Le conseil d’Etat ayant jugé que les cookie walls sont licites, la Commission nationale de l’informatique et des libertés (CNIL) a désormais la tâche délicate de leur donner un cadre légal qui garantisse un équilibre entre la liberté du consentement et la liberté d’entreprendre [1]. Or, dans ses nouvelles lignes directrices sur les "cookies et autres traceurs", la commission adresse aux éditeurs de sites web ce qui semble n’être qu’un appel à la prudence, bien éloigné des règles attendues. Ainsi, elle se borne à constater que l’utilisation des cookie walls "est susceptible de porter atteinte, dans certains cas, à la liberté du consentement (…)" [2]. Cependant, ce faisant, elle ne se défausse pas de sa responsabilité mais indique qu’elle adopte une approche empirique pour mettre à jour progressivement les conditions de cette conciliation.
En tant qu’autorité administrative indépendante (AAI), la CNIL a pour mission de réguler le domaine de la protection des données personnelles par le conseil (information et accompagnement) et le contrôle (enquêtes et sanctions) [3]. Dans ces deux circonstances, elle sera amenée à apprécier "au cas par cas" [4] la conformité des dispositifs de cookies et à clarifier leur régime juridique. De plus, elle associera les éditeurs de sites web à cette casuistique juridique car ils ont une responsabilité particulière en matière de protection des données personnelles. En effet, d'une part, ils décident librement des moyens qu’ils utilisent pour mettre leurs traitements en conformité avec le règlement général sur la protection des données (RGPD) [5]. Et, d'autre part, ils doivent être en mesure de prouver que leurs choix sont adéquats pour atteindre cet objectif (principe dit d’"accountability") [6]. Ils sont donc co-régulateurs, dans une certaine mesure.
Tout d’abord, les éditeurs de sites web peuvent demander l’avis de la commission sur les cookie walls qu’ils souhaitent créer. Que ce soit individuellement en lui soumettant l’analyse d’impact relative à la protection des données (AIPD) du traitement contenant le dispositif de cookies, au motif qu’il présente un risque résiduel élevé pour la liberté du consentement des internautes [7]. Ou, collectivement, si les éditeurs de sites web d’un secteur décident de se doter d’un code de conduite contenant des dispositions relatives aux cookie walls. Un tel code devant alors être soumis à l’approbation de la CNIL [8].
Ensuite, la commission peut se prononcer sur la conformité des cookie walls dans le cadre de son contrôle a posteriori des traitements de données personnelles. Elle entamera alors une discussion avec l’éditeur de site web contrôlé et pourra l’orienter dans sa recherche d’une solution qui respecte la réglementation.
Enfin, si l’éditeur persiste à ne pas rentrer dans les clous, elle devra argumenter l’éventuelle décision de sanction.
Ce sont donc autant d'opportunités pour l'AAI de préciser les règles applicables aux cookie walls.
Par ailleurs, la CNIL pourra s’appuyer sur l'intention des législateurs européen et français, ainsi que sur la doctrine pour déterminer les conditions dans lesquelles les cookie walls sont acceptables. Celles-ci en distinguent quatre, que la commission pourra retenir ou pas :
1/ Le recours au cookie wall permet à l’éditeur d’atteindre un objectif légitime [9]. Par exemple, il a pour but de financer un site offrant des services non-marchands.
2/ Il existe des alternatives raisonnables, disponibles et accessibles qui permettent d’obtenir le même service [10]. Par exemple, l’internaute peut accéder au même site web contre le paiement d’une somme raisonnable ; ou il peut utiliser un service similaire accessible librement sur un autre site web.
3/ La personne qui refuse de donner son consentement ne subit pas un préjudice significatif en conséquence [11].
4/ L’internaute n’est pas contraint à accepter le cookie wall pour obtenir l’exécution d’un contrat qui, par ailleurs, le lie à l’éditeur du site web (pratique dite du "couplage" qui entraîne une présomption d’illégalité des cookies) [12].
Cela étant écrit, l’inconvénient majeur de cette démarche empirique de la CNIL est qu’elle maintient les éditeurs de sites web dans l’insécurité juridique aussi longtemps que les critères de légalité des cookie walls ne sont pas officiellement dégagés. Et, en conséquence, elle les expose au risque d’être sanctionnés.
Dès lors, la solution la plus sage pourrait encore être d’attendre patiemment que le législateur européen adopte le règlement ePrivacy et statue définitivement sur le régime juridique des cookie walls à cette occasion [13]. En espérant qu’il ne tarde plus trop à se prononcer.
Sources :
[1] Voir notre billet précédent : « Les cookie walls : une pierre d’achoppement pour la protection des données personnelles » (1/2)
[2] CNIL, délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n°2019-093 du 4 juillet 2019; article 2. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3nEQUI7>.
[3] France, loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; dite « loi Informatique et Libertés » (telle que modifiée au 1er janvier 2020. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2IRQob5>.
[4] CNIL, ibidem [2], article 2.
[5] Union Européenne, règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données); article 5, 2. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/36UZ7Bv>.
[6] Union Européenne, RGPD, ibidem, article 5, 2.
[7] Union Européenne, RGPD, ibidem, article 36.
[8] Union Européenne, RGPD, ibidem, article 40.
[9] Union Européenne, directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques); considérant 25 de la directive ePrivacy. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3fhHHT2>.
[10] ALIX Pascal. Il est plus facile pour un chameau (de passer par le chas d’une aiguille que pour les responsables de traitement d’obtenir un consentement libre et éclairé au dépôt et à la lecture de cookies tiers). Légipresse (site web), octobre 2020, para. I. E. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3pVGSoa>.
[11] LALLET Alexandre, rapporteur public, conclusions sous CE, 19 juin 2020, Association des agences conseil en communication et autres, n°434684, p. 10. Disponible en ligne : [consulté le 20/11/2020] <https://bit.ly/3lOKZQv>.
[12] LALLET A., ibidem p. 8.
[13] En ce sens voir ALIX P., ibidem [9], para. I. E.