Par une décision du 19 juin 2020, le Conseil d’État a jugé que la CNIL ne pouvait légalement interdire dans ses lignes directrices la pratique des « cookie walls », c’est-à-dire le fait de bloquer l’accès à un site internet en cas de refus des cookies et traceurs de connexions par un internaute.
Une remise en cause limitée de la décision de la CNIL
Cette décision fait suite à la délibération n° 2019-093 du 4 juillet 2019 portant adoption par la CNIL de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur.
Parmi les mesures adoptées, l’article 2 de la délibération prévoyait en effet une interdiction absolue de la pratique des « cookie walls ».
Plusieurs associations professionnelles du secteur du marketing, des medias et de la publicité en ligne, estimant la position de la CNIL intenable, avaient saisi le Conseil d’Etat d’une requête tendant à l’annulation de ces Lignes Directrices.
Le Conseil d’Etat a confirmé la légalité de la plupart des points contestés, à l’exception de l’interdiction des « cookie walls ».
La décision du Conseil d’Etat relève que l’article 2 alinéa 4 des Lignes Directrices de la Cnil est entaché d’illégalité et doit être annulé. Le Conseil d’Etat souligne en effet que la Cnil ne pouvait pas interdire les « cookie walls » de manière générale et absolue.
Le raisonnement de la Cnil se fondait sur le fait que le RGPD exige que la personne concernée puisse exercer librement son consentement. La Cnil déduisait de ce principe que la validité du consentement était soumise : « à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister (…) dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookie walls ».
Le Conseil d’Etat juge que ce raisonnement excède ce que la Cnil est légalement en droit de faire, les lignes directrices de la Cnil ayant valeur de droit souple (soft law).
Dans le communiqué accompagnant la mise à disposition de l’arrêt sur son site Internet, le Conseil d’Etat rappelle que les actes de droit souple désignent : « les instruments (…) qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. ».
La décision du Conseil d’Etat ne porte donc pas précisément sur la conformité des « cookie walls » au RGPD mais sur la portée des pouvoirs de la Cnil lorsqu’elle édicte des actes de droit souple, tels que des Lignes Directrices.
Sur le fondement de ce même principe, le Conseil d’Etat a rejeté les demandes en nullité concernant la section de la Délibération portant sur les durées recommandées de conservation des cookies. Le Conseil d’Etat y relève en effet une préconisation de la Cnil « à travers des orientations non contraignantes des durées d’usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité (…) ».
Le Conseil d’Etat a par ailleurs rejeté les demandes d’annulation des autres dispositions contestées des Lignes Directrices, à savoir, notamment :
- La possibilité pour les personnes concernées de pouvoir refuser leur consentement au traitement de leurs données aussi facilement qu’elles peuvent l’accorder ;
- L’obligation d’informer les personnes concernées de l’identité des responsables de traitement qui déposent des cookies (et de tenir la liste de ces personnes à disposition des personnes concernées et à jour) ;
- L’obligation pour les responsables de traitement de pouvoir démontrer à la CNIL qu’ils ont recueilli un consentement valable.
La Cnil a publié sur son site Internet un communiqué indiquant qu’elle prenait acte de la décision du conseil d’Etat et modifierait ses Lignes directrices en conséquence.
Et maintenant ?
La décision du Conseil d’Etat donne un sursis à la pratique des Cookie Walls. La situation n’est pas pour autant clarifiée. La CNIL ne pouvait trancher définitivement que les Cookie Wall sont toujours et nécessairement contraires au RGPD. Dont acte. Cela ne rend pas pour autant la pratique des Cookie Walls licite. Il convient désormais d’attendre une décision sur le fond qui se prononcera non pas sur les pouvoirs de la CNIL, mais sur la licéité des Cookies Walls.
En attendant, et compte tenu des lignes directrices du Comité européen de la Protection des Données, les opérateurs doivent faire preuve de prudence dans la rédaction de leur bandeau cookies.
Besoin d’aide? Consultez notre offre DPO externalisé
Sources :
