L’avenir des cookies publicitaires en suspens au Conseil d’État

Hier, le rapporteur public a rendu son opinion sur le bras de fer opposant la Quadrature du Net et Caliopen à la CNIL. En cause ? Ses lignes directrices qui, d’un côté, reconnaissent que la poursuite de la navigation ne permet plus de deviner un consentement à l’installation des cookies, et de l’autre, laissent un répit d’un an aux professionnels en ligne. 

Dans la bien nommée salle des « Finances » du Conseil d’État, un dossier d’importance était ausculté ce lundi 30 septembre, à Paris. Celui des traceurs publicitaires, mitraillés par des millions de sites en France sur les appareils connectés des internautes. « Comme les cookies sont mis à toutes les sauces, l’enjeu est aussi socio-économique » a exposé hier Alexandre Lallet, rapporteur public, dans ses conclusions. « La pérennité même du secteur de la publicité en ligne et du marketing digital continue à reposer très largement sur cette pratique ».

Un psychodrame s’est installé dans le sillage du règlement général sur la protection des données personnelles. Explication : l’installation des cookies est régulée par la directive ePrivacy de 2002, modifiée en 2009. Stockage et accès aux cookies impliquent d’abord de recueillir le consentement de l’internaute. Mais le texte renvoie la définition de ce concept à la législation européenne relative aux données personnelles.

D’un consentement implicite à un consentement explicite

Avant le RGPD, ces textes se satisfaisaient d’un consentement implicite. En 2013, la CNIL expliquait donc « que la poursuite de sa navigation vaut accord au dépôt de cookies sur [le] terminal ».

Cependant, depuis l’entrée en application du RGPD, ce consentement a pris du galon. Il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4).

Autant dire qu’avec ces nouveaux standards, une poursuite de navigation sur un site est tout sauf un « acte positif clair ». Elle ne permet pas de justifier l’installation de ces bouts de code.

Le 10 avril 2018, le groupe de l’Article 29, soit l’ensemble des autorités de contrôle européennes réunies depuis au sein du Comité, avait en ce sens exposé très logiquement que dorénavant, le défilement d’une page comme la poursuite de la navigation ne valaient plus expression du consentement.

« Dans la pureté des principes, l’ensemble des sites Internet aurait donc dû cesser le 25 mai 2018 de présumer que l’internaute qui parcourt les pages (…) consent au dépôt des cookies » déduit le rapporteur public.

Le 4 juillet, soit plus d’un mois plus tard, la CNIL a toutefois décidé d’anesthésier cette disposition, ou plus exactement le risque de sanction.  

« En même temps », version CNIL

Elle a abrogé sa recommandation de 2013 tout en laissant aux professionnels du e-marketing une période transitoire d’un an pour que ceux-ci « aient le temps de se conformer » aux nouveaux principes. Dans l’interlude, une vaste concertation avec les professionnels est organisée pour définir les nouvelles règles qu’ils devront respecter.

Ce plan n’a pas été du goût des défenseurs des libertés numériques. « La CNIL vient ainsi ajouter une période transitoire au cours de laquelle elle vient fortement limiter son propre pouvoir de sanction et amputer sensiblement les règles applicables provenant de l’ordre juridique de l’Union européenne » ont estimé la Quadrature du Net et Caliopen à la porte du Conseil d’État.

« La CNIL n’a pas entendu modifier les règles du RGPD, mais s’abstient de faire usage de ses pouvoirs coercitifs lorsqu’un site déduit le consentement aux cookies et autres traceurs de la seule navigation » a précisé le rapporteur. « Juridiquement, cette délibération n’est pas une décision réglementaire, mais une ligne directrice », d’ailleurs prévue à l’article 8 de la loi Informatique et Libertés.

Le droit souple sur le grill du Conseil d’État

Première question d'importance : peut-on attaquer un communiqué de presse ou une ligne directrice ? Oui, pour le rapporteur, qui recommande d’appliquer ici la jurisprudence « Faivesta » du 21 mars 2016.

Les actes dits de droit souples peuvent faire l’objet d’un recours pour excès de pouvoir « notamment quand ils sont de nature à provoquer des effets notables notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent ». 

Alors, la CNIL peut-elle décider, dans son coin, de s’abstenir de sanctionner la méconnaissance du RGPD ? C’est là le cœur du dossier porté par La Quadrature du Net et Caliopen. « On est spontanément porté à penser que dans un état de droit comme le nôtre, l’autorité administrative chargée de veiller au respect de la loi dans son domaine de compétence doit prendre les mesures en son pouvoir pour faire cesser les illégalités. Et qu’elle engage sa responsabilité quand elle s’abstient de le faire » commente le rapporteur… avant de relativiser.

La CNIL, une autorité, pas un Robocop

 « L’état du droit est plus subtil ». Face à la violation d'une disposition du RGPD, la CNIL dispose toujours d’une palette de prérogatives, disposant du choix du moment, du choix des moyens. Elle peut opter pour la sanction, ou lui préférer la pédagogie, concentrer ses ressources ici plutôt que là. Toujours au cas par cas, elle est libre de mettre en mouvement l’action répressive, « sous le contrôle restreint du juge ».

