1. Les autorités européennes, depuis de nombreuses années, et le législateur français, plus récemment, se sont efforcés d’encadrer la pratique, désormais bien connue, des cookies.
On sait qu’il s’agit de fichiers témoins enregistrés sur un ordinateur, ou un autre terminal (smartphone, tablette, objets connectés), qui contiennent des informations recueillies notamment à l’occasion de la consultation par l’utilisateur d’un site internet. Ces informations sont, par la suite, accessibles de l’éditeur du site lors de connexions ultérieures de l’utilisateur au moyen du même terminal. Elles permettent de mesurer l’audience d’un site mais également d’identifier les utilisateurs, ainsi que de mémoriser leurs habitudes et préférences, de sorte que les cookies constituent un procédé fort efficace de ciblage publicitaire.
La rigueur renforcée du droit européen
Un cadre juridique particulier pour la pratique des cookies
2. Il y a dix ans, une directive européenne (Dir. 2009/136/CE du 25-11-2009) a modifié la directive « Vie privée et communications électroniques » de 2002 (Dir. 2002/58/CE du 12-7-2002) en introduisant une disposition relative aux informations stockées dans le terminal d’un utilisateur : les Etats membres doivent « garantir » que le stockage des informations ou l’accès à des informations déjà stockées nécessite l’« accord » préalable de l’utilisateur (Dir. 2002/58/CE modifiée art. 5, 3).
Cette disposition renvoyait à l’ancienne directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles en ce qui concerne les conditions de validité de l’« accord ».
Le règlement européen général sur la protection des données (Règl. 2016/679 du 27-4-2016, dit RGPD) ne fait aucune allusion à la pratique des cookies. L’Union européenne a envisagé l’élaboration d’un nouveau règlement, dit « ePrivacy », qui serait destiné à remplacer la directive de 2002 et traiterait, entre autres, des cookies (Proposition de règlement du 10-1-2017). Mais de nombreux blocages au sein des institutions européennes retardent l’adoption définitive de ce texte.
Un important arrêt de la CJUE
3. Tel est le cadre juridique dans lequel s’inscrit une affaire dont la CJUE a été saisie en 2017 par la Cour fédérale de justice allemande.
L’éditeur d’un site internet avait organisé un jeu en ligne « promotionnel » en proposant aux participants d’inscrire leurs nom et adresse sur une page web. Celle-ci comportait deux mentions accompagnées de cases à cocher, la seconde case l’étant par défaut. La première mention servait à obtenir de l’internaute qu’il accepte de recevoir des offres promotionnelles. La participation au jeu n’était ouverte que si la case correspondante était cochée. La seconde mention informait l’utilisateur de ce que des cookies seraient installés sur son ordinateur, mais qu’il avait la possibilité de les supprimer.
La fédération allemande des organisations de consommateurs contesta la pertinence de ce système auprès des juridictions compétentes. Ayant estimé que l’issue du litige dépendait de l’interprétation des règles du droit européen, la Cour fédérale adressa plusieurs questions préjudicielles à la CJUE. Celle-ci rendit, le 1er octobre 2019, dans sa formation de grande chambre, un arrêt particulièrement intéressant.
4. Pour se prononcer, la Cour de Luxembourg s’est référée à la directive « Vie privée et communications électroniques », ainsi qu’à la directive 95/46/CE, qui était en vigueur à l’époque du litige. Elle a également tenu compte des dispositions du RGPD, bien que celles-ci ne soient entrées en application qu’à compter du 25 mai 2018.
Le cochage d’une case vaut consentement de l’internaute, mais pas le cochage par défaut
5. La principale question soumise à la CJUE portait sur la validité du mécanisme de la case à cocher par défaut.
La Cour a d’abord relevé que l’article 5, 3 de la directive de 2002 ne fournissait pas d’indication sur la manière dont l’utilisateur devait exprimer son « accord » au stockage d’informations dans son terminal ou à l’accès d’informations déjà stockées. La réponse à la question lui a paru devoir être plutôt tirée des textes de 1995 et 2016 relatifs à la protection des données personnelles et, plus spécialement, des dispositions relatives au « consentement » de la personne concernée au traitement de telles données. En effet, il n’y a guère de différence entre la notion d’« accord » et celle de « consentement ».
