Récemment, le Figaro a été invité par la Commission nationale de l’informatique et des libertés (CNIL) à revoir sa politique de cookies tandis que la compagnie aérienne Vueling a quant à elle été sanctionnée par l’autorité espagnole au titre de sa politique de cookies. Ces affaires se multiplient et illustrent l’importance des pratiques des éditeurs de sites internet concernant le dépôt de cookies et autres traceurs.
1. À quoi servent les cookies ?
D’après la CNIL, un cookie est un « petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéos connectés à Internet, etc.) » (voir le site de la CNIL).
Par ailleurs, d’un point de vue technique, bien qu’un cookie soit de composition simple, il en existe différentes variantes : cookies de modules sociaux de partage de contenus, cookies de pistage, cookies publicitaires tiers, cookies de mesure d’audience… Par ailleurs, d’autres techniques comme les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation, les identifiants matériels (adresse MAC, numéro de série), sont également susceptibles de stocker des données personnelles. La multiplicité de ces traceurs les rend difficilement différentiables par l’internaute, ce qui peut parfois nuire à la compréhension de ce qui est accepté.
Initialement, les traceurs informatiques ont été créés dans le but faciliter la navigation de l’internaute en mémorisant ses préférences, en lui permettant d’effectuer des tâches sans avoir à saisir à nouveau des informations lorsqu’il navigue d’une page à une autre ou lorsqu’il visite le site ultérieurement. Aujourd’hui, les cookies et autres traceurs sont notamment utilisés par les sites de commerce électronique afin d’analyser les habitudes de navigation des internautes, de sorte qu’ils sont devenus des moyens pour définir le profil d’un internaute et donc des outils de ciblage publicitaire.
Ces traceurs sont logiquement appréhendés par le droit, en particulier par la directive européenne 2002/58/CE (dite e-privacy) modifiée par la directive européenne 2009/136/CE ainsi que par la loi informatique et libertés.
2. Quelle est la position de la CNIL?
Le 5 décembre 2013, la CNIL a adopté une recommandation (voir le texte de la recommandation) visant à guider les éditeurs de site web dans l’application de l’article 32-II de la loi informatique et libertés (aujourd’hui devenu l’article 82), dont il ressortait une double obligation : l’obligation d’informer la personne concernée de la finalité et des moyens de s’opposer aux cookies et l’obligation d’obtenir le consentement de la personne concernée. Cependant, le règlement général sur la protection des données (RGPD) est entré en vigueur, en modifiant notamment la conception du consentement et la CNIL a dû revoir sa position concernant les cookies.
Le 4 juillet 2019, la CNIL a adopté des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 (voir la délibération de la CNIL). Dans ces nouvelles lignes directrices, la CNIL décide, d’une part, que la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies et qu’il est nécessaire de mettre en place une action positive de l’internaute pour qu’il exprime son consentement. D’autre part, elle considère que les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement. Il s’agit là d’une modification importante de la position de la CNIL.
Cependant, la CNIL a choisi de permettre une « période d’adaptation » qui s’achèvera 6 mois après la publication de la recommandation (laquelle est attendue pour le 1er trimestre 2020). Cette période de tolérance a fait l’objet d’intenses discussions devant le Conseil d’État (cf. ci-dessous n°4).
3. Quelle est la position de la Cour de justice de l’Union européenne ?
Dans un arrêt Planet49 rendu le 1er octobre 2019, la grande chambre de la Cour de justice de l’Union européenne (CJUE) a répondu à la demande de décision préjudicielle introduite par la Cour fédérale de justice allemande (voir l’intégralité de la décision). Dans cette affaire, la fédération allemande des organisations de consommateurs conteste l’utilisation par la société allemande Planet49 d’une case cochée par défaut par laquelle les internautes, souhaitant participer à des jeux promotionnels en lignes, expriment leur accord au placement de cookies.
À travers l’arrêt rendu par la CJUE souligne quatre points principaux :
- le consentement que l’utilisateur d’un site internet doit donner pour le placement et la consultation de cookie sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut, que cet utilisateur doit décocher pour refuser de donner son consentement (opt out) ;
- la solution est la même que les informations stockées ou consultées par les cookies constituent ou non des données à caractère personnel ;
- le consentement de l’utilisateur doit être spécifique, de telle sorte que le fait pour l’utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies ; et
- le fournisseur de services doit donner à l’utilisateur des informations telles que la durée de fonctionnement des cookies ainsi que la possibilité ou non pour les tiers d’avoir accès à ces cookies.
L’arrêt de la CJUE confirme ainsi la nouvelle position de la CNIL sur le fond. Toutefois, la mise en œuvre par la CNIL d’une période de tolérance est l’objet d’un intense débat devant le Conseil d’Etat.
4. Le plan d’action de la CNIL soutenu par le Conseil d’Etat
Dans son communiqué de presse du 28 juin 2019 (voir le texte du communiqué), la CNIL a annoncé laisser aux acteurs une période transitoire de 12 mois pendant laquelle, la poursuite de la navigation comme expression du consentement sera considérée comme acceptable. La CNIL précise ensuite, dans son communiqué du 18 juillet 2019 (voir le texte du communiqué), que cette période d’adaptation s’achèvera 6 mois après la publication de la future recommandation.
Les associations La Quadrature Du Net et Caliopen ont demandé au juge des référés du Conseil d’Etat d’ordonner la suspension de l’exécution de la décision de la CNIL, d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusque mi-2020. Elles considèrent que la création d’une période transitoire pendant laquelle la CNIL s’abstiendra de toute poursuite à l’encontre des acteurs viole le droit français et le droit de l’Union européenne en matière de droit des données à caractère personnel. Et que la décision attaquée porte atteinte de manière substantielle, directe et certaine aux intérêts qu’elle entend défendre.
Dans sa décision du 16 octobre 2019 (voir l’intégralité de la décision), le Conseil d’État rappelle tout d’abord que la CNIL, qui est une autorité administrative indépendante, dispose d’un large pouvoir d’appréciation dans l’exercice de ses missions. Il juge ensuite que le délai laissé aux acteurs pour se conformer aux règles qui seront publiées à l’issue de la concertation n’est pas illégal puisqu’il permet aux acteurs de s’approprier ces nouvelles règles. Le Conseil d’Etat estime enfin que la stratégie de la CNIL ne méconnaît pas le droit au respect de la vie privée car elle contribue à remédier aux pratiques prohibées de publicité ciblée, et n’empêchera pas la Commission de réaliser des contrôles pendant cette période transitoire, en sanctionnant le cas échéant les manquements les plus graves à ce nouveau cadre juridique. Cet arrêt apporte également une précision procédurale importante : les communiqués de presse indiquant les prises de position de la CNIL peuvent faire l’objet d’un recours pour excès de pouvoir, à condition que les actes « revêtent le caractère de dispositions générales et impératives ou qu’ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance ».
Droit du Partage continuera naturellement à suivre ce sujet pour vous.
Droit du partage 