Accéder au contenu principal

Cookies : annulation partielle des lignes directrices de la Cnil

Le Conseil d’Etat confirme les lignes directrices de la Cnil relatives au recueil du consentement des internautes aux cookies et autres traceurs, sauf en ce qui concerne les "cookie walls", pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies.

Le Conseil d’Etat confirme les lignes directrices de la Cnil relatives au recueil du consentement des internautes aux cookies et autres traceurs, sauf en ce qui concerne les « cookie walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies.
La Commission nationale de l’informatique et des libertés (Cnil) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion déposés par les éditeurs de sites internet dans les ordinateurs, tablettes ou téléphones des utilisateurs à des fins, notamment, de ciblage publicitaire.
Diverses associations professionnelles ont saisi le Conseil d’Etat d’une requête tendant à l’annulation de ces lignes directrices. Elles contestaient l’interdiction, par les lignes directrices attaquées, de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies et des traceurs de connexion. Elles critiquaient également le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ».
Dans un arrêt du 19 juin 2020 (requête n° 434684), le Conseil d’Etat juge que la Cnil ne pouvait pas interdire la pratique des « cookie walls ». Elle a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple », en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD – Règlement 2016/679). En effet, la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.
Concernant le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte », le Conseil d’Etat rappelle que la loi n° 78-17 du 6 janvier 1978 impose que le consentement de l’utilisateur préalable au dépôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Il précise que cette exigence implique, lorsque que le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités. Le Conseil d’Etat juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.
Par ailleurs, le Conseil d’Etat confirme la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.
Stéphanie BAERT