Cookies : la tolérance de la CNIL passe le cap du Conseil d’État

Soulagement des éditeurs

Le 16 octobre 2019 à 14h42

3 min

Droit

Le Conseil d’État rejette ce jour le recours de la Quadrature du Net et de Caliopen. Les deux associations s’étaient attaquées aux lignes directrices de la CNIL relatives aux cookies et autres traceurs, en particulier la période d’adaptation offerte par la commission aux responsables de traitements.

Le 4 juillet dernier, la CNIL a (enfin) mis à jour sa politique en matière de cookies : suite à l’entrée en vigueur du RGPD, le 25 mai 2018, il n’est plus possible de déduire le consentement des internautes à l’enregistrement des cookies de la simple poursuite de la navigation sur un site. Comme le veut le règlement, auquel la directive ePrivacy fait ici référence, il faut un consentement exprès des intéressés, outre évidemment une information solide sur le sort de ses données personnelles.

Toutefois, pour laisser aux entreprises un délai suffisant pour respecter ce « nouveau » virage, la commission a laissé un an avant mise en oeuvre des sanctions. Concrètement, le site qui continuerait à appliquer l’ancienne politique durant cette période ne risquerait en principe rien. Il faut dire que dans le même temps, la CNIL élabore une délibération avec les acteurs concernés (voir les premiers éléments dévoilés dans nos colonnes). L’objectif ? Aboutir à un cadre définissant les modalités pratiques du recueil de consentement au dépôt des cookies.

Un large pouvoir d'appréciation

Mais ces 12 longs mois n’ont pas satisfait les deux associations précitées. Selon eux, la commission ne pouvait déporter dans le temps ce nouveau cadre en vigueur depuis le 25 mai 2018. L’autorité ne pouvait pas plus renoncer à utiliser ses pouvoirs de sanction en cas de manquement. D’autant qu'est en jeu, ici, la vie privée de millions de personnes !

Le Conseil d’État n’a pas été de cet avis. Il a souligné le « large pouvoir d’appréciation » dont bénéficie la CNIL. Mieux, la tolérance de la commission vient finalement contribuer à la mise en conformité de l’ensemble des sites utilisant des cookies publicitaires « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».

La poursuite de la navigation comme expression du consentement perdurera durant cette période, en attendant la délibération promise en 2020. Dans son arrêt, la haute juridiction relève cependant que la Commission pourra toujours « faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave ».

La juridiction suit là les conclusions du rapporteur public (notre compte rendu d'audience). Dans ses conclusions, celui-ci avait toutefois fait un appel du pied : les lignes directrices de la CNIL ne lient ni le juge civil ni le juge pénal. En clair, la Quadrature du Net ou Caliopen pourraient toujours trainer un site peu respectueux du consentement des internautes devant ces juridictions.

Commentaires (23)

Fl0Wer

Le 17/10/2019 à 07h22

Lesgalapagos a écrit :

On ne peut, hélas, se limité à une lecture du texte du RGPD. Il convient aussi de suivre les décisions de la CEDJ, une décision récente concerne bien l’ensembles des cookies qui nécessiteraient un accord préalable.

L’affaire C-⁶⁷³⁄₁₇ à laquelle vous faîtes référence ne pose pas un tel principe.

 

Elle confirme la nécessité d’obtenir un consentement préalable au dépôt de cookies, conformément à la Directive “e-privacy”. Elle ne remet pas en question les exceptions de cette même Directive, qui permettent l’utilisation et le dépôt de cookies sans consentement lorsque ces derniers :

visent exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques ; ou

sont strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. 

Autrement dit, les cookies “techniques” ne nécessitent pas de consentement préalable. Et heureusement " />

gg40 Abonné

Le 17/10/2019 à 09h25

C’est tellement pointu comme sujet :(

Merci pour les précisions

crocodudule

Le 17/10/2019 à 10h52

GehNgiS a écrit :

