une décision fraîchement rendue par le conseil d’état
à partiellement annulé les lignes directrices de la Cnil sur les cookies
et autres traceurs, en particulier sur la pratique des « cookie walls ».
Les lignes directrices en matière de cookies et autres traceurs adoptées par la Cnil résultent d’une délibération en date du 4 juillet 2019 dans le cadre d’un plan d’action sur le ciblage publicitaire. Elle traitaient notamment de la pratique des «cookie walls» développée par certains sites internet, en particulier de presse, qui subordonne l’accès aux contenus en ligne à
l’acceptation préalable des cookies à des fins de ciblage publicitaire. À cet égard, la Cnil avait retenu l’interdiction des cookie walls sur le fondement de l’illicéité du recueil du consentement des personnes concernées
qui subiraient des «inconvénients majeurs en cas d’absence ou de retrait du consentement». D’après elle, le fait de bloquer l’accès à des sites au moyen de cookie walls est susceptible de constituer un tel inconvénient altérant ainsi le consentement des utilisateurs.
Au soutien de son argumentation, la Cnil faisait référence à la déclaration du Comité européen de protection des données
(CEPD) sur la révision de la directive ePrivacy publiée le 25 mai 2018 qui préconisait l’interdiction des cookie walls au regard de «la nécessité d’obtenir le consentement libre des utilisateurs». Dans ses dernières lignes
directrices du 4 mai dernier, le CEPD a d’ailleurs réaffirmé sa position et la nécessité de clarifier les conditions de recueil du consentement via les cookie walls.
Des professionnels de la publicité en ligne et des médias ont alors saisi le Conseil d’État d’un recours pour excès de pouvoir en vue de l’annulation de la délibération de la Cnil datée du 4 juillet 2019. Cette décision, très
attendue, a été rendue le 19 juin dernier. Pour l’essentiel, les interprétations et recommandations énoncées dans les lignes directrices de la Cnil ont été validées par la juridiction suprême de l’ordre administratif.
Toutefois, le Conseil d’État invalide le raisonnement de la Cnil sur l’interdiction des cookie walls, jugeant qu’en déduisant de la seule exigence d’un consentement libre une «interdiction générale et absolue» de la pratique des cookie walls, «la Cnil a excédé ce qu’elle peut légalement faire».
Il rappelle aussi que la Cnil doit veiller à respecter le cadre légal
défini qui, sur le fondement de l’article 8, I, 2° de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ne lui octroie pas davantage que l’exercice d’un droit souple. Par conséquent, si la Cnil peut tout à fait poursuivre un objectif pédagogique en élaborant des
lignes directrices, elle ne peut en revanche aucunement aller au delà de la lettre des textes normatifs. D’ailleurs, en 2013, le Conseil d’État qualifiait déjà, dans son rapport annuel, le droit souple de «phénomène dont l’importance ne peut plus être ignorée» que la Cnil utilisait «abondamment», et alertait : «Il convient d’abord de veiller à ce que les auteurs du droit souple ne sortent pas de leur domaine de compétence».
La Cnil a assuré dans une communication en date du 19 juin dernier qu’elle «prend acte de la décision du Conseil d’État et s’y conformera strictement» et «ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer». Cette nouvelle recommandation devrait intervenir après la rentrée de septembre 2020.