Or, la directive 95/46/UE et surtout le RGPD manifestent, dans ce domaine, une conception exigeante. Selon le règlement, le consentement de la personne concernée se définit comme une manifestation de volonté « libre, spécifique, éclairée et univoque », l’acceptation de l’intéressé devant faire l’objet d’une « déclaration » ou d’un « acte positif clair » (RGPD art. 4, 11). La CJUE en a déduit que ces dispositions n’étaient pas respectées lorsque le dépôt de cookies ou l’accès à des informations déjà inscrites est autorisé au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser son consentement.
La Cour justifie également cette position par une considération pratique : l’impossibilité de vérifier que le consentement a été effectivement donné, l’utilisateur pouvant très bien ne pas avoir lu la mention accompagnant la case cochée par défaut ou même n’avoir pas aperçu cette case.
Des indications complémentaires sur la pratique des cookies
6. Aux autres questions préjudicielles qui lui avaient été adressées, la CJUE a fourni des réponses attendues.
La Cour a indiqué que les informations relevant des dispositions sur les cookies ne constituent pas nécessairement des données personnelles, au sens de la directive 95/46/UE ou du RGPD. La raison en est que la directive 2002/58/CE qui régit les communications électroniques n’a pas le même champ d’application que les textes de 1995 et 2016, lesquels ne traitent d’ailleurs pas de la pratique des cookies.
En outre, alors que, selon l’article 5, 3 de la directive de 2002, l’utilisateur doit, avant de fournir son « accord », recevoir une « information claire et complète », la CJUE a précisé que cette information devait inclure la « durée de fonctionnement » des cookies, ainsi que la faculté offerte ou non aux tiers d’avoir accès aux cookies.
Les accommodements temporaires du droit français
Le droit européen transposé par la législation nationale
7. Les dispositions de la directive « Vie privée et communications électroniques » ont été reprises et aménagées par la loi Informatique et libertés du 6 janvier 1978, tout d’abord dans une disposition modifiée en 2011, puis dans la version actuelle de la loi, issue de l’ordonnance 2018-1125 du 23 novembre 2018 et entrée en vigueur le 1er juin 2019 (BRDA 3/19 inf. 23).
Son article 82 relatif aux « traitements dans le secteur des communications électroniques » spécifie, en particulier, que le dépôt d’informations dans le terminal d’un utilisateur ou l’accès à des informations déjà stockées ne doit intervenir que si l’intéressé a exprimé son consentement, lequel peut « résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
La vigilance des autorités de contrôle
8. La Cnil a eu l’occasion de sanctionner des éditeurs de sites pour avoir méconnu leurs obligations au titre du consentement des personnes concernées par le traitement de leurs données (Délib. Cnil 18-5-2017 n° SAN-2017-007 ; Délib. Cnil 21-1-2019 n° SAN-2019-001 : BRDA 5/19 inf. 22). La première affaire mettait plus spécialement en cause le recueil du consentement d’internautes avant le dépôt de cookies sur leur terminal. Le bien-fondé de la sanction prononcée par la Cnil a été confirmé par le Conseil d’Etat (CE 6-6-2018 n° 412589 : BRDA 14/18 inf. 22).
9. Le 4 juillet 2019, la Cnil a pris une délibération définissant des lignes directrices relatives à l’application de l’article 82 de la loi de 1978 (Délib. Cnil n° 2019-093 : BRDA 17/19 inf. 17). Celles-ci se substituent à une précédente recommandation du 5 décembre 2013 relative aux cookies et autres traceurs (Délib. Cnil n° 2013-378). Bien que la version actuelle de la loi recopie purement et simplement les dispositions antérieures qui avaient été commentées par la recommandation de 2013, les lignes directrices de 2019 fournissent des précisions nouvelles.
Dès lors que les cookies peuvent présenter le caractère de données personnelles, la Cnil a combiné l’article 82 de la loi de 1978 avec le RGPD et, notamment, comme l’a fait la CJUE dans son arrêt du 1er octobre 2019 (n° 5), avec l’article 4,11 du règlement, relatif au recueil du consentement des personnes concernées.
Les lignes directrices soulignent ainsi que le caractère « univoque » du consentement implique une action positive de la part de l’utilisateur d’un site internet. Elles anticipent la position de la Cour de Luxembourg en relevant que la pratique de la case pré-cochée ne satisfait pas aux exigences du RGPD. Elles précisent également que le fait de continuer à naviguer sur un site web ne saurait être assimilé à une action positive. Or, si la recommandation de 2013 n’évoquait pas les systèmes de cochage, elle admettait que la page d’accueil d’un site puisse informer l’internaute de ce que la poursuite de la navigation valait accord au dépôt de cookies sur son terminal. Ce n’est que dans la mesure où l’intéressé, après s’être rendu sur le site, s’abstenait ensuite de toute action qu’il devait être considéré comme refusant son consentement. Les lignes directrices de 2019 reviennent donc sur cette indication.
