L’essentiel : Le « cookie wall » est une pratique qui bloque l’accès à un site pour les utilisateurs ne consentant pas à être suivis. La CNIL avait interdit cette pratique, mais le Conseil d’État a censuré cette interdiction, la jugeant illégale. Il a souligné que le refus des cookies privait l’internaute d’un avantage majeur, altérant ainsi son consentement. Les autres dispositions de la délibération de la CNIL, relatives au consentement pour les cookies, ont été validées, rappelant l’importance d’informer clairement les utilisateurs sur l’identité des responsables de traitement et les finalités des données collectées.

Le « cookie wall » est la pratique consistant à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. L’interdiction générale et absolue des « cookie wall » par la CNIL est illégale.

Cookie wall: une pratique légale

Sur l’initiative de plusieurs associations professionnelles (fédération du e-commerce et de la vente à distance, le GESTE, IAB France, Union des marques …) le Conseil d’Etat a censuré l’une des dispositions de voûte de la délibération CNIL « Traceurs et Cookies » n° 2019-093 du 4 juillet 2019 : l’interdiction des « cookie wall ». En considérant que le refus des cookies privait l’internaute dont les données personnelles sont traitées d’un avantage majeur et que son consentement à ce titre, était altéré, la CNIL a excédé ce qu’elle pouvait légalement faire, dans le cadre du RGDP. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité.

Contexte de l’affaire

Les lignes directrices adoptées par la CNIL s’inscrivent dans le cadre d’un plan d’action sur le ciblage publicitaire annoncé le 28 juin 2019, dont la délibération du 4 juillet 2019 constituait la première étape. Cette délibération, d’une part, livre l’interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions de sa part et, d’autre part, édicte des recommandations de bonnes pratiques à destination des opérateurs concernés.

Le consentement applicable aux cookies et traceurs

Les autres dispositions de la délibération du 4 juillet 2019 ont été validées par le Conseil d’Etat. En particulier la CNIL a pu, sans erreur de droit:

• Faire application aux Cookies et traceurs du régime du consentement requis pour les traitements de données à caractère personnel;

• Rappeler que, parmi les informations devant être portées à la connaissance de l’utilisateur, figure notamment et à tout le moins » l’identité du ou des responsables de traitement « , et, d’autre part, préciser que l’utilisateur » doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir  » dans la mesure où ces entités, au nombre desquelles ne figurent pas les destinataires de données, apparaissent comme responsables ou co-responsables du traitement de données;

• Considérer qu’une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement;

• Rappeler que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.

Pour rappel, au sens de l’article 82 de la loi du 6 janvier 1978, tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Selon la CJUE (arrêt C-673/17 du 1er octobre 2019), les conditions de recueil du consentement de l’utilisateur prévues par le règlement du 27 avril 2016 dit RGDP sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur.

Aux termes de l’article 13 du RGPD, l’information claire et complète dont doit disposer la personne avant le recueil de son consentement inclut notamment l’identité et les coordonnées du responsable du traitement et les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent.

Pour que le consentement préalable puisse être regardé comme éclairé, l’utilisateur doit pouvoir disposer de l’identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l’éditeur d’un site qui dépose des » cookies « doit être considéré comme un responsable de traitement, y compris lorsqu’il sous-traite à des tiers la gestion de » cookies « mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur dès lors qu’ils agissent pour leur compte propre. Conformément à l’article 7 du RGDP, le responsable de traitement doit toujours être en mesure, de fournir la preuve du recueil valable du consentement de l’utilisateur.

Exemption de consentement sous conditions

Il résulte de l’article 82 de la loi du 6 janvier 1978 que sont dispensées du recueil du consentement les opérations de lecture ou d’écriture d’informations stockées dans le terminal d’un utilisateur qui sont strictement nécessaires au fonctionnement technique du site ou qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La délibération CNIL a énuméré les conditions que doivent respecter les traceurs de mesure d’audience pour bénéficier d’une telle exemption du recueil du consentement, en indiquant notamment que les traceurs utilisés par ces traitements qui relèvent d’une des deux catégories visées à ce même article 82, ne doivent pas avoir une durée de vie excédant treize mois et que les informations collectées par l’intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à vingt-cinq mois.