Cependant, les lignes directrices sont par définition générales. Nous ne sommes plus dans une tolérance individuelle, mais dans une situation globale où les auteurs de manquements à la législation propre aux cookies ne feront pas l’objet d’aucune poursuite, du moins durant la période transitoire.

On change donc d’échelle.

« Les conséquences pratiques ne sont pas les mêmes », admet le rapporteur, non sans reprocher en creux à la commission cette politique du tout ou rien, sans nuance. « Le cas par cas, le non-dit, le subliminal laisse toujours planer un risque de sanction qui permet de maintenir les acteurs sous tension. Le blanc-seing général comporte le risque de démobiliser et déresponsabiliser ». 

Mais selon lui, il faut tout de même appliquer la même réponse juridique, celle d’une vaste liberté laissée à la CNIL et un contrôle très restreint du juge, concentré sur les erreurs dites manifestes d’appréciation, les plus importantes, les plus grossières.

Les missions de la CNIL sont faites d’équilibres « dont la subtilité a précisément justifié qu’on leur dédit une autorité de régulation et non un Robocop ».

Selon lui encore, « nous avons vécu pendant de longues années durant lesquelles la navigation sur le site permettait de présumer l’accord, sans nullement la sous-estimer, il ne nous paraît pas que l’atteinte à la vie privée en résultant présenterait un caractère de gravité tel qu’elle disqualifierait par principe l’initiative de la CNIL ».

Que faire ?

Les circonstances avancées le 4 juillet n'ont pas été au goût du rapporteur.

La commission a justifié son report par « l’exigence juridique de prévisibilité » de la loi. Un peu mince : le RGPD a été publié en 2016, est entré en application le 25 mai 2018, après les positions du G29.

« Par ailleurs, la combinaison de la directive ePrivacy et du RGPD n’est pas d’une obscurité telle sur le point qui nous occupe que les acteurs pouvaient légitimement ignorer pendant tout ce laps de temps que le règlement avait condamné l’assimilation de la poursuite de la navigation à un consentement valable » ajoute-t-il.

La commission a soufflé d’autres arguments, comme l'impossibilité pratique de sanctionner tous les contrevenants. Argument repoussé par le même intéressé qui a pris un exemple : nous n'allons pas arrêter de verbaliser les excès de vitesse au motif qu’ils seraient trop fréquents.

Faut-il malgré tout fustiger le choix de la commission ? Celle-ci devait elle sanctionner les sites avec une main de fer ? Avec les cookies, « tout le monde sait ce qu’il ne faut pas faire, mais personne ne sait concrètement ce qu’il faut faire ».

Se lancer dans « une mise en conformité dans le brouillard [pouvait] conduire les acteurs à mettre en place des solutions contreproductives, inappropriées pour l’ergonomie de la navigation ou trop disparates d’un site à l’autre ». Des solutions qui « peuvent aboutir à l’effet inverse à celui qui est recherché en incitant l’internaute, lassé, à accepter les cookies. »

Le Conseil d’État pourrait certes ordonner une mise en pause à l'installation de ces traceurs, une fois la concertation achevée. Mais « cette issue n’est pas réaliste, répond le rapporteur, l’équilibre économique du secteur de la publicité en ligne, et de ceux qui comme de la presse en ligne se financent avec des ressources publicitaires, dépendent très largement des traceurs de connexion ». De plus, de nombreux cookies non publicitaires exigent aussi le consentement (mesure d’audience, l’authentification des partages sur réseaux sociaux). Leur suspension pourrait nuire aux internautes eux-mêmes

Les projets dans les navigateurs jouent aussi aux trouble-fêtes. Avec l'espoir d'un paramétrage fin des cookies, conforme au RGPD, difficile de reprocher la stratégie de la CNIL alors que ce sujet épineux est au menu de la longue réforme d’ePrivacy.

Quid du juge civil ou pénal ? 

La démarche de normalisation ou de coconstruction de standards avec les professionnels du secteur permet finalement de résoudre les difficultés, argue-t-il en substance. Cela évite de laisser la doctrine de la CNIL « s’élaborer au gré des décisions de sanction ». Il serait au surplus absurde d’échanger avec les opérateurs, tout en les sanctionnant. « On ne discute pas avec le pistolet sur la tempe ! » .

En somme, il recommande à la juridiction de rejeter le recours des deux associations. Au détour de son intervention, il indique que les lignes de la commission ne bouleversent pas tant l’état du droit : elles ne lient ni le juge civil ni le juge pénal. Ceux-ci pourraient donc être saisis pour sanctionner sans pudeur les indélicatesses de tel site de e-commerce ou d'information. Un bel appel du pied adressé à LQDN et Caliopen.

L'arrêt sera rendu dans quelques semaines. La juridiction sera bientôt amenée à se repencher sur le même sujet, cette fois à la demande de professionnels de la publicité et de l'édition en ligne. Ceux-ci reprochent à la CNIL des « interprétations [qui] soulèvent un vrai risque de destruction de la valeur économique des médias français, du e-commerce et de l’écosystème digital français, au bénéfice des grands acteurs internationaux ».