Le 19 juin 2020, le Conseil d’Etat a rendu une décision concernant les lignes directrices publiées par la Cnil en matière de cookies[1], à la suite d’un recours introduit par des professionnels du secteur du numérique.
Ces lignes directrices, qui datent du 4 juillet 2019, ont pour objet de rappeler le droit applicable aux opérations de lecture ou écriture dans le terminal d’un utilisateur et notamment l’usage des cookies et autres traceurs.
Dans cette décision, le Conseil d’Etat écarte l’interdiction générale et absolue d’intégrer aux sites internet un « cookie wall », qui bloque l’accès au site à l’internaute qui n’aurait pas consenti au dépôt de cookies et traceurs sur l’appareil qu’il utilise pour naviguer sur internet (ordinateur, tablette, smartphone…).
La Cnil affirmait dans ses lignes directrices que la validité du consentement de l’internaute était soumise à la condition qu’il ne subisse pas d’inconvénient majeur, tel que l’impossibilité d’accéder à un site internet à cause d’un « cookies wall », en cas d’absence ou de retrait de son consentement.
Le Conseil d’Etat indique[2] qu’en interprétant ainsi la validité du consentement des internautes, la Cnil a excédé ses compétences en déduisant une interdiction générale et absolue d’une disposition juridique qui mentionne seulement l’exigence d’un « consentement libre ».
Ainsi, la décision publiée n’a pas pour effet de censurer la délibération de la Cnil mais de rappeler les contours de son pouvoir normatif au regard de sa mission d’accompagnement et d’information vis-à-vis de la réglementation applicable (différence entre règlements types, recommandations, lignes directrices, avis…).
La Cnil indique qu’elle prend acte de cette décision et qu’elle s’y conformera strictement en ajustant le contenu de ses lignes directrices et en précisant les modalités de recueil du consentement des internautes en matière de cookies dans une future recommandation dont la publication est attendue pour cette année 2020.
L’enjeu était de taille dans la mesure où ces lignes directrices, qui livrent aux professionnels l’interprétation de la Cnil de la réglementation applicable, peuvent les conduire à voir prononcées à leur encontre de lourdes sanctions administratives issues de l’entrée en application du RGPD le 25 mai 2018.
La publication des lignes directrices modifiées, ainsi que de la future recommandation, devrait permettre aux acteurs des nouvelles technologies de mettre leur(s) site(s) internet en conformité avec les dispositions relatives à la protection des données personnelles, en sécurisant ainsi un périmètre de non-conformité particulièrement exposé.
[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)
[2] CE n°434684, 19 juin 2020, paragraphe 10.