Skip to main content

Réponse de Bredin Prat à la consultation publique de la CNIL concernant ses préconisations sur les cookies et autres traceurs

Notre soumission à la CNIL en réponse à la consultation publique sur son projet de recommandation « cookies et d’autres traceurs », et spécifiquement l’Article 6 « Retrait et durée du consentement ». La CNIL recommande que le consentement pour les cookies ait, de manière générale, une durée de validité de six mois à partir de l’expression du choix de l’utilisateur.

****

Nous convenons du fait que le consentement d'une personne concernant le dépôt de cookies (et autres traceurs) sur un terminal doit être renouvelé périodiquement et que, par conséquent, les cookies ne devraient pas avoir une durée indéfinie. Nous estimons toutefois que le fait d'imposer un délai spécifique de 6 mois pour le renouvellement de ce consentement soulèvera au moins deux problèmes de mise en œuvre qui pourraient être évités en adoptant une approche du consentement et de son renouvellement fondée sur l’énonciation de principes généraux.

Premièrement, la CNIL devrait chercher à atteindre une harmonisation maximale avec les autres autorités européennes de protection des données en ce qui concerne l'interprétation et l'application des dispositions du RGPD (EU 2016/679) relatives au consentement. Ni le RGPD ni la directive ePrivacy (2002/58/EC) ne fixent de délais spécifiques pour renouveler le consentement. Si les responsables de traitement respectent les obligations qui leur incombent en vertu de ces réglementations, il ne devrait pas être nécessaire d'imposer une durée spécifique pour un consentement valable. En effet, la plupart des autres autorités européennes de protection des données n'ont pas adopté une telle approche (la Belgique et le Royaume-Uni, par exemple, ont adopté une recommandation fondée sur un principe général selon lequel les cookies ne devraient durer que le temps nécessaire pour atteindre l'objectif visé). Selon le projet de recommandation, un responsable de traitement qui satisfait aux exigences de l'article 2 de la LIL pourrait être tenu d'adopter différents mécanismes de consentement en fonction des pays - ce qui est contraire à l'objectif du RGPD de parvenir à une harmonisation maximale des règles de protection des données.

En effet, le Comité Européen de la Protection des Données (CEPD) a indiqué qu'il actualiserait ses lignes directrices en matière de consentement dans les mois à venir afin de garantir une cohérence sur l’ensemble du territoire de l'UE. À moins que la CNIL ne soit convaincue que sa position sera adoptée par tous les États membres de l'UE, la CNIL ne devrait pas faire de recommandation aussi spécifique concernant la durée de validité du consentement, jusqu'à ce que les nouvelles lignes directrices du CEPD soient adoptées.

Deuxièmement, l'imposition d'une durée fixe concernant la validité du consentement pour tous les responsables de traitement qui utilisent des cookies nécessitant un consentement peut avoir des conséquences disproportionnées selon les types de responsables de traitement. L'élaboration et la mise en œuvre des solutions techniques nécessaires au respect d'une telle recommandation nécessitent l'accès à des ressources (en ayant recours à des ingénieurs ou des solutions proposées par des tiers) qui ne sont pas accessibles à tous les opérateurs de sites web et d'applications.

Les lignes directrices introduisent un certain nombre de mécanismes louables qui devraient protéger de manière adéquate les droits des personnes concernées, comme la possibilité permanente de refuser tous les cookies et de retirer facilement son consentement. Si les utilisateurs ont la possibilité de retirer leur consentement à tout moment, en cliquant sur un bouton, alors la condition supplémentaire selon laquelle les responsables du traitement doivent renouveler le consentement des personnes concernées tous les six mois semble inutile. Néanmoins, si la CNIL maintient cette recommandation, cette dernière devrait indiquer explicitement comment le délai choisi reflète les exigences en matière de consentement contenues dans le RGPD, afin de ne pas paraître arbitraire et d'aider les responsables du traitement à déterminer un délai différent sur la base du même raisonnement.

Nous comprenons que les recommandations proposées ne seront pas juridiquement contraignantes, mais la CNIL est très certainement consciente du fait que la plupart des responsables de traitement (en particulier les PME n'ayant pas accès à un conseil juridique indépendant) respecteront strictement ses recommandations, car agir autrement équivaut à ne pas respecter les meilleures pratiques en matière de protection des données.

Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension