IP / IT

Data : la CNIL ne peut pas interdire les cookie walls

En juillet 2019, la CNIL publiait les nouvelles lignes directrices relatives au consentement de l’internaute à l’utilisation de cookies et autres traceurs sur les sites qu’il visite. La CNIL revenait ainsi sur sa position de 2013 selon laquelle ce consentement pouvait valablement être recueilli par la simple poursuite de la navigation.

Selon la CNIL, ce consentement doit désormais être libre (ne pas conditionner l’accès au site à l’accord sur les cookies selon la pratique du ‘cookie wall’), spécifique (un consentement par finalité), éclairé (information simple et prioritaire sur l’identité du responsable de traitement, la finalité des opérations et l’existence du droit de retirer son consentement), et univoque (par une action positive de la personne préalablement informée).

En janvier 2020, la CNIL publiait un projet de recommandation reprenant ces principes avec un guide pratique de mise en œuvre. Ce projet était soumis à la consultation publique pour une publication en avril. Néanmoins cette date a été repoussée du fait de la situation sanitaire et ne devrait pas intervenir avant septembre.

Entre temps les professionnels de la publicité en ligne ont attaqué cette position de la CNIL devant le Conseil d’Etat. Conformément à la position qui avait été prise par le rapporteur public quelques jours avant, dans sa décision du 19 juin 2020, le Conseil d’Etat a validé pour l’essentiel la position de la CNIL sauf sur les cookie walls.

Ce qui a été validé :

  • Le refus aux cookies doit être aussi facile que le consentement
  • Le retrait du consentement doit être aussi facile que de le donner
  • Le consentement doit porter sur chacune des finalités, ce qui implique une information spécifique
  • L’identité des responsables du traitement doit être donné lors du recueil du consentement
  • Le responsable du traitement doit pouvoir démontrer un recueil du consentement valable.

En revanche, le Conseil d’Etat considère qu’aucun fondement juridique n’interdit de manière générale et absolue la pratique selon laquelle un site internet peut interdire l’accès aux internautes qui refusent les cookies. Et ce alors même que le Comité Européen de Protection des Données Personnelles (qui regroupe l’ensemble des autorités de contrôle européennes) s’était prononcé dans le même sens que la CNIL dans ses lignes directrices du 4 mai dernier.

La CNIL n’avait donc pas le pouvoir d’interdire cette pratique dans des lignes directrices.

La CNIL a pris acte de cette censure du Conseil d’Etat et ajustera ses lignes directrices et sa recommandation pour une nouvelle publication a priori en septembre 2020.

Emmanuelle Behr
Avocate Associée