La CNIL a décidé que pendant une période transitoire d’un an, la poursuite de la navigation vaudra expression du consentement à l’installation des cookies. Intolérables pour la Quadrature du Net et Caliopen qui, dans un recours au Conseil d’État, lui opposent le RGPD.
Mi-juillet, la commission dévoilait ses nouvelles lignes directrices relatives aux traceurs en ligne. Elle posait des règles lourdes de conséquences pour l’écosystème des publicités sur-mesure : obligation d’information préalable, recueil du consentement libre, spécifique, éclairé et univoque...
Ainsi, la poursuite de la navigation ne vaudra plus expression du consentement, contrairement à la doctrine de la commission datant de 2013. Seulement, ce tour de vis a été accompagné d’une douce caresse. L’autorité a décidé de laisser une généreuse période transitoire d’un an aux professionnels du e-marketing, pour que ceux-ci « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».
Ce report, soutient-elle sur son site, « tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme ».
La Quadrature du Net et Caliopen ne partagent pas l'analyse. Elles ont décidé d’attaquer cette délibération devant le Conseil d’État, craignant des atteintes inadmissibles à la vie privée et à la protection des données personnelles « de l’ensemble de la population française ».
Le consentement avant et après le RGPD
Selon elles, le choix de la CNIL prive finalement « tant la loi française que des normes issues de l’ordre juridique de l’Union européenne de tout effet dissuasif contre l’utilisation illicite de cookies et autres traceurs en ligne pour surveiller les personnes sans leur consentement explicite ».
Pour un peu mieux comprendre ce psychodrame, un point d’histoire : la gestion des cookies est encadrée par la directive ePrivacy de 2002, modifiée en 2009. Pour le stockage et l’accès aux cookies, le consentement de l’utilisateur est inévitable. Mais cette notion de consentement est définie par renvoi à la législation européenne relative aux données personnelles.
C’est là le nœud du litige, car la notion a évolué depuis le 25 mai 2018. Dans le fameux règlement général sur la protection des données personnelles, le consentement doit se manifester par un acte positif clair, quand la législation antérieure se satisfaisait d’un consentement implicite.
« La CNIL vient ainsi ajouter une période transitoire au cours de laquelle elle vient fortement limiter son propre pouvoir de sanction et amputer sensiblement les règles applicables provenant de l’ordre juridique de l’Union européenne » dénoncent les requérantes.
Une procédure d'urgence, avant un examen au fond
Elles réclament donc l’annulation pure et simple de cette délibération, mais d’abord sa suspension en référé puisque la décision au fond ne sera rendue que trop tardivement. C’est cette procédure d’urgence qui sera examinée le 14 août à 11 heures au Conseil d’État.
Pour elles, la CNIL « a excédé ses pouvoirs », alors que ses missions sont de faire respecter le droit notamment européen relatif à la protection des données personnelles. « La loi ne lui confère aucun pouvoir pour reporter dans le temps l’entrée en application de dispositions légales (en l’espèce, celles du RGPD) » insistent-elles. « En matière de recommandations et de lignes directrices, sa compétence se limite à "faciliter" le respect de ces dispositions, ce qui ne saurait en aucun cas impliquer d’en reporter les effets contraignants – bien au contraire ».
De la prévisibilité du RGPD, texte publié en mai 2016
À la CNIL qui s’appuie sur la nécessaire prévisibilité des textes, les deux associations se souviennent que le 10 avril 2018, le groupe de l’Article 29, soit l’ensemble des autorités de contrôle européennes, avait déjà considéré que le défilement d’une page ou la poursuite de la navigation n’est plus un acte positif clair d’expression du consentement.
En somme, n’importe quel opérateur pouvait donc anticiper ce changement de cap, au besoin avec l’aide d’un juriste. On pourrait même remonter cette information à la date de publication du RGPD au Journal officiel le 4 mai 2016 ! Et d’ailleurs, si le législateur européen a repoussé son application au 25 mai 2018, c’était déjà dans l’objectif de laisser aux responsables de traitement, le temps nécessaire à la mise à niveau.
LQDN et Caliopen ne décolèrent pas : la décision de la CNIL « contredit tous les efforts de mise en conformité au RGPD réalisés par de nombreux sites internet depuis 2016 ».
Quand les plus vertueux se retrouvent les plus désavantagés
Mieux, « elle nuit aux acteurs les plus volontaires pour respecter le droit des données personnelles, les plaçant dans une situation désavantageuse face aux autres acteurs qui, eux, ont été récalcitrants pour respecter la loi et n’ont pas déployé les efforts et ressources pour se mettre en conformité à temps pour le 25 mai 2018 ».
Et pour cause, alors que Next INpact et d’autres rares services de presse en ligne ne diffusent pas de cookie publicitaire, l’immense majorité des confrères moins regardants se retrouvent dans une position concurrentielle avantageuse, finalement protégée par la commission.
Mieux, aux yeux des demandeurs, c’est la décision même de la CNIL qui est porteuse d’imprévisibilité :
« le principe de prévisibilité du droit (…) non seulement n’impose nullement à la CNIL de prévoir une période transitoire pour permettre aux opérateurs de s’adapter à l’abrogation de sa recommandation du 5 décembre 2013 dans la mesure où il était parfaitement prévisible depuis plusieurs années que la CNIL ne prendrait plus en compte cette recommandation avec l’entrée en application du RGPD, mais encore prohibe une telle période transitoire venant s’ajouter illégalement à la période déjà prévue par les normes européennes en la matière ».
Outre la suspension de l’exécution de la décision prise par la CNIL, elles réclament une mesure d’affichage sur Cnil.fr où sera finalement dit que « la poursuite de la navigation » ne constitue pas un mode d’expression valable du consentement en matière de cookies et de traceurs en ligne ».
Relevons enfin que selon le RGPD, le consentement doit pouvoir être retiré aussi facilement qu’il a été donné. Or, comment un internaute qui a donc surfé pour consentir pourrait-il retirer son accord ? En faisant marche arrière depuis son navigateur ? D’ailleurs, souvenons-nous que pas plus tard que le 6 juin 2018, le Conseil d’État a lui-même considéré que « le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de " cookies " ».
L’ordonnance est attendue autour du 20 août.
