Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall »

juillet 2020 par AFCDP

Une décision du Conseil d’État du 19 juin 2020 a suscité des réactions enthousiastes dans la presse : en désavouant la CNIL, la haute juridiction autoriserait la mise en œuvre des « cookies walls ». Qu’en est-il réellement ? Comment les Délégués à la protection des données (DPD/DPO) doivent-ils réagir à cette décision ?

Les « cookies walls » : c’est quoi ?

La pratique du « cookies wall » consiste, pour un site web ou un service internet, à interdire l’accès aux internautes qui n’accepteraient pas que des « cookies », ou d’autres traceurs, soient installés sur leur équipement (ordinateur, téléphone).

Depuis l’entrée en application du Règlement Européen sur la Protection des Données (RGPD), l’internaute est habitué aux bannières d’information sur les traceurs mis en œuvre, et sur les demandes de consentement. Toutefois, certaines pratiques sont problématiques.

D’une part, les situations où en cas de refus, le site ou l’application indique à l’internaute qu’il ne peut accéder au service. Mais également, les situations où l’internaute est informé que le seul fait d’accéder au service signifie qu’il accepte les traceurs. Dans les deux cas, le consentement de l’internaute n’est pas vraiment un consentement. Au sens du RGPD, il n’est pas donné « librement » puisqu’il est conditionné par l’accès au service, ou obtenu de manière implicite.

Les recommandations de la CNIL

Lors d’une délibération du 4 juillet 2019, la CNIL a adopté des « lignes directrices » concernant la conformité des « cookies » (en réalité de tout type de traceurs installés dans le terminal d’un utilisateur) au regard de l’article 82 de la Loi Informatique et Libertés. Cet article porte sur l’information préalable de l’utilisateur avant installation d’un traceur et précise que celle-ci ne peut « avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

Dans ces lignes directrices, la CNIL a souhaité préciser ce qu’elle considère comme un consentement valable avant l’implantation d’un traceur. L’article 2 explique ainsi :

« Sur les modalités de recueil du consentement.

En application de la loi « Informatique et Libertés », du RGPD et des lignes directrices du CEPD sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.

S’agissant du caractère libre du consentement

La Commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement.

À ce titre, la Commission rappelle que le CEPD, dans sa « déclaration sur la révision de la directive « ePrivacy » et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques », a considéré que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté). »

Certains acteurs du monde marketing ont considéré que la délibération de la CNIL était entachée de nombreuses irrégularités et ont soumis les lignes directrices à l’évaluation du Conseil d’État.

La « sanction » du Conseil d’État

Dans sa décision du 19 juin 2020, le Conseil d’État confirme d’abord la régularité de la délibération de la CNIL. Il donne également raison à la Commission, qui fait référence aux lignes directrices du Comité européen de la protection des données (CEPD, ou EDPB en anglais, le comité qui regroupe les 27 « CNIL » européennes) pour l’évaluation du consentement appliqué aux traceurs.

Par contre, le Conseil d’État considère que la CNIL a outrepassé ses pouvoirs en proclamant une interdiction générale et absolue de la pratique des « cookies walls » sur la base de l’exigence d’un consentement libre de l’utilisateur. Le cadre du droit souple auquel s’apparentent les lignes directrices de la CNIL ne lui permet pas d’édicter de telles exigences qui ne peuvent relever que d’un texte légal.

Seule est donc annulée, l’affirmation que « le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. ».

La situation juridique

Les dispositions du RGPD et de la Loi Informatique et Libertés sur le consentement n’en restent pas moins applicables, et le Conseil d’État confirme que la CNIL peut s’appuyer, pour ses analyses futures, sur les lignes directrices du CEPD/EDPB. En particulier, sur les lignes directrices adoptées le 4 mai 2020 sur le consentement dans le cadre du RGPD (encore non traduites).

Pour ces lignes directrices, le CEPD/EDPB a mis à jour au regard du RGPD, une ancienne recommandation du G29 (l’ancêtre du CEPD/EDPB) datant de 2018. Il y précise en particulier :

« Pour que le consentement soit considéré comme donné librement, l’accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement de l’utilisateur au stockage d’informations, ou à l’obtention de l’accès à des informations déjà stockées, dans son équipement terminal (ce qu’on appelle les "cookies wall") ».

Cette analyse, qui paraît assez conforme à l’esprit du consentement défini par le RGPD, peut donc être effectuée au cas par cas, par exemple lors d’un contrôle de la CNIL, ou dans le cadre d’une plainte.

Par contre, il reste possible pour un fournisseur de service, de proposer des alternatives à la mise en œuvre de traceurs. Par exemple, l’accès à un service pourrait faire l’objet d’une demande de consentement à l’implantation de cookies, et en cas de refus, proposer une solution de paiement ponctuel ou d’abonnement.

Par ailleurs, la CNIL, qui a pris acte de la décision du Conseil d’État, devrait ajuster en conséquence les nouvelles lignes directrices qu’elle prépare pour mettre à jour sa doctrine sur les « cookies ».

Ne pas prendre de risque

Dans ce contexte, l’AFCDP recommande aux DPD/DPO de ne pas se méprendre sur la décision du Conseil d’État.

Dans son rôle de conseiller auprès de son responsable de traitement, le Délégué à la protection des données doit bien rappeler que cette décision n’équivaut pas à une autorisation des « cookies walls ».

Si les « cookies walls » ne sont pas interdits « d’office », leur pratique est à bannir, car elle ne respecte pas les exigences du consentement « libre » exigé par le RGPD.

Le DPD/DPO doit donc s’assurer que les services proposés ne sont pas l’objet de « cookies walls ». Mis à part les cas où une offre payante peut être proposée en cas de refus des traceurs. Et dans ce cas, le DPD/DPO doit s’assurer qu’aucun traceur n’est utilisé.

Ce type de situation confirme l’importance du rôle du Délégué à la protection des données, chargé de conseiller le responsable de traitement sur des dossiers mêlant à la fois la compréhension des enjeux technologiques et celle des textes juridiques.




Voir les articles précédents

    

Voir les articles suivants