Non. Le RGPD ne pose pas de problème aux cookies de session. Il suffit de lire l’article 6. Le RGPD dit qu’il faut qu’il y ait consentement de l’utilisateur OU, entre autres, que ce soit nécessaire à l’exécution d’un contrat ou précontrat avec l’utilisateur.
Donc il n'y a pas besoin d'une autorisation explicite de l'utilisateur pour utiliser des cookies de session nécessaires techniquement à la navigation. Par contre, il faut bien veiller que ces cookies ne servent jamais à faire quoi que ce soit qui ne soit pas nécessaire, comme faire des stats de visite.
La décision de la CJUE est peu lisible sur ce point et peut laisser croire que l'on doit recueillir l'accord (consentement) de l'internaute même pour un cookie purement technique.      
Néanmoins à la lecture attentive de la décision du 1° octobre, la CJUE vise bien la directive 2002 modifiée en 2009 et donc l’exception à la demande d’accord de l’internaute (passage de l’article 5 “ne peut faire obstacle à …”).

Perso je l’interprète comme ça: si on a pas à permettre la navigation sans les cookies techniques (pas de consentement nécessaire comme tu le relèves), on doit en revanche informer l’internaute de l’existence de ces cookies. (but selon la CJUE “protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel” )

Fl0Wer

Le 17/10/2019 à 14h52

crocodudule a écrit :

Perso je l’interprète comme ça: (…) on doit en revanche informer l’internaute de l’existence de ces cookies. (but selon la CJUE “protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel” )

L’interprétation me semble extensive. Si la CJUE avait voulu aller dans ce sens, elle aurait clairement fait ressortir cet élément de son arrêt (et l’aurait intégré explicitement dans son communiqué de presse).

J’entends que la question préjudicielle à laquelle la CJUE répond ne précise pas le périmètre de l’information dont il est question : Quelles sont les informations que le fournisseur de services doit donner à l’utilisateur au titre de l’information claire et complète voulue par l’article 5, paragraphe 3, de la directive [²⁰⁰²⁄₅₈] ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ?

Mais dans son argumentaire, la CJUE fait expressement référence à l’information devant être fournie en amont de “l’accord” donné par l’utilisateur (Cf  à cet égard les points 72 à 75 de l’arrêt). En ce sens, la CJUE ne me semble pas se prononcer sur l’information qui devrait être fournie dans le cas des exceptions prévus par la Directive “e-privacy” permettant l’utilisation et le dépôt de cookies sans consentement.

crocodudule

Le 17/10/2019 à 16h02

Fl0Wer a écrit :

 
Mais dans son argumentaire, la CJUE fait expressement référence à l'information devant être fournie en amont de "l'accord" donné par l'utilisateur (Cf&nbsp; à cet égard les points 72 à 75 de l'arrêt). En ce sens, la CJUE ne me semble pas se prononcer sur l'information qui devrait être fournie dans le cas des exceptions prévus par la&nbsp;Directive "e-privacy"&nbsp;permettant&nbsp;l’utilisation et le dépôt de cookies sans consentement.
Comme indiqué le décision est pour le moins ambiguë sur ce point car elle cite l’intégralité de l’article 5, dont le passage “ne fait pas obstacle etc…”, mais n’explicite rien sur le ne fait de savoir ce qu’implique le “fait pas obstacle…”.

Et concrètement, admettons que pour fournir l’affichage du service tu as besoin d’un cookie purement technique, comment faire ? Tu vas réorienter (sans aucune implantation chez l’internaute) vers une page dénuée de tout cookie pour que l’internaute consente ou non à l’usage de ce cookie technique. Il le refuse donc tu n’implémentes rien et tu le renvoies vers la page du service qui, n’ayant aucune info puisque refusée par l’internaute, va renvoyer sans fin vers la page de consentement au cookie technique ? etc…

Je doute que la CJUE se fourvoie à ce point sur le plan technique. Je note encore que la CNIL mais surtout le G29 intègrent bien cette exception (aussi bien dans les lignes directrices que dans son courrier adressé au Figaro). Dès lors je me limite à penser que la CJUE veut une information complète de l’internaute, y compris sur l’existence de cookie technique, mais qu’en revanche elle n’exige pas le consentement au cookie technique.

Ou alors elle permet d’interdire le service à un internaute qui refuse le cookie technique (ce qui serait une autre aberration en plus de celle sur le plan technique).

crocodudule

Le 17/10/2019 à 16h17

Plus possible d’éditer: pardon Fl0Wer je voulais répondre à un autre commentaire.

