Énième chronique d’une naissance annoncée : la dernière réglementation cookies en date a vu le jour via la publication le 1er octobre dernier des lignes directrices définitives de la CNIL assorties de ses recommandations sur le même sujet.
Ces documents sont le fruit d’une longue gestation et, sans grande surprise, n’opèrent pas de révolution. Ils ont néanmoins le mérite de fixer les règles dorénavant applicables aux cookies et traceurs.  

Une longue gestation avant d'aboutir à un cadre juridique cohérent

Pour mémoire, la CNIL a adopté en 2013 une première recommandation sur les opérations de lecture et écriture effectuées par des cookies, qui a fait l’objet d’une refonte à l’aune de l’entrée en application du RGPD, donnant ainsi naissance à de nouvelles lignes directrices en date du 4 juillet 2019.
Un projet de recommandation, sorte de guide pratique à l’attention des professionnels, a donné lieu à une concertation à l’automne 2019, puis à consultation publique en début d’année.

Alors que les lignes directrices et la recommandation devaient être définitivement adoptées au printemps, le contexte sanitaire a conduit à une adaptation du calendrier, reportant de plusieurs mois l’adoption de ces deux textes (voir notre précédent article sur les cookies).
Finalement, ce report aura servi une double fonction : s’adapter aux perturbations induites par la conjoncture, mais aussi intégrer les enseignements de la décision du Conseil d’Etat du 19 juin 2020.

En effet, la haute juridiction administrative, qui était saisie d’un recours par différentes associations et syndicats professionnels visant à annuler pour excès de pouvoirs les lignes directrices du 4 juillet 2019, a infligé à la CNIL un camouflet. Si la décision rendue n’a finalement pas conduit à l’annulation desdites lignes directrices dans leur intégralité, elle a néanmoins annulé une partie très symbolique de l’article 2, relative à l’interdiction du recours aux « cookie walls ».

C’est donc après avoir modifié le contenu à la fois de ses lignes directrices et de sa recommandation à la lumière de cette décision, que la CNIL adopté le 17 septembre dernier les dernières moutures de ces textes.  

Lignes directrices sur les Cookies : un lifting plutôt qu'un nouveau visage

Une position plus modérée de la CNIL sur le cookie wall

Sujet emblématique s’il en est, le cookie wall qui bloque l’accès à un site internet tant que le visiteur n’a pas accepté les cookies, a été interdit par la CNIL dans ses lignes directrices de 2019 au motif qu’un consentement, pour être valide, doit être libre et qu’il ne peut l’être si la personne concernée subit un inconvénient majeur en cas d’absence ou de retrait du consentement, comme cela serait le cas avec un cookie wall. (Voir notre article précédent sur le CEPD).

Le Conseil d’Etat retoque cette position péremptoire en arguant du fait que la CNIL va trop loin dans son interprétation de la liberté du consentement, outrepassant ainsi sa mission.
Prenant acte de cette censure, les lignes directrices nouvelle version, sont beaucoup plus modérées : la pratique du cookie wall « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement » (§17). « En cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas (…) » (§18).

Outre cette modification, la CNIL a procédé à un toilettage des lignes directrices et de la recommandation, ajustant son langage de manière à être plus précise et à renforcer son argumentation juridique, pour le premier texte et synthétisant son propos, pour le second, qui passe ainsi de 21 à 14 pages. Certains contenus sont également transférés des lignes directrices vers la recommandation et vice versa, sans explication sur la portée réelle de ces changements. Pour l’essentiel, le propos reste le même : de la fermeté sur le principe du consentement aux cookies non essentiels.

Une position ferme de la CNIL sur le consentement

La CNIL campe sur ses positions quant au consentement en matière de cookies qui reste le principe, assorti d’exceptions dont la liste s’est un peu allongée à la faveur de la consultation publique.

Est ainsi venue s’ajouter à la liste des cookies exemptés de consentement une précision sur les traceurs destinés à l’authentification d’un service : « y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues » ainsi qu’un ajout : les traceurs destinés « à facturer à l’utilisateur le ou les produits et/ou services achetés » (§49 des lignes directrices).

Le corollaire de ce principe du consentement pour les cookies est la consécration d’un droit au refus des cookies. Vilipendé par les demandeurs devant le Conseil d’Etat dans le cadre du contentieux précédemment évoqué, la Haute juridiction administrative n’a néanmoins pas sanctionné la CNIL sur ce point. Cette dernière reste donc ferme dans ses nouvelles lignes directrices.

