«Cookies de cashback» : «C’est un revirement de l’arrêt sur les cookies walls»

Le cabinet Bouchara & Avocats a saisi le Conseil d'Etat d'un recours en excès de pouvoir contestant la légalité de l'interdiction générale faite par la CNIL d'utiliser des cookies pour la facturation des opérations d'affiliation sans le consentement des utilisateurs. Le cabinet a obtenu une décision intéressante en avril 2022 qui nous est expliquée. 

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Qu’est-ce que le cashback et le reward (récompense) ?

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Le service de cashback consiste en un « remboursement » versé à l’internaute qui achète un produit sur un site marchand qui est partenaire du premier site sur lequel il a navigué. Cela fonctionne à peu près comme un cookie publicitaire.

Le cookie de cashback va suivre le parcours de l’utilisateur du service sur le site du marchand partenaire pour in fine lui reverser une certaine commission (en pourcentage ou somme fixe). Ainsi, lorsque l’internaute clique sur le lien vers le site partenaire, le cookie va s’installer sur son navigateur.

Le cabinet dans lequel vous exercez a obtenu une décision majeure devant le Conseil d’Etat en avril dernier. Pouvez-vous nous expliquer ce qui vous a amené à faire cette action ?

La CNIL avait publié des lignes directrices qui venaient expliquer ce que les éditeurs de sites avaient le droit de faire en matière de cookies pour notamment opérer une distinction entre les cookies exemptés de consentement - cas dans lesquels l’internaute n’a pas besoin de cliquer sur le bouton « j’accepte les cookies » – et ceux nécessitant ce consentement. Pour aider les professionnels à comprendre plus facilement ces lignes directrices, la CNIL a publié une FAQ dans laquelle elle a répertorié les questions essentielles reçues des professionnels éditeurs de sites internet. Dans cette FAQ, une question intéressait notre client : « les traceurs utilisés pour la facturation des opérations d’affiliation sont-ils exemptés de consentement ? ». La réponse de la CNIL était « non ».

Une opération d’affiliation peut être du cashback, mais également du pur lien publicitaire. Dans ce dernier cas, seul le site sur lequel est présenté la publicité touche une commission car il a redirigé les internautes sur un site tiers.

L’industrie du cashback - nous représentons le SNMP, un syndicat qui réunit les principaux acteurs du cashback en France - se retrouvait alors dans la situation suivante : leurs partenaires marchands se referaient à la FAQ de la CNIL pour leur opposer le consentement nécessaire des internautes pour suivre leur navigation et ensuite reverser la rétribution. Le problème résidait dans le fait que si l’éditeur sollicitait un consentement pour le dépôt de cookies, et qu’une personne refusait de le lui donner, celle-ci n’obtenait pas la rétribution attendue. On considérait alors que l’utilisation des cookies était strictement nécessaire à la fourniture du service de cashback demandé par les utilisateurs.

La CNIL ne partageait pas votre vision des choses quant à la finalité du traitement de données ?

Nous avons considéré que la réponse proposée dans sa FAQ était bien trop large et non applicable. Le fait d’estimer que tous les traceurs utilisés pour la facturation des opérations d’affiliation ne pouvaient pas être exemptés de consentement nous paraissait beaucoup trop général. Cette règle ne pouvait pas s’appliquer à un service de cashback. Nous avons alors développé deux arguments devant le Conseil d’Etat. Le premier consistait à dire que la CNIL allait au-delà de ses propres pouvoirs en édictant une règle de droit qui n’était pas prévue, ni par la loi informatique et libertés, ni par les textes européens. Nous nous sommes appuyés sur un arrêt récent du Conseil d’Etat sur la notion de cookies walls. Le Conseil d’Etat avait reproché à la CNIL d’avoir outrepassé ses pouvoirs en édictant une interdiction générale et absolue des cookies walls. Nous avons considéré qu’il en était de même pour la réponse figurant dans la FAQ de la CNIL sur les cookies d’opérations d’affiliation. Le second argument consistait à soutenir que les cookies utilisés dans le cadre des services de cashback sont strictement nécessaires à la fourniture de ces services, à la demande expresse des utilisateurs. Il s’agissait donc d’une exemption qui permet d’utiliser des cookies sans consentement conformément à l’article 82 de la loi informatique et libertés.

Le Conseil d’Etat ne vous a pas donné raison sur le premier point de droit…

C’est un revirement de l’arrêt sur les cookies walls. La CNIL ne peut pas édicter une interdiction générale dans le cadre des cookies walls et considérer par ailleurs que certains cookies - notamment ceux de cashback et reward - n’étaient pas soumis à consentement. Nous avons été rejoints à l’action par un syndicat beaucoup plus large qui regroupait l’écosystème de la publicité en ligne. Il considérait que le fait de déposer des traceurs lorsqu’un internaute clique sur un bandeau publicitaire est strictement nécessaire à la survie du site proposant du contenu gratuit. Si le Conseil d’Etat avait considéré que la CNIL n’était pas fondée à délivrer une interprétation différente dans sa FAQ, cela aurait fait un « appel d’air ». Il me semble que tous les sites auraient plus ou moins cessé d’utiliser le consentement des internautes pour ce type de cookies. C’est d’ailleurs un peu ce qu’il s’est passé à la suite de l’arrêt concernant les cookies walls, beaucoup de sites en ont remis après la décision.

Mais vous avez pourtant obtenu gain de cause. Pouvez-vous nous expliquer comment ?

Le Conseil d’Etat a considéré que la CNIL avait le droit de faire ce type de réponse dans sa FAQ. Pour le Conseil d’Etat, la CNIL n’outrepasse pas ses pouvoirs et son analyse est conforme à l’article 82 de la loi informatique et libertés. Pour autant, le Conseil d’Etat a fait une exception expresse pour tout ce qui est services de cashback et de reward.

D’un côté, le Conseil d’Etat vient dire que la CNIL a raison : les cookies d’affiliation ne peuvent pas être exemptés de consentement. Et dans le même temps, il accepte une exception à cette affirmation générale. Nos clients se réjouissent de cet arrêt qui permet de rassurer leurs partenaires. De notre côté, nous considérons que cela rétablit une stabilité juridique s’agissant des conditions d’utilisation des cookies de cashback.       

Qu’a fait la CNIL ensuite ?

La CNIL a ajouté une nouvelle question / réponse dans sa FAQ concernant les cookies de cashback et de reward et a repris la rédaction du Conseil d’Etat pour les exempter de consentement.