Pour toi, si j’ai bien compris, on a pas à demander le consentement au cookie technique, mais également on a pas à informé de l’existence de ce cookie ?

Alors selon toi, pourquoi la CJUE précise dans sa décision :

“68. Cela étant précisé, il convient, en tout état de cause, de constater que l’article 5, paragraphe 3, de la directive ²⁰⁰²⁄₅₈ fait référence au « stockage d’informations » et à « l’obtention de l’accès à des informations déjà stockées », sans qualifier ces informations ni préciser que celles-ci devraient être des données à caractère personnel.  69. Ainsi que l’a constaté M. l’avocat général au point 107 de ses conclusions, cette disposition vise ainsi à protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel. 70. Cette interprétation est corroborée par le considérant 24 de la directive ²⁰⁰²⁄₅₈, selon lequel toute information stockée sur l’équipement terminal de l’utilisateur d’un réseau de communications électroniques relève de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Cette protection s’applique à toute information stockée sur cet équipement terminal, indépendamment du fait qu’il s’agisse ou non de données à caractère personnel et vise, notamment, comme il ressort de ce même considérant, à protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu”.

fofo9012 Abonné

Le 18/10/2019 à 07h04

l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement

Pour le coup c’est plutôt vrai quasiment aucun site ne respecte le consentement aux cookies, la CNIL peut difficilement attaquer tous les sites web d’un coup.

Par contre ça sera toujours vrai dans 8mois, donc pourquoi laisser encore du temps ?

JCDentonMale

Le 18/10/2019 à 09h16

Franchement à part gérer les données de session pour l’authentification des utilisateurs, ça sert à quoi les cookies ? C’est des trackers et compagnie. C’est vraiment soûlant de devoir cliquer sur ces bannières sur chaque site qu’on visite !

 

Si c’était que moi, j’interdirai tout usage de cookies à des fins autres que l’authentification sur un site, et je n’afficherait ces bannières que durant les tentatives d’authentification.

Pour tout autre usage, il y a le local storage et le session storage.

Lesgalapagos

Le 18/10/2019 à 12h57

La décision dit aussi : “Elle estime également qu’« (elles) ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel…”

“Elle” fait ici référence à l’autorisation préalable.

Le cookie de session n’est pas un cookie technique, il contient un identifiant qui va permettre d’identifier une session utilisateur, donc potentiellement les données de la session, donc potentiellement le numéro de client ou d’abonné, dont le compte du client ou de l’abonné. Le cookie de session est un cookie qui contient des données personnelles au sens défini dans l’article 4-1 du GDPR.

Je suis d’accord que l’on est plutôt borderline en terme de droit et d’utilisation de site. Mais cette décision peut très bien faire évoluer l’interprétation de l’article 5 du GDPR. Et, à terme, rendre obligatoire l’accord préalable d’un utilisateur pour mettre en place un cookie de session.

gg40 Abonné

Le 18/10/2019 à 14h56

Les cookies sont utiles également quand tu souhaites sauvegarde des choix de visiteurs ne s’identifiant pas :

Mode affichage d’un site

Liste d’item préféré

etc.

A la base c’est juste une possibilitée technique intéressante qui a été dévoyée par la pub ! " />

Carboline Abonné

Le 20/10/2019 à 13h29

Ce qui serait bien, c’est d’éradiquer tous ces popups intrusifs et gonflants relatifs à l’acceptation des cookies dont tout le monde se fout …

Jeanprofite

Le 20/10/2019 à 17h41

Ha non alors, si tu n’a rien à faire de ta vie privée et ne veut pas en entendre parler ça te ragarde, mais ces popups t’avertissent que le site que tu fréquente veut mieux te connaître.

Je viens de tester avec un blog, il ne dépose aucun cookie = pas de popup.

Ce n’est pas plus compliqué que ça.

Patch Abonné

Le 16/10/2019 à 14h52

Mieux, la tolérance de la commission vient finalement contribuer à la mise en conformité de l’ensemble des sites utilisant des cookies publicitaires « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».

Elle a toujours le pouvoir de faire les gros yeux, quoi.

crocodudule

Le 16/10/2019 à 14h55

Bon en gros, le CE consacre le principe de l’opportunité des poursuites de la CNIL, estimant qu’il est indifférent de la question de l’entrée en vigueur de la réglementation qui est (roulement de tambours)… bien en vigueur.

