mercredi 25 novembre 2020

Les cookie walls : une pierre d’achoppement pour la protection des données personnelles (1/2)

Le 17 septembre 2020, la Commission nationale de l’informatique et des libertés (CNIL) a adopté la version corrigée de ses lignes directrices sur les "cookies et autres traceurs" [1]. Cette révision est la conséquence d’un arrêt du conseil d’Etat (CE), rendu le 19 juin précédent, par lequel il a recadré la commission sur l’exercice de ses compétences d’autorité régulatrice de la protection des données personnelles [2] [3].

Plus spécifiquement, la haute juridiction a annulé pour excès de pouvoir l’interdiction générale et absolue d’utiliser des cookie walls que la CNIL opposait aux éditeurs de sites web [4]. En effet, le juge administratif a constaté qu’il n’est pas possible de proscrire définitivement ces dispositifs sur la base de la seule interprétation du règlement général sur la protection des données (RGPD) [5]. Et, par conséquent, il en a conclu que la commission avait créé une règle inédite au lieu de simplement clarifier le droit existant.

Ainsi, les cookie walls étant licites, il incombe désormais à la CNIL de dégager le régime juridique de leur utilisation. Ces nouvelles lignes directrices sont le premier jalon qu’elle pose sur cette voie semée d’embûches.


Initialement, la CNIL s’était alignée sur la position du Comité européen de la protection des données (CEPD) qui interprète strictement l’article 4, 11) du RGPD, aux termes duquel le consentement doit être libre pour être valide [6]. En l’occurrence, le comité estime que la menace de se voir refuser l’accès à un site web constitue, à elle seule, une contrainte suffisante pour que la personne concernée se sente obligée d’accepter le cookie wall et, en conséquence, qu’elle vicie son consentement. Cela quel que soit le préjudice réel qui aurait résulté de l’éventuel déni d’accès.

Cependant, cette position intransigeante est incompatible avec la lettre et l’esprit de la directive européenne dite "ePrivacy" [7] qui réglemente l’utilisation des cookies et a été transposée en France dans plusieurs textes, dont la loi Informatique et Libertés [8]. En effet, à l’occasion de l’adoption de ces normes, les législateurs européen et français ont reconnu que l’accès à un site web peut être subordonné à la condition que l’internaute accepte l’installation de cookies sur son terminal, si ceux-ci sont utilisés "à des fins légitimes" [9]. Ce faisant, ils ont entendu autoriser l’un des modèles économiques de l’Internet, dit « troc 2.0 », qui permet aux éditeurs de sites web de financer les services qu’ils offrent "gratuitement" aux internautes : ils se rétribuent en exploitant les données personnelles des utilisateurs pour pouvoir leur présenter de la publicité ciblée payée par des annonceurs.


Ces deux positions traduisent des conceptions de la nature juridique des données personnelles qui se sont développées en parallèle et s’opposent fondamentalement, bien qu’elles soient ancrées dans la réalité de l’Internet.

D’un côté, il y a les tenants de l‘extra-patrimonialité qui souhaitent que les données personnelles soient mises hors commerce. Cela, d’une part, pour permettre aux individus d’en garder la maîtrise et, d’autre part, parce que ces derniers seraient en position de faiblesse par rapport à ceux qui exploitent leurs données. C’est pourquoi ils mettent aussi en avant la protection de la liberté de consentement et de la liberté d’accès à l’information [10].

De l’autre, se trouvent ceux qui privilégient le fait que l’exploitation commerciale des données personnelles est un moteur de croissance économique et de progrès scientifique. Quant à eux, ils insistent sur le respect de la liberté contractuelle et de la liberté d’entreprendre [11].

Etant donnée l’importance des conséquences juridiques et économiques de l'arbitrage à faire entre ces deux positions, il doit être rendu au niveau politique de l’Union européenne [12]. De fait, la solution devrait être donnée par le projet de règlement qui doit remplacer la directive ePrivacy. Cependant, ce dernier est en discussion depuis avril 2016 et le débat semble s’être enlisé [13].


Dès lors, en annulant l’interdiction des cookie walls, le CE a imposé la mission particulièrement complexe, délicate et précaire de palier cette incertitude à la CNIL. Mais c’est une tâche pour laquelle sa qualité d’autorité administrative indépendante (AAI) la prédispose. En quelque sorte…

A suivre.

________________________________________


[1] CNIL, délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n°2019-093 du 4 juillet 2019. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3nEQUI7>.

[2] CE, 19 juin 2020, Association des agences conseil en communication et autres, n°434684, para.10. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3fhoUYf>.

[3] Pour une analyse du « recadrage » de la CNIL par le CE, voir : METALLINOS Nathalie. La CNIL ne peut pas prononcer d'interdiction générale de la pratique des « cookie walls ». Communication Commerce électronique, septembre 2020, n° 9, comm. 66. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/35LHc0s>.

[4] CNIL, délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs). Article 2. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2UIcBuy>. 

[5] Union Européenne, règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/36UZ7Bv>.

[6] CEPD, déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques, 25 mai 2018. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2UGiZm0>.

[7] Union Européenne, directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3fhHHT2>.

[8] France, loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; dite « loi Informatique et Libertés » (telle que modifiée au 1er janvier 2020. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/2IRQob5>.

[9] LALLET Alexandre, rapporteur public, conclusions sous CE, 19 juin 2020, Association des agences conseil en communication et autres, n°434684, p. 6. Disponible en ligne : [consulté le 20/11/2020] <https://bit.ly/3lOKZQv>. 

[10] CEPD, ibidem [6].

[11] Commission européenne, Impact Assessment Accompanying the document Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications). SWD(2017) 3 final, 10 janvier 2017. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/3kHhWNi>.

[12] LALLET A., ibidem [9], p. 13.

[13] GAVANON Isabelle et LE MARECLE Valentin. Consentement en matière de cookies : le CEPD clarifie sa position dans des nouvelles lignes directrices. Dalloz actualité (site web), 15 mai 2020. Disponible en ligne : [consulté le 19/11/2020] <https://bit.ly/333C7in>.

Aucun commentaire: