Skip to main content

L’interdiction des cookie walls prévue par les lignes directrices de la CNIL censurée par le Conseil d’Etat



Le 19 juin 2020, le Conseil d’Etat a rendu une décision dans laquelle il annule la disposition des lignes directrices de la CNIL portant sur l’interdiction de la pratique qui consiste à bloquer le contenu d’un site ou d’une application à la personne qui ne consentirait pas aux cookies (appelée « cookie walls »). Les autres dispositions des lignes directrices ont été validées par le Conseil d’Etat.


Le 4 juillet 2019, la CNIL a adopté la délibération n°2019-093 relative aux cookies et autres traceurs de connexion. La CNIL y présente des lignes directrices qui s’inscrivent dans le cadre de son plan d’action sur le ciblage publicitaire annoncé le 28 juin 2019. Ces lignes directrices livrent l’interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions. Elles édictent également des bonnes pratiques à destination des opérateurs concernés.

Ces lignes directrices ont été attaquées devant le Conseil d’Etat par plusieurs associations et syndicats du secteur du e-commerce et de la publicité en ligne notamment. Les principaux arguments avancés étaient les suivants :
  1. la délibération est entachée d'irrégularité dans la mesure où rien ne permet de s'assurer du respect des règles encadrant l’adoption de ces lignes directrices ;
  2. la CNIL n’était pas compétente pour adopter une telle délibération car (i) elle n'a pas le pouvoir d’édicter des lignes directrices sur des données autres que des données à caractère personnel et (ii) elle s'est fondée sur les lignes directrices de l'EDPB qui n'ont pas de valeur contraignante ;
  3. la CNIL a porté une atteinte excessive à la liberté d'entreprendre et à la liberté d'information en interdisant les cookies walls, et a interprété les conditions d'indépendance et de spécificité du consentement ;
  4. la CNIL a méconnu plusieurs dispositions réglementaires et législatives.
Le Conseil d’Etat n’a pas suivi ces arguments, à l’exception d’un seul. Il a considéré que la CNIL était compétente pour adopter ces lignes directrices et qu’elle avait agi dans le cadre de ses prérogatives. Le Conseil d’Etat a donc validé l’ensemble des dispositions des lignes directrices, à l’exception cependant de celle portant sur l’interdiction des cookie walls.

Les lignes directrices de la CNIL sur les cookies walls sont pourtant alignées avec les lignes directrices du Comité Européen de Protection des Données personnelles (CEPD) qui indiquent que la pratique des cookies walls est contraire au Règlement Général sur la Protection des Données  (RGPD).

Le Conseil d’Etat a rappelé dans sa décision que le RGPD pose l’obligation d’un consentement libre uniquement et considère que la CNIL a sur-interprété cette notion pour en déduire que les cookies walls violeraient le RGPD.

Il est important de noter que le Conseil d’Etat n’a pas pour autant reconnu la validité des cookie walls : il s’est limité à indiquer que la CNIL ne pouvait imposer une telle interdiction dans un outil de droit souple (i.e. les lignes directrices).

Sur son site internet, la CNIL a indiqué prendre acte de la décision du Conseil d’Etat et s’y conformer. Un ajustement des lignes directrices ainsi que les recommandations présentant leurs modalités concrètes d’application devraient être publiées après la rentrée de septembre 2020.

La position sur les cookies walls n’est pas encore uniforme – par exemple, l’autorité de protection des données des Pays-Bas a interdit leur usage – et pourrait bien être amenée à évoluer puisque la question de leur interdiction est envisagée dans les discussions sur la proposition de Règlement ePrivacy.


Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension