Cookies : le Conseil d’État annule partiellement les lignes directrices de la CNIL

Le Conseil d’État juge que la CNIL ne pouvait galement interdire dans ses lignes directrices les « cookie walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Le Conseil d’État confirme en revanche la galité des autres points contestés, relatifs au recueil du consentement des internautes aux cookies et autres traceurs.
 
Cookies : le Conseil d'État annule partiellement les lignes directrices de la CNIL À la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion posés par les éditeurs de sites internet dans les ordinateurs, tablettes ou téphones des utilisateurs à des fins, notamment, de ciblage publicitaire.
 
Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices.

A lire aussi :  En attendant e-privacy : des cookies au goût amer

 
L’interdiction des « cookie walls » ne pouvait pas figurer dans les lignes directrices
 
Les requérants contestaient en particulier l’interdiction, par les lignes directrices attaquées, de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du pôt de cookies et des traceurs de connexion. 
 
Par la cision du 19 juin 2020, le Conseil d’État juge qu’en duisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au pôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excé ce qu’elle pouvait galement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple signent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.
 
Le consentement de l’utilisateur doit être précé d’une information spécifique pour chacune des finalités du traitement de données
 
Les requérants critiquaient également le point delignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ». La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose que le consentement de l’utilisateur préalable au pôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Le Conseil d’État précise que cette exigence implique, lorsque que le recueil du consentement est effectué de manière globale, qu’il soit précé d’une information spécifique à chacune des finalités. Le Conseil d’État juge que le passage contesté delignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.
 
Le Conseil d’État confirme par ailleurs la galité des autres points contestés delignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.