En définissant de telles durées indicatives pour l’utilisation des traceurs et pour la conservation des informations collectées par leur biais, la CNIL, qui ne pouvait légalement pas fixer de durée limite de validité aux cookies de mesure d’audience, s’est bornée à préconiser, à travers des orientations non contraignantes des durées d’usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues aux deux derniers alinéa de l’article 82. Télécharger la décision

Q/R juridiques soulevées :

Qu’est-ce qu’un cookie wall ?

Le « cookie wall » est une pratique utilisée par certains sites web et applications mobiles qui consiste à bloquer l’accès à leur contenu pour les utilisateurs qui ne consentent pas à être suivis par des cookies. Cette méthode vise à obtenir le consentement des utilisateurs avant de leur permettre d’accéder à des services en ligne. Cependant, cette pratique a suscité des débats juridiques, notamment en ce qui concerne sa légalité. En effet, la Commission Nationale de l’Informatique et des Libertés (CNIL) a tenté d’interdire cette pratique, mais cette interdiction a été jugée illégale par le Conseil d’État, qui a estimé que le consentement ne devait pas être conditionné à l’accès à un service.

Pourquoi la CNIL a-t-elle tenté d’interdire les cookie walls ?

La CNIL a tenté d’interdire les cookie walls dans le cadre de sa délibération « Traceurs et Cookies » n° 2019-093, adoptée le 4 juillet 2019. L’objectif de cette délibération était de protéger les droits des utilisateurs en matière de consentement et de transparence concernant le traitement de leurs données personnelles. La CNIL a considéré que le refus des cookies privait les internautes d’un avantage majeur, altérant ainsi leur consentement. Cette position visait à garantir que les utilisateurs puissent accéder à des services en ligne sans être contraints d’accepter le suivi de leurs données.

Quelles sont les implications de la décision du Conseil d’État ?

La décision du Conseil d’État a des implications significatives pour la réglementation des cookies et du consentement en France. En censurant l’interdiction des cookie walls, le Conseil d’État a affirmé que la CNIL avait excédé ses pouvoirs en tentant d’imposer une interdiction générale. Cela signifie que les sites web peuvent continuer à utiliser des cookie walls, tant qu’ils respectent les exigences de consentement prévues par le RGPD. Cette décision a également renforcé l’importance de la transparence et de l’information des utilisateurs concernant le traitement de leurs données personnelles.

Quelles sont les obligations des sites concernant le consentement des utilisateurs ?

Les sites web doivent respecter plusieurs obligations en matière de consentement des utilisateurs pour l’utilisation de cookies et de traceurs. Selon la délibération de la CNIL et le RGPD, les utilisateurs doivent être informés de manière claire et complète sur l’identité des responsables de traitement et des destinataires de leurs données. De plus, les utilisateurs doivent pouvoir donner leur consentement de manière indépendante et spécifique pour chaque finalité distincte. Cela implique que les sites doivent fournir une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs, accessible lors du recueil du consentement.

Quelles sont les exemptions au consentement pour les cookies ?

L’article 82 de la loi du 6 janvier 1978 prévoit des exemptions au recueil du consentement pour certaines opérations de lecture ou d’écriture d’informations. Ces exemptions s’appliquent lorsque les cookies sont strictement nécessaires au fonctionnement technique du site ou à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La CNIL a précisé que les traceurs de mesure d’audience peuvent bénéficier de cette exemption, à condition de respecter certaines conditions, comme une durée de vie ne dépassant pas treize mois. Cela permet aux sites de collecter des données sans nécessiter le consentement explicite des utilisateurs, tant que ces données sont utilisées dans un cadre limité et défini.

Comment la CNIL encadre l’utilisation des cookies de mesure d’audience ?

La CNIL a établi des recommandations concernant l’utilisation des cookies de mesure d’audience pour garantir leur conformité avec la législation. Elle a précisé que ces cookies ne doivent pas avoir une durée de vie excédant treize mois et que les informations collectées ne doivent pas être conservées plus de vingt-cinq mois. Ces recommandations visent à encourager un réexamen périodique de la nécessité de ces cookies, afin de respecter les dérogations à la règle du consentement. Bien que ces orientations ne soient pas contraignantes, elles servent de guide pour les opérateurs souhaitant se conformer aux exigences légales en matière de protection des données.