Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Surveillance publicitaire : La Quadrature du Net attaque la CNIL en référé

août 2019 par La Quadrature du Net

Ce lundi 29 juillet, comme annoncé, nous avons déposé devant le Conseil d’État, avec l’association Caliopen, un recours contre la décision de la CNIL d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020.
Sur le fond, nous avions déjà présenté les principaux points de contexte de ce recours dans notre article du 28 juin 2019.

Pour rappel, le 28 juin 2019, la CNIL publie un article sur son site où elle annonce l’adoption de futures lignes directrices en matière de cookies et de traceurs en ligne. Elle précise que « la CNIL laissera aux acteurs une période transitoire de 12 mois » durant laquelle « la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ». Le 4 juillet, la CNIL adopte les lignes directrices annoncées. Le 18 juillet, elle publie un second article dans laquelle elle déclare que les lignes directrices seront suivies d’une nouvelle recommandation au premier trimestre 2020 (venant préciser ces lignes directrices) et qu’ « une période d’adaptation, s’achevant six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles ».

C’est cette décision que nous attaquons. Non pas les nouvelles lignes directrices ou les futures recommandations, mais celle, qui nous a été confirmé directement par la CNIL, d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020.

Pourquoi nous attaquons cette décision ?

Parce que, comme nous l’expliquions déjà, elle est totalement illégale. Vous pouvez lire l’avant-propos de notre recours qui reprend tous nos arguments.
Reprenons rapidement : la directive 2002/58 (dite « directive ePrivacy ») prévoit que les « Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord », c’est à dire : l’utilisation de cookies n’est possible qu’avec le consentement de chaque personne concernée. Cette directive ePrivacy prévoit que ce consentement doit respecter les mêmes garanties que celles définies dans l’ancienne directive 95/46 (cette directive 95/46 a depuis été remplacée par Règlement général sur la protection de données, dit « RGPD »). Or, la directive de 95 acceptait qu’un consentement puisse être implicite. Et cela avait ainsi permis à la CNIL, dans une recommandation de 2013, de dire que, sur un site Internet, « la poursuite de sa navigation vaut accord au dépôt de cookies ».

Mais, depuis l’entrée en vigueur du RGPD, cela a totalement changé. Maintenant, le consentement doit être explicite et cette modification est d’effet immédiat sur la directive ePrivacy : la recommandation de 2013 de la CNIL est alors devenue caduque. D’ailleurs, en avril 2018, un mois avant l’entrée en vigueur du RGPD, le « groupe de l’article 29 » (G29, devenu depuis « Comité européen de protection des données », ou EDPB) a ainsi publié des lignes directrices sur le consentement dans lequel il précise que « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ».

Cela veut donc dire que dès l’entrée en vigueur du RGPD, c’est-à-dire mai 2018, il avait déjà clairement été énoncé que la « poursuite de la navigation » ne valait pas comme mode d’expression du consentement. La justification avancée par la CNIL d’ « exigence juridique de prévisibilité » ne tient donc aucunement : les acteurs de l’Internet ont eu plus de deux ans pour se conformer à ces nouvelles obligations. La lettre du RGPD est parfaitement claire, déjà expliquée en long, en large et en travers : la protection de nos libertés fondamentales ne peut connaître aucun nouveau sursis.

Le choix du référé-suspension

Nous avons cette fois choisi d’agir en urgence en utilisant la procédure du référé-suspension. Il s’agit, quand on demande l’annulation d’une décision administrative, de demander en plus au juge de suspendre cette décision le plus rapidement possible, avant qu’il fasse droit, ou non, à la demande d’annulation. En effet, il se passe plusieurs mois et parfois plusieurs années avant que le juge ait pu statuer sur la demande d’annulation. Le référé permet ainsi de suspendre temporairement une décision. Deux conditions pour cela : prouver l’urgence et le doute sérieux sur la légalité de la décision.
Sur l’urgence : en disant que personne ne sera sanctionné sur ce fondement jusqu’à l’année prochaine, nous avons souligné que la décision de la CNIL produisait déjà des effets préjudiciables car elle encourageait dès maintenant l’utilisation illicite de cookies et traceurs sans notre consentement explicite. Il est donc important de la suspendre au plus vite.

Quant au doute sérieux sur la légalité : nous avons expliqué, en lien avec les arguments précisés ci-dessus, que la CNIL n’avait aucun pouvoir pour prendre une telle décision qui revient, encore une fois, à encourager la surveillance des personnes en ligne sans leur consentement explicite. Une telle décision constitue une atteinte grave à notre droit à la vie privée et à la protection des données personnelles et ne peut en aucun être justifiée par le principe de prévisibilité. Elle rentre en totale contradiction avec le RGPD que la CNIL est justement censée faire respecter.

Il reste maintenant à attendre la décision du Conseil d’État. L’audience de référé se tiendra le 14 août. Il devra ensuite se prononcer rapidement (normalement dans quelques semaines) sur notre référé-suspension puis se prononcer sur notre recours au fond. Considérer la poursuite de la navigation comme une expression valable du consentement constitue un dévoiement de nos libertés extrêmement décevant de la part de la CNIL. Cette décision doit donc être urgemment suspendue, puis annulée au plus vite.


Voir les articles précédents

    

Voir les articles suivants