Un petit rappel s’impose. Par délibération du 4 juillet 2019, la CNIL avait adopté des lignes directrices relatives à la conformité de l’écriture et de la lecture des cookies et autres traceurs installés dans le terminal d’un utilisateur au regard de l’article 82 de la Loi Informatique et Libertés, en insistant sur la nécessité, sauf exception, d’obtenir un consentement libre, spécifique, éclairé et univoque se manifestant par une déclaration ou par un acte positif clair avant l’écriture ou la lecture de traceurs et en rappelant la position du CEPD en ce sens. La CNIL rappelait notamment l’interdiction, par le CEPD, du « cookie wall »[1]. Les conclusions du CEPD, dont la position a été rappelée par la CNIL, au sujet du « cookie wall » étaient assez radicales « Pour que le consentement puisse être librement accordé conformément au RGPD, l’accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement de l’utilisateur au traitement de ses données à caractère personnel ou d’informations relatives à son équipement terminal ou traitées par celui-ci. En d’autres termes, les « cookies walls » devraient être explicitement interdits ».
Le 19 juin 2020, statuant sur un recours exercé par les principaux groupements agissant dans les secteurs du e-commerce et de la vente à distance, de l’édition de contenus et services en ligne, du marketing digital, de la régie internet et de l’achat d’espace, ainsi que l’union des marques, le Conseil d’Etat a annulé partiellement la délibération de la CNIL[2]. Le Conseil d’Etat censurait la décision de la CNIL en considérant qu’elle ne pouvait légalement interdire les « cookie walls »dans ses lignes directrices, à savoir dans un acte de « droit souple ».
La question de la possibilité de mettre en place un « cookie wall » a fait couler beaucoup d’encre. Mais c’est en réalité la nature et les limites du pouvoir normatif de la CNIL qui était en jeu.
Les interprétations multiples de la décision du Conseil d’Etat
La CNIL insiste sur le fait que « le Conseil d’État a validé pour l’essentiel les lignes directrices »[3]. Le GESTE [4] fait valoir, quant à lui, que « Le Conseil d’État reconnaît ainsi aux médias la liberté de choisir leur business model sans que cela soit au détriment de la protection des données à caractère personnel »[5]. L’Association Française des Correspondants à la protection des Données à caractère Personnel constate que selon le Conseil d’Etat « … la CNIL a outrepassé ses pouvoirs en proclamant une interdiction générale et absolue de la pratique des « cookies walls »…», tout en laissant ensuite la porte ouverte à la possibilité d’un « cookies-or-pay-wall » [6].
Rappelons que si la notion de cookie est étrangère au RGPD, qui se borne à définir celui-ci très rapidement et de manière très superficielle le cookie dans son considérant 30, la nouvelle définition du consentement[7] conduit notamment à une présomption d’absence de consentement en cas de couplage, qui peut toutefois être renversée[8].
Dans son interprétation de l’article 7, paragraphe 4 du RGPD, éclairé par le considérant 43, le CEPD semble hésiter entre la possibilité d’une validité – fût-elle exceptionnelle – du « cookie wall » et l’impossibilité absolue d’une telle validité.
Après avoir appelé à « bannir » la pratique du « cookie wall », l’AFCDP considère néanmoins qu’il existe des cas « où une offre payante peut être proposée en cas de refus des traceurs », semblant ouvrir la voie au modèle du « cookie-or-pay wall ». Il est exact que « le « troc 2.0 » est « expressément admis par la directive 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (considérant 24[9] et articles 2 et 3[10]) ».
Le « cookie wall » dans les nouvelles lignes directrices de la CNIL
Dans ses nouvelles lignes directrices du 17 septembre 2020[11], la CNIL tempère sa position antérieure, en retenant que la pratique dite de « cookie wall » « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement », en précisant ensuite qu’«en cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».
Le « cookie wall » dans la recommandation de la CNIL du 17 septembre 2020
Dans sa recommandation du 17 septembre 2020[12], la CNIL, ne souhaitant probablement valider telle ou telle technique de « cookie wall », avec ou sans paiement, à éludé cette question. Il a appartient donc aux opérateurs de déterminer les modalités de la mise en place du « cookie wall » en indiquant clairement les conséquences des choix opérés et… en prenant un risque juridique dès lors que la validité du dispositif sera appréciée « au cas par cas » par la CNIL…
Pascal ALIX, avocat au barreau de Paris, DPO externe, Lead auditor (certification EUROPRIVACY)
[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)
[2] https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion
[3] https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil
[4] Groupement d’éditeurs de contenus et de services
[5] https://www.geste.fr/les-professionnels-de-la-publicite-en-ligne-et-des-medias-saluent-la-decision-du-conseil-detat/
[6] AFCDP, Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall », GlobalSecurityMag, juillet 2020 : https://www.globalsecuritymag.fr/Les-DPD-DPO-de-l-AFCDP-mettent-en,20200702,100281.html
[7] Considérants 42 et 43, art. 4. 11), 7. 4) du RGPD
[8] Lignes directrices WP259 du G29 sur le consentement au sens du règlement 2016/679, adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018, p. 10
En tout état de cause, la charge de la preuve repose sur le responsable du traitement en vertu de l’article 7, paragraphe 4 »
[9] «… La présente directive devrait dès lors s’appliquer aux contrats par lesquels le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur fournit ou s’engage à fournir des données à caractère personnel… »
[10] « …La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel… »
[11] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
[12] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »