Fin juillet, la CNIL a publié au Journal officiel sa délibération sur les lignes directrices relatives entre autres à l'usage des cookies et autres traceurs. Des lignes directrices qui concernent donc le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés. Nous pouvons y lire que
« tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
« 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
« 2° Des moyens dont il dispose pour s'y opposer.
« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
Concernant le champ d'application des lignes directrices, il est très large : tablette, mobile multifonction (smartphone), ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public
Il va d’ailleurs au-delà des seuls cookies HTTP : « les lignes directrices portent sur l'utilisation des cookies HTTP, par lesquels ces actions sont le plus souvent réalisées, mais ont également vocation à s'appliquer au recours à d'autres techniques : les local shared objects (objets locaux partagés) appelés parfois les cookies Flash , le local storage (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. »
La CNIL estime que « le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU.
La poursuite de la navigation ne vaut donc pas accord au dépôt de cookies sur son terminal, contrairement à ce que retenait la même commission dans sa délibération de 2013. Il faut noter que dans le plan d’action 2019-2020 dévoilé fin juin, elle a laissé une période transitoire pour que les professionnels du secteur du marketing « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».
En clair, dans la politique interne de la CNIL, les acteurs qui respectaient la délibération de 2013 se verront offrir un répit d’un an. Les autres seront éligibles à une sanction immédiate.
« Le délai laissé aux opérateurs qui respectaient jusqu’à présent la recommandation de 2013 tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » oppose aujourd’hui la CNIL sur son site. Un répit qui a agacé la Quadrature du Net.
Une procédure de référé amorcée par les associations Quadrature du Net et Caliopen
La CNIL a justifié son report de 12 mois par la prise en compte « de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme ».
C’est cette situation épineuse qui a contraint Caliopen et la Quadrature du Net a frapper à la porte du Conseil d’État. Les deux associations y ont déposé fin juillet un recours d’urgence et un autre au fond.
Par une requête, enregistrée le 29 juillet 2019 au secrétariat du contentieux du Conseil d'Etat, les associations «La Quadrature du net» et« Caliopen » ont demandé au juge des référés du Conseil d'État :
- d'ordonner la suspension de l'exécution de la décision de la Commission nationale de l'informatique et des libertés (CNIL), révélée par des communiqués de presse des 28 juin et 18 juillet 2019, d'autoriser la « poursuite de la navigation » comme mode d'expression du consentement en matière de cookies et de traceurs en ligne jusqu'à la mi-2020 ;
- d'enjoindre à la CNlL de publier, tant sur la page d'accueil de son site Web que sur les pages de ses communiqués des 28 juin et 18 juillet, un encart faisant référence à l'ordonnance à intervenir et indiquant que par ordonnance du juge des référés du Conseil d'Etat, sa décision d'autoriser la « poursuite de la navigation » comme mode d'expression du consentement en matière de cookies et de traceurs en ligne jusqu'à la mi-2020 a été suspendue et que, par suite,« la poursuite de la navigation » ne constitue pas un mode d'expression valable du consentement en matière de cookies et de traceurs en ligne, sous astreinte de 500 euros par jour de retard;
- de mettre à la charge de 1 'Etat la somme de 1 024 euros au titre de 1' article L. 761-1 du code de justice administrative.
Le Conseil d’État rejette la requête des associations
La question des cookies est visée par la directive ePrivacy de 2002, modifiée en 2009. Le texte exige le consentement de l’internaute, tout en renvoyant la définition de cette expression à la législation relative aux données personnelles.
Or, depuis le 25 mai 2018, le règlement général sur la protection des données personnelles (RGPD) exige un acte positif clair, contrairement aux textes antérieurs qui se satisfaisaient d’un consentement implicite. Pour être plus clair, l’installation des cookies publicitaires doit être précédée d’un recueil de consentement explicite au lieu de déduire l’accord de l’internaute par la poursuite de la navigation.
Cependant, le Conseil d’État a rejeté la requête des associations, au motif que : « l'examen de la requête tendant à l'annulation de la décision attaquée sera inscrit au rôle d'une séance de jugement du Conseil d'Etat le 30 septembre 2019. Cette décision se bome à maintenir pour une période limitée la position exprimée par la CNIL dans ses lignes directrices de 2013. A supposer qu'elle ait également pour effet d'inciter, ainsi qu'il est soutenu, les opérateurs concemés à différer temporairement la mise en conformité des modalités de recueil du consentement de leurs utilisateurs au sujet des opérations de lecture ou d'écriture dans leur terminal, il n'apparaît pas que cette décision aurait pour conséquence, d'ici à la date rapprochée de l'audience, de porter aux intérêts que les requérants entendent défendre ou à l'intérêt public une atteinte de nature à regarder la condition d'urgence, requise par l'article L. 521-1 du code de justice administrative pour justifier sa suspens10n immédiate, comme satisfaite ».
Source : Journal Officiel, décision du Conseil d’État (au format PDF)
Et vous ?
La « poursuite de la navigation» devrait-elle être un mode d'expression du consentement en matière de cookies ? Dans quelle mesure ? Que pensez-vous de la décision de la CNIL d'accorder un délai d'un an suite à la prise en compte « de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » ? Que pensez-vous de la réaction de la Quadrature du net ? Est-elle justifiée ou exagérée selon-vous ? Pourquoi ? Que pensez-vous de la décision du Conseil d’État ? 
Envoyé par tereno
