Skip to main content

L’interdiction des cookie walls prévue par les lignes directrices de la CNIL censurée par le Conseil d’Etat



Le 19 juin 2020, le Conseil d’Etat a rendu une décision dans laquelle il annule la disposition des lignes directrices de la CNIL portant sur l’interdiction de la pratique qui consiste à bloquer le contenu d’un site ou d’une application à la personne qui ne consentirait pas aux cookies (appelée « cookie walls »). Les autres dispositions des lignes directrices ont été validées par le Conseil d’Etat.


Le 4 juillet 2019, la CNIL a adopté la délibération n°2019-093 relative aux cookies et autres traceurs de connexion. La CNIL y présente des lignes directrices qui s’inscrivent dans le cadre de son plan d’action sur le ciblage publicitaire annoncé le 28 juin 2019. Ces lignes directrices livrent l’interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions. Elles édictent également des bonnes pratiques à destination des opérateurs concernés.

Ces lignes directrices ont été attaquées devant le Conseil d’Etat par plusieurs associations et syndicats du secteur du e-commerce et de la publicité en ligne notamment. Les principaux arguments avancés étaient les suivants :
  1. la délibération est entachée d'irrégularité dans la mesure où rien ne permet de s'assurer du respect des règles encadrant l’adoption de ces lignes directrices ;
  2. la CNIL n’était pas compétente pour adopter une telle délibération car (i) elle n'a pas le pouvoir d’édicter des lignes directrices sur des données autres que des données à caractère personnel et (ii) elle s'est fondée sur les lignes directrices de l'EDPB qui n'ont pas de valeur contraignante ;
  3. la CNIL a porté une atteinte excessive à la liberté d'entreprendre et à la liberté d'information en interdisant les cookies walls, et a interprété les conditions d'indépendance et de spécificité du consentement ;
  4. la CNIL a méconnu plusieurs dispositions réglementaires et législatives.
Le Conseil d’Etat n’a pas suivi ces arguments, à l’exception d’un seul. Il a considéré que la CNIL était compétente pour adopter ces lignes directrices et qu’elle avait agi dans le cadre de ses prérogatives. Le Conseil d’Etat a donc validé l’ensemble des dispositions des lignes directrices, à l’exception cependant de celle portant sur l’interdiction des cookie walls.

Les lignes directrices de la CNIL sur les cookies walls sont pourtant alignées avec les lignes directrices du Comité Européen de Protection des Données personnelles (CEPD) qui indiquent que la pratique des cookies walls est contraire au Règlement Général sur la Protection des Données  (RGPD).

Le Conseil d’Etat a rappelé dans sa décision que le RGPD pose l’obligation d’un consentement libre uniquement et considère que la CNIL a sur-interprété cette notion pour en déduire que les cookies walls violeraient le RGPD.

Il est important de noter que le Conseil d’Etat n’a pas pour autant reconnu la validité des cookie walls : il s’est limité à indiquer que la CNIL ne pouvait imposer une telle interdiction dans un outil de droit souple (i.e. les lignes directrices).

Sur son site internet, la CNIL a indiqué prendre acte de la décision du Conseil d’Etat et s’y conformer. Un ajustement des lignes directrices ainsi que les recommandations présentant leurs modalités concrètes d’application devraient être publiées après la rentrée de septembre 2020.

La position sur les cookies walls n’est pas encore uniforme – par exemple, l’autorité de protection des données des Pays-Bas a interdit leur usage – et pourrait bien être amenée à évoluer puisque la question de leur interdiction est envisagée dans les discussions sur la proposition de Règlement ePrivacy.


Comments

Popular posts from this blog

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

Le CEPD publie des lignes directrices sur le ciblage des utilisateurs de réseaux sociaux

Le 2 septembre 2020, le Comité Européen de la Protection des Données (CEPD) a adopté des lignes directrices sur le ciblage des utilisateurs de réseaux sociaux, qui sont ouvertes à la consultation publique jusqu'au 19 octobre 2020.   I.                    Contexte   Les réseaux sociaux permettent des échanges massifs de données à caractère personnel. Le ciblage publicitaire fait partie du business model des fournisseurs de réseaux sociaux, qui traitent les données personnelles issues de leur(s) plateforme(s) seuls ou conjointement avec d’autres acteurs.   Le CEPD, conscient des enjeux majeurs relatifs au traitement de données à caractère personnel dans le cadre du ciblage publicitaire sur les réseaux sociaux, a publié des lignes directrices afin de donner un cadre à ce ciblage publicitaire. Il demande principalement aux différents acteurs qui traitent des données de déterminer de manière transparente leurs rôles et responsabilités dans le cadre d'un contrat.   C