L’expression de la volonté doit ainsi être univoque, les modalités permettant aux utilisateurs de consentir ou de refuser devant être présentées de façon claire et compréhensible, la poursuite de la navigation en elle-même ne pouvant valoir consentement. La CNIL recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte, mais accepte qu’une acceptation globale soit possible, si l’ensemble des finalités poursuivies est précisée.

De façon symétrique, si un bouton « tout accepter » devient ainsi possible, un bouton permettant aux visiteurs d’un site internet de « tout refuser » doit être également prévu, étant entendu que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture doit nécessairement être accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement.

Ces principes existaient déjà en substance dans la version précédente de la recommandation, mais la CNIL insiste à présent sur ces aspects en créant un paragraphe dédié aux modalités du refus (§30-34), en usant de la formule « la Commission recommande fortement » (§31) et en proposant un bouton « continuer sans accepter ». Le rejet du paramétrage du terminal comme mode de gestion des cookies est également rendu plus clair (§44).

En définitive, tout doit être mis en œuvre pour faciliter le rejet des cookies non essentiels. 

Une position moins assurée de la CNIL sur certains cookies

Les traceurs de mesure d’audience font toujours l’objet de développements particuliers tant dans les lignes directrices que dans la recommandation : ils font partie des traceurs exemptés de consentement sous conditions (art. 5 des lignes directrices et §50-52 de la recommandation).
L’analyse devra donc se faire au cas par cas, même si l’on sait que les traceurs les plus utilisés en la matière achoppent sur la durée de vie du traceur qui doit être de 13 mois maximum, durée qui est, pour certains d’entre eux, allègrement dépassée.  

Quant aux cookies liés à l’utilisation de modules de réseaux sociaux, la CNIL est relativement silencieuse et il faudra s’en remettre à la jurisprudence et notamment à la décision de la CJUE, 29 juillet 2019, Fashion ID, aff. C-40/17, même si celle-ci ne couvre pas toutes les hypothèses. 

Quid de la mise en musique ?

La CNIL plaide pour des interfaces de gestion de cookies harmonisées, mais c’est un vœu pieux dès lors que les professionnels n’ont pour référence émanant de l’autorité de contrôle que les exemples très basiques de présentation dans la recommandation.  
Cela laisse la part belle aux initiatives privées, parfois peu désintéressées : l’Interactive Advertising Bureau (IAB), association très active dans la promotion de la publicité en ligne a ainsi développé le Transparency and Consent Framework (TCF), un mode de gestion du consentement sur internet. Néanmoins l’outil est aujourd’hui placé sur la sellette en raison d’un rapport très critique rédigé par l’autorité de contrôle belge qui pointe des défauts de conformité au RGPD.

D’autres opérateurs privés proposent des interfaces de gestion de cookies aux résultats hétérogènes, autant sur la forme que sur le fond. Il est en effet courant de voir des interfaces, par ailleurs très ergonomiques et esthétiques, échouer à respecter les règles édictées.
On voit ainsi des bandeaux cookies qui cachent les mentions légales et la politique de confidentialité, de sorte que pour y accéder, il faut faire disparaître le bandeau et donc cliquer sur le bouton « accepter les cookies » ; des boutons sliders pré-activés pour des cookies de publicité et bien sûr, une poursuite de la navigation sur le site qui est assimilée à un consentement au dépôt de multiples cookies non essentiels.

La route vers la conformité semble donc encore longue. Pour autant, la CNIL l’a annoncé, la mise en conformité devra être achevée pour la fin mars 2021.
Tic…tac… après des discours longtemps réitérés sur l’urgence d’attendre, aujourd’hui le temps presse.

GPER

Géraldine Péronne, Avocat à la Cour, Docteur en droit

Parmi ses domaines d’expertises : protection des données personnelles, droit de l’internet, cybersécurité, contentieux.

Géraldine est avocate au Barreau de Paris depuis 2014 et docteur en droit.
Chargée d’enseignements pendant sept ans à l’Université (Paris I et UPEC), elle a ensuite exercé en qualité d’avocate dans un cabinet parisien spécialiste du contentieux pénal et civil pendant quatre ans, avant d’intégrer ATIPIC Avocat/implid Legal.
Elle intervient sur des dossiers de droit des nouvelles technologies et droit des données personnelles (audits de conformité RGPD notamment) tant en conseil qu’en contentieux et commente régulièrement l’actualité juridique sur ces sujets, dans le cadre de rédaction d’articles.
Elle a obtenu la certification DPO agréée par la CNIL.