Le « cookie wall » est la pratique consistant à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. L’interdiction générale et absolue des « cookie wall » par la CNIL est illégale.

Cookie wall : une pratique légale  

Sur l’initiative de plusieurs associations professionnelles (fédération du e-commerce et de la vente à distance, le GESTE, IAB France, Union des marques …) le Conseil d’Etat a censuré l’une des dispositions de voûte de la délibération CNIL « Traceurs et Cookies » n° 2019-093 du 4 juillet 2019 : l’interdiction des « cookie wall ». En considérant que le refus des cookies privait l’internaute dont les données personnelles sont traitées d’un avantage majeur et que son consentement à ce titre, était altéré, la CNIL a excédé ce qu’elle pouvait légalement faire, dans le cadre du RGDP. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité.

Contexte de l’affaire

Les lignes directrices adoptées par la CNIL s’inscrivent dans le cadre d’un plan d’action sur le ciblage publicitaire annoncé le 28 juin 2019, dont la délibération du 4 juillet 2019 constituait la première étape. Cette délibération, d’une part, livre l’interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions de sa part et, d’autre part, édicte des recommandations de bonnes pratiques à destination des opérateurs concernés.

Le consentement applicable aux cookies et traceurs

Les autres dispositions de la délibération du 4 juillet 2019 ont été validées par le Conseil d’Etat. En particulier la CNIL a pu, sans erreur de droit :

• Faire application aux Cookies et traceurs du régime du consentement requis pour les traitements de données à caractère personnel ;

• Rappeler que, parmi les informations devant être portées à la connaissance de l’utilisateur, figure notamment et à tout le moins » l’identité du ou des responsables de traitement « , et, d’autre part, préciser que l’utilisateur » doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir ” dans la mesure où ces entités, au nombre desquelles ne figurent pas les destinataires de données, apparaissent comme responsables ou co-responsables du traitement de données ;

• Considérer qu’une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement ;

• Rappeler que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.

Pour rappel, au sens de l’article 82 de la loi du 6 janvier 1978, tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Selon la CJUE (arrêt C-673/17 du 1er octobre 2019), les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 dit RGDP sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur.

Aux termes de l’article 13 du RGPD, l’information claire et complète dont doit disposer la personne avant le recueil de son consentement inclut notamment l’identité et les coordonnées du responsable du traitement et les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent.

Pour que le consentement préalable puisse être regardé comme éclairé, l’utilisateur doit pouvoir disposer de l’identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l’éditeur d’un site qui dépose des » cookies « doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de » cookies « mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur dès lors qu’ils agissent pour leur compte propre.  Conformément à l’article 7 du RGDP, le responsable de traitement doit toujours être en mesure, de fournir la preuve du recueil valable du consentement de l’utilisateur.   

Exemption de consentement sous conditions

Il résulte de l’article 82 de la loi du 6 janvier 1978 que sont dispensées du recueil du consentement les opérations de lecture ou d’écriture d’informations stockées dans le terminal d’un utilisateur qui sont strictement nécessaires au fonctionnement technique du site ou qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La délibération CNIL a énuméré les conditions que doivent respecter les traceurs de mesure d’audience pour bénéficier d’une telle exemption du recueil du consentement, en indiquant notamment que les traceurs utilisés par ces traitements qui relèvent d’une des deux catégories visées à ce même article 82, ne doivent pas avoir une durée de vie excédant treize mois et que les informations collectées par l’intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à vingt-cinq mois.

En définissant de telles durées indicatives pour l’utilisation des traceurs et pour la conservation des informations collectées par leur biais, la CNIL, qui ne pouvait légalement pas fixer de durée limite de validité aux cookies de mesure d’audience, s’est bornée à préconiser, à travers des orientations non contraignantes des durées d’usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues aux deux derniers alinéa de l’article 82. Télécharger la décision