"Cookie walls" : le Conseil d'État bloque l'interdiction prononcée par la CNIL

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 23 juin 2020 à 17h27

La juridiction administrative suprême estime que le gendarme des données ne peut pas légalement interdire les « cookie walls ».

Dans le dossier des « cookie walls », la Commission nationale de l'informatique et des libertés (CNIL) avait pris la décision, le 4 juillet 2019, d'interdire la pratique consistant à bloquer l'accès à un site web en cas de refus du dépôt de cookies de la part des utilisateurs. Attaquée par plusieurs organisations professionnelles, la délibération a été contredite par le Conseil d'État, le 19 juin 2020.

La CNIL coupable d'un « excès de pouvoir » avec l'interdiction des « cookie walls »

Le 4 juillet dernier, la CNIL publiait une délibération par laquelle elle établissait des lignes de directrices concernant les cookies et autres traceurs, pour conformer les règles et pratiques à adopter après l'entrée en vigueur du RGPD, en 2018, et ainsi matérialiser la protection juridique dont les internautes pouvaient bénéficier en matière de cookies.

Sauf que cette décision du 4 juillet avaient entraîné un recours en annulation auprès du Conseil d'État de la Fédération du e-commerce et de la vente à distance (FEVAD) et d’autres organisations professionnelles.

Le Conseil d'État a adressé sa réponse à la CNIL et aux parties requérantes dans une décision rendue le 19 juin 2020. La plus haute juridiction administration française a longuement commenté l'interdiction des « cookie walls », point central du recours. Pour elle, la CNIL, en estimant que l'accès à un site internet ne pouvait pas être subordonné à l'acceptation de cookies, s'est livrée à ce que l'on appelle un « excès de pouvoir » dans le jargon juridico-administratif.

En d'autres termes, en énonçant l'interdiction de la pratique des « cookie walls », la Commission est allée au-delà de ce qui lui est légalement possible de faire, dans le cadre des lignes directrices qu'elle a adoptées, qui restent un instrument dit de « droit souple ». Un acte de droit souple ne pouvant pas créer de droit ni d'obligation juridique, la délibération de la CNIL ne pouvait pas constituer une interdiction générale et absolue.

Le Conseil d'État valide la possibilité de pouvoir retirer son consentement aussi vite qu'on a pu le donner

Pour motiver ses lignes directrices, la CNIL avait fait le choix de suivre la doctrine du Comité européen de protection des données personnelles (CEPD), connu pour réunir toutes les CNIL européennes. Celui-ci avait récemment affirmé que pour que le consentement soit donné librement, « l'accès aux services et fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage d'informations, ou à l'accès à des informations déjà stockées, dans l'équipement terminal d'un utilisateur ».

La Commission nationale de l'informatique et des libertés a annoncé, dans un communiqué de presse, prendre acte de la décision, à laquelle elle se « conformera strictement ».

Au-delà de cette mesure symbolique qui n'a pas convaincu le Conseil d'État, le juge administratif a validé la plupart des recommandations contenues dans les lignes directrices de la CNIL, comme la possibilité pour l'utilisateur de pouvoir retirer son consentement aussi facilement qu'il a pu le donner, où le fait que l'utilisateur puisse livrer son consentement de façon indépendante, pour chacune des finalités.

Source : Décision du Conseil d'État

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Données personnelles

Régulation numérique

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

PsykotropyK

Les cookies walls… Vous connaissez sur Clubic. D’ailleur le votre est particulièrement chiant (pas d’autre mot).
Comme je fais parti des gens qui refusent d’accorder le consentement, votre site me demande chaque jour de reconfirmer mon choix. C’est à dire qu’à chaque connexion vous me proposer de valider tous les cookies ou de paramétrer. Je dois chaque jours recliquer sur les paramètres et redire que je les refuse tous… Bref, vous êtes chiant.

loracle

Pas que sur Clubic, d’ailleurs je trouve que c’est plus discret içi, c’est tout les sites sans exemption qui nous gonflent avec leur validation, c’est vraiment chiant, et ça commence à devenir un point noir lors de la navigation, genre l’administration et la justice qui s’incrustent dans une activité récréative.
NB: meme l’image de l’article a buggé pour dire.

PsykotropyK

Personnellement il n’y a que Clubic où tous les jours je dois revalider. Tous les autres sites prennent en compte le fait que j’ai refusé déjà une première fois les cookies.

manu_XP

la CNIL nous les brisent déjà à la tv et voilà qu’ils viennent s’occuper d’internet. Ras le bol.

Batc

D’après le délibéré, il en ressort que le Conseil d’État annule des décisions prises par la CNIL ( Autorité compétente en la matière) et outrepasse les droits et directives de Commission Européenne en matière de collecte de données (CEPD). Le cookies-wall dont on parle ici, n’est tout simplement pas conforme à la RGPD.

Extrait du délibéré :

« D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ». »

Le problème de ce genre de décision c’est qu’elle est prise par des conseillers d’État dont l’âge est au minimum de 45 ans. Je ne suis pas sûr du bon niveau de compréhension et d’analyse de cesdits conseillers, sans vouloir les offenser… Mais le plus inquiétant, c’est que l’on s’assoie sur les libertés fondamentales des internautes (l’accès aux sites, à l’information) au profil des cotisants à l’Association des agences de conseil en communication.

Et je rejoins @PsykotropyK sur l’utilisation abusive de ces cookies sur Clubic, comme sur la quasi voir la totalité des sites spécialisés tech. Je comprends que ça peut être énervant pour certains…

loracle

Pour moi c’est le contraire qui se passe, d’ailleurs, si on efface le cache du navigateur souvent, on est obligé de refaire la manœuvre.

PsykotropyK

La CNIL et la TV? T’es sûr que tu ne confond pas avec le CSA?

Nmut

D’un autre coté, comment Clubic saurait que tu as refusé les cookies sans cookie pour stocker ta décision?
Ne serait-ce pas une preuve qu’ils respectent ta décision…
Bon, après, pour Clubic j’accepte les cookies et je ne navigue pas en privé mais il me redemande régulièrement! :-/

BenDo_Jr

C’est donc que le site est en conformité avec le RGPD vu que l’information d’acceptation des cookies est stockée elle-même dans un cookie… Et pour raison de sécurité les sessions ne sont pas éternelles.
Ajoutez à ça l’usage de plus en plus large des modes confidentiels des navigateurs.

BenDo_Jr

La réglementation impose de redemander régulièrement son consentement explicite à l’utilisateur