Le plan d’action de la Cnil
10. Quelques jours avant d’avoir arrêté ces lignes directrices, le 28 juin 2019, la Cnil a publié sur son site internet un communiqué par lequel elle annonçait avoir élaboré un plan d’action pour l’année 2019-2020. Il s’agissait de préciser les règles applicables en matière de ciblage publicitaire et d’accompagner les acteurs dans la mise en œuvre de ces règles. Un second communiqué du 18 juillet 2019 a signalé que les lignes directrices du 4 juillet constituaient le « socle » du plan d’action. Il a également fait état d’une concertation permettant d’adopter, au premier trimestre 2020, une nouvelle recommandation qui aurait pour objet de définir les modalités pratiques du consentement à l’installation de cookies et autres traceurs de connexion.
Le communiqué du 28 juin 2019 laisse aux opérateurs une période transitoire de douze mois pour se conformer aux nouvelles exigences de la Cnil. Il ajoute que, durant cette période, la poursuite de la navigation sur un site internet sera encore considérée par la Commission comme exprimant un consentement valable. Le communiqué du 18 juillet aménage la période d’adaptation en fixant son achèvement six mois après la nouvelle recommandation. Ainsi, jusqu’en octobre 2020 au plus tard, poursuivre la navigation vaut accord du dépôt de cookies.
A noter : Jusqu’en octobre 2020, poursuivre la navigation vaut accord du dépôt de cookies
L’un et l’autre communiqués indiquent cependant aux intéressés que la Cnil continuera à contrôler le respect des règles garantissant le caractère préalable du consentement, la possibilité d’accès au service même en cas de refus, ainsi que la disponibilité d’un dispositif de retrait du consentement.
Des actes de droit « souple » confirmés par un arrêt dont la solution n’est pas moins « souple »
11. Deux associations ont déféré au Conseil d’Etat les communiqués des 28 juin et 18 juillet 2019. Leur recours était exclusivement dirigé contre la « décision » par laquelle la Cnil a déclaré accepter que la poursuite de la navigation sur un site puisse valoir consentement de l’utilisateur au dépôt de cookies.
12. Dans ces conditions, l’affaire soulevait une question préalable : celle de savoir si le recours, qui ne tendait pas à l’annulation d’une délibération de la Cnil, mais à celle de simples communiqués, était néanmoins recevable.
Par un arrêt du 16 octobre 2019, le Conseil d’Etat a jugé qu’il était en présence d’une « prise de position » publique de la Cnil portant sur le « maniement » de ses pouvoirs destinés à réprimer la méconnaissance des règles encadrant la pratique des cookies. Il a mis en œuvre sa jurisprudence relative aux actes de « droit souple » que prennent fréquemment les autorités de régulation : avis, recommandations, mises en garde, prises de position, lignes directrices. Ces actes sont justiciables d’un recours pour excès de pouvoir lorsqu’ils ont des incidences économiques notables ou qu’ils sont destinés à « influer de manière significative sur le comportement des personnes auxquelles ils s’adressent » (CE 21-3-2016 n° 368082 et CE 21-3-2016 n° 390023 : RJDA 6/16 n° 449 et 484 chron. R. Vandermeeren p. 419). La même solution a été retenue au cas présent.
13. Il restait à apprécier la légalité de la prise de position de la Cnil. L’arrêt du 16 octobre 2019 reconnaît à la Commission un large pouvoir d’appréciation en matière de sanction et la faculté de rendre publiques les orientations qu’elle arrête dans ce domaine. Le Conseil d’Etat souligne que la période transitoire et la tolérance dont bénéficient les opérateurs leur permet de s’adapter aux nouvelles modalités de recueil du consentement en attendant « la réalisation de l’objectif d’une complète conformité de l’ensemble des acteurs à l’horizon de l’été 2020 ». Le recours des associations est donc rejeté.
Par Roland VANDERMEEREN, ancien élève de l’École nationale d’administration. Il a effectué la première partie de sa carrière au tribunal administratif de Paris, dont il a été président. Nommé ensuite conseiller d’État, il a présidé pendant plusieurs années la cour administrative d’appel de Nantes. Il a été avocat au barreau de Paris de 2009 à fin 2015. Il a également été professeur associé à l’Université de Paris I.
