«Cookies walls» : «il est plus prudent de continuer à respecter l’interdiction», analyse M.Erber

«Cookies walls» : «il est plus prudent de continuer à respecter l’interdiction», analyse M.Erber

26.06.2020

Gestion d'entreprise

Mieux vaut attendre... A la suite de la décision du Conseil d’état du 19 juin, invalidant une partie des lignes directrices de la Commission sur les cookies et autres traceurs, Mélanie Erber, avocate associée chez Coblence, conseille à ses clients de continuer à éviter la pratique des «cookies walls» jusqu’à ce que la Cnil clarifie les choses.

C’est une jurisprudence que l’on attendait pas. Dans sa décision rendue la semaine dernière, le Conseil d’état a décidé de suivre les conclusions de son rapporteur public. Le RGPD ne permettrait pas d’interdire de manière générale et absolue la pratique des cookies walls. La Cnil doit revoir sa copie car elle aurait outrepassé ses pouvoirs… Eclairage sur ce qu’il convient d’en déduire avec l’avocate Mélanie Erber.   

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité (analyse du bilan, compte de résultat, prévisionnel, budgétisation...), de la finance (la gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (choix du statut juridique, contrats commerciaux, fiscalité)

Découvrir tous les contenus liés

Quel est le sens de la décision du Conseil d’état du 19 juin ?

Le Conseil d’état a validé la plupart des lignes directrices de la Cnil relatives aux cookies et aux traceurs. Il a cependant invalidé la partie prohibant de façon générale et absolue la pratique des cookies walls (ces liens qui sont mis en ligne par les éditeurs de sites pour bloquer leur accès dans le cas où l’internaute ne consentirait pas au suivi de sa navigation au moyen de cookies ou traceurs de connexion). Il est d’ailleurs fréquent que pour se connecter à un site il soit demandé à l’internaute d’accepter la politique sur les cookies, à défaut de quoi le site devient inaccessible. Le Conseil d’état a considéré sur ce point que la Cnil avait été au-delà de ses pouvoirs en se livrant à une interprétation très large du RGPD.  

Pourtant la Cnil justifiait sa position en déclarant suivre le RGPD et le CEPD ?

La Cnil a motivé ses lignes directrices en prenant pour base le RGPD.  Il ne contient qu’une seule référence aux cookies. Il n’y a cependant pas d’interdiction précise donnée spécifiquement sur ce thème. Mais la Commission est partie du principe posé par le RGPD relatif au consentement de l’utilisateur : il doit être libre, éclairé et donné par un acte positif clair. Elle en a déduit que dès lors que l’utilisateur doit cliquer sur « accepter » la politique des cookies pour accéder à un site, son consentement n’est pas donné conformément aux exigences du RGPD qui impose d’informer l’utilisateur de l’ensemble des finalités du traitement de ses données . Or, tel n’est pas le cas face à un cookies wall.

Que pensez-vous de la jurisprudence du Conseil d’état ?

Le RGPD ne traite pas des cookies walls. A mon sens, la Cnil a suivi les recommandations posées de manière globale sur la question du consentement de l’utilisateur par le règlement.

La difficulté de cet arrêt réside dans le fait que le Conseil d’état ne s’est pas prononcé sur l’opportunité ou non de bloquer l’accès à un site internet mais davantage sur l’excès de pouvoir dont aurait fait preuve la Cnil. On aurait aimé qu’il précise dans quel cadre les cookies walls sont compatibles avec les principes du RGPD et comment il est possible de recueillir un consentement en bonne et due forme. La Cnil va devoir modifier ses lignes directrices mais l’arrêt du Conseil d’état ne lui donne pas d’élément sur ce qui est admis en matière de cookies walls.

A la suite de cet arrêt, que conseillez vous à vos clients sur la pratique des cookies walls ?

A ce stade, nous conseillons de veiller à la surprotection des internautes : donc de faire attention à ce que leur consentement soit donné de manière libre et éclairée. En attendant la refonte des lignes directrices attendue pour le mois de septembre, il est plus prudent de continuer à respecter l’interdiction des cookies walls.

La Cnil devrait tenir compte de la carence du RGPD sur ce sujet et se référer à la directive E-privacy pour adapter ses lignes directrices sur les cookies. En matière de consentement, il devrait probablement y avoir un traitement à part des principes généraux.

On peut imaginer qu’il soit conseillé de mettre en place un double pallier d’accès au site. Une pré-case à cocher serait nécessaire avant de cliquer sur « j’accepte la politique » en matière de cookies. Cette pré-case donnerait alors accès aux finalités des traitements des données collectées par les cookies. Puis, l’utilisateur pourrait valablement accepter l’ensemble de la politique pour accéder au site internet ou décider de passer son chemin…

Est-ce que, toutefois, un cookies wall n’induit pas par lui-même d’accepter de façon systématique la collecte des données ? La question peut se poser. 

La délibération de la Cnil sur les cookies reste toutefois valide en grande partie. Pouvez-vous nous en rappeler les éléments clés ?

Tout d’abord, les utilisateurs doivent pouvoir refuser de donner leur consentement aussi facilement qu’ils acceptent de le donner. Idéalement, il faudrait une case à cocher : « j’accepte » ou « je n’accepte pas » la politique sur les cookies.

Autre élément, le retrait du consentement doit être aussi facile que de le donner. Or, on constate qu’il est toujours plus facile de consentir que de rechercher ensuite les modalités pour retirer son consentement. Il y a rarement un bandeau qui s’affiche lors d’une seconde connexion à un site pour demander si on souhaite retirer les cookies mis en place.  

Le consentement doit être donné pour chaque finalité. Ce qui implique de délivrer une information spécifique sur ce qui va être fait des données collectées par les cookies. C’est aussi rarement le cas.

L’identité des responsables des traitements est à délivrer aux internautes lorsqu’on collecte leurs données. La liste des personnes ayant accès aux données doit donc être mise à leur disposition. Ce qui est rare. Généralement ces informations figurent davantage dans les politiques de confidentialité.

Et puis il est nécessaire que ceux plaçant des cookies soient en mesure de démontrer qu’ils ont obtenu un consentement valide.

Très peu de sites sont donc conformes au RGPD sur la question des cookies ?

Le RGPD a fait grand bruit. Beaucoup d’entreprises se sont mises en conformité. Néanmoins il y a des « vagues ». Une première vague a pu être constatée au moment de l’entrée en vigueur du règlement. Tout le monde s’interrogeait alors sur sa conformité. Puis les choses se sont ralenties. Et à la suite de plusieurs condamnations, il y a eu une nouvelle vague de mise en conformité.

Sur la question des cookies, effectivement, rares sont les sites à jour.

 

 

 

propos recueillis par Sophie Bridier
Vous aimerez aussi

Nos engagements