Données personnelles

Données personnelles : les cookies walls sont-ils permis ?

Le 19 juin 2020, le Conseil d'Etat à pris une décision sur les cookies walls suite aux lignes directrices prises par la CNIL.

Maître Caroline Simon-Provo
juil. 20, 2020

Devant la hausse des plaintes concernant le marketing en ligne, la Commission nationale de l’informatique et des libertés (CNIL) a fait du ciblage publicitaire une priorité pour les années à venir.

Dans cet optique, elle avait adopté le 4 juillet 2019 de nouvelles lignes directrices visant à éclairer les opérateurs quant aux obligations d’informations et de consentement s’appliquant aux cookies et autres traceurs.

Mais ces lignes directrices ont depuis été critiquées par plusieurs associations professionnelles afin d’en obtenir l’annulation devant le Conseil d’Etat.

Celui-ci, dans la décision du 19 juin dernier, est revenu sur l’interdiction des « Cookies Walls », qui permettent aux sites web de refuser l’accès aux internautes si ceux-ci ne consentent pas à l’ensemble des cookies et autres traceurs présents sur le site.

  

Qu’est-ce qu’un cookie ?

Les cookies ont été défini par le groupe de travail « Article 29 » devenu le Comité européen de la protection des données (CEPD) depuis l’entrée en vigueur du règlement relatif à la protection des données personnelles (RGPD), comme « une courte combinaison alphanumérique stockée sur un équipement terminal par un fournisseur de réseau ».

Si l’on parle principalement des cookies, les lignes directrices rappellent que sont également concernés tout autre type de traceurs, tel que les « local shared object », les pixels invisibles, ou plus généralement tout autre technique permettant le stockage d’informations sur l’équipement terminal d’un utilisateur.

L’équipement terminal se réfère à « tout équipement connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations ». Il peut s’agir d’un téléphone, d’une tablette, d’une console de jeu vidéo…

La directive 2009/136/CE, modifiant la directive ePrivacy de 2002, énonce clairement l’interdiction de stocker des données sur un terminal, faute d’avoir obtenu le consentement éclairé de l’utilisateur, après lui avoir fourni une information claire et complète sur lesdites données et la finalité de leur traitement.

Prenant en compte les nouvelles modifications législatives, et notamment les règles issues du RGPD concernant le consentement, la CNIL avait adopté le 4 juillet 2019 des nouvelles lignes directrices venant remplacer celles de 2013 pour renforcer les exigences en terme de consentement.

  

La nécessité d’un consentement clair et univoque

La CNIL a rappelé que le consentement ne peut plus aujourd’hui être déduit de la simple poursuite de la navigation sur le site par l’internaute mais doit être recueilli de manière spécifique par un acte positif univoque (tel que cliquer sur un bouton « accepter »).  

De même, ce consentement doit pouvoir facilement être retiré, ou même refusé, sans pour autant que l’accès au site ne soit bloqué pour l’internaute. C’est le principe de l’interdiction des Cookies Walls, qui a fait l’objet de la décision du Conseil d’état du 19 juin 2020.

L’interdiction de cette pratique vise en effet à empêcher l’éditeur d’un site web de forcer le consentement de l’internaute en échange de l’accès à ses services et ses fonctionnalités.

L’idée est qu’il existe différents types de cookies, plus ou moins attentatoires à la vie privée. Si certains sont nécessaires au fonctionnement du site, d’autres sont utilisés à des fins statistiques ou encore marketing. Le consentement éclairé suppose alors que l’internaute consente à chacun des cookies, en ayant le choix d’en refuser certain.

Le cookie Wall ne laisse pas cette possibilité : l’internaute, s’il veut accéder aux services ou aux fonctionnalités du site, n’a d’autre choix que d’accepter, de manière indifférenciée, la totalité des cookies.

Le Conseil européen de protection des données dans son avis du 4 mai 2020, comme la CNIL, avait affirmé l’interdiction de cette pratique, considérant que les cookies walls ne sont pas un moyen valide d’obtenir le consentement des internautes au traitement de leur données à caractère personnel.

  

La décision du Conseil d’état du 19 juin 2020

Les lignes directrices du 4 juillet 2019 de la CNIL avaient fait réagir plusieurs associations professionnelles qui ont alors saisi le Conseil d’état afin d’en obtenir l’annulation.

Plusieurs dispositions étaient critiquées, et notamment cette interdiction de la pratique des Cookies Walls qui permet à l’éditeur du site d’en bloquer l’accès en cas de refus.

Mais cette interdiction générale et absolue n’a pas été validée par le Conseil d’Etat qui a considéré que la CNIL avait excédé ses pouvoirs et les possibilités d’interdiction laissée par un acte dit « de droit souple », qui ne peut donner que des lignes directrices sans créer de droit ou d’obligation juridique.

Pour autant, cela ne signifie pas que la pratique soit admise. La censure de l’« excès de pouvoir » commis par la CNIL n’implique par une validation des Cookies Walls par le conseil d’état, dont le fonctionnement devrait être réglé par un acte règlementaire, étant précisé que l’on attend toujours la nouvelle version du règlement e-Privacy, l’entrée en vigueur prévue en 2021 étant encore incertaine.

Cette version à venir prévoira très probablement l’interdiction de la pratique des cookies walls (paragraphe 18 de la proposition règlement e-privacy) le consentement spécifique de l’utilisateur étant requis dès lors que les cookies ne sont pas utilisés seulement pour des raisons techniques.
Données personnelles Traitements de données personnelles

D’autres articles pourraient vous intéresser

Rejoignez +10 000 personnes 🧑‍⚖️

qui reçoivent chaque semaine du contenu juridique indispensable.