 

Lesgalapagos

Le 16/10/2019 à 15h11

Conclusion, en tant que gestionnaire de site, vous avez encore 8 mois pour vous mettre en conformité. Vis à vis de la CNIL. Mais si un internaute vous attaque, vous pouvez parfaitement être condamné. Aujourd’hui. Donc, mettez-vous en conformité le plus vite possible.

Sans compter que la cours européen de justice a récemment tranché en spécifiant que le consentement préalable était obligatoire sur tous les cookies, quels qu’ils soient. Et ce, dés hier.

Et voilà, on est bien là.

tpeg5stan

Le 16/10/2019 à 15h11

Grosse perte de crédibilité de la CNIL dans cette affaire.

Pour les journalistes il va bien falloir s’y faire : un jour ou l’autre ils devront cesser le fliquage, la grosse question est de savoir quand et par qui. L’Europe ou la France ? Dans moins d’un an ou aux calendes grecques ?

La France est loin d’être le seul pays problématique, au moins la Belgique et les Pays-Bas sont dans le même cas.

Jarodd Abonné

Le 16/10/2019 à 15h34

Donc si je suis un éditeur, je dois peser le risque entre :

a- profiter de cette période de tolérance pour continuer à faire mon tracking et en considérant que navigation = consentement

b- risquer qu’on me mette au tribunal (puisque la CNIL a juste le pouvoir - et les moyens - de me donner une fessée)

Effectivement ça va être un gros dilemme… Je me demande quelle solution les éditeurs vont choisir ! " />Quelqu’un pour demander leur avis au Figaro, ou à Challenges ?

anonyme_f6b62d162990fde261db0e0ba2db118e

Le 16/10/2019 à 15h36

Surtout qu’ils pourront plaider la bonne foi car ils suivent les recos de la CNIL!

crocodudule

Le 16/10/2019 à 15h58

Par contre je relève la formule (gratuite) du Conseil d’Etat à l’attention de la CNIL:

« que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».

Dans le genre aveu de l’impuissance de la CNIL…

Transposez dans un autre domaine pour rigoler, par exemple le délit de harcèlement, “Le Tribunal correctionnel a décidé d’engager une concertation avec les parties prenantes afin d’inciter au respect de l’interdit de harceler, que l’exercice du pouvoir de sanction du Tribunal ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement”.  " />

gg40 Abonné

Le 16/10/2019 à 17h06

Les cookies techniques ne sont pas concerné (je crois).

 Déjà que je galère à mettre a jour les sites dont je suis l’éditeur (à cause de Google analytics, je n’ai aucun site avec pub) si en plus les cookies de session sont concernés….

Lesgalapagos

Le 16/10/2019 à 17h51

Ce jugement pose réellement un problème, vu que la majorité des solutions de gestion des acceptations utilisent des cookies pour les stocker. Et que, sans cookie de session, c’est un peu mort pour beaucoup de site. Il faut voir comment cette décision va évoluer sur ses points.

Il reste qu’il n’y a pas que les cookies publicitaires qui sont concernés, dés qu’il y a des données personnelles (et un identifiant propre au site vers des informations du client l’est), il doit être soumit à acceptation. Et que le cookie de session est en plein dedans…

GehNgiS

Le 17/10/2019 à 04h51

Non. Le RGPD ne pose pas de problème aux cookies de session. Il suffit de lire l’article 6. Le RGPD dit qu’il faut qu’il y ait consentement de l’utilisateur OU, entre autres, que ce soit nécessaire à l’exécution d’un contrat ou précontrat avec l’utilisateur.

Donc il n’y a pas besoin d’une autorisation explicite de l’utilisateur pour utiliser des cookies de session nécessaires techniquement à la navigation. Par contre, il faut bien veiller que ces cookies ne servent jamais à faire quoi que ce soit qui ne soit pas nécessaire, comme faire des stats de visite.

Lesgalapagos

Le 17/10/2019 à 06h14

On ne peut, hélas, se limité à une lecture du texte du RGPD. Il convient aussi de suivre les décisions de la CEDJ, une décision récente concerne bien l’ensembles des cookies qui nécessiteraient un accord préalable.