Le Conseil d’État rejette ce jour le recours de la Quadrature du Net et de Caliopen. Les deux associations s’étaient attaquées aux lignes directrices de la CNIL relatives aux cookies et autres traceurs, en particulier la période d’adaptation offerte par la commission aux responsables de traitements.
Le 4 juillet dernier, la CNIL a (enfin) mis à jour sa politique en matière de cookies : suite à l’entrée en vigueur du RGPD, le 25 mai 2018, il n’est plus possible de déduire le consentement des internautes à l’enregistrement des cookies de la simple poursuite de la navigation sur un site. Comme le veut le règlement, auquel la directive ePrivacy fait ici référence, il faut un consentement exprès des intéressés, outre évidemment une information solide sur le sort de ses données personnelles.
Toutefois, pour laisser aux entreprises un délai suffisant pour respecter ce « nouveau » virage, la commission a laissé un an avant mise en oeuvre des sanctions. Concrètement, le site qui continuerait à appliquer l’ancienne politique durant cette période ne risquerait en principe rien. Il faut dire que dans le même temps, la CNIL élabore une délibération avec les acteurs concernés (voir les premiers éléments dévoilés dans nos colonnes). L’objectif ? Aboutir à un cadre définissant les modalités pratiques du recueil de consentement au dépôt des cookies.
Un large pouvoir d'appréciation
Mais ces 12 longs mois n’ont pas satisfait les deux associations précitées. Selon eux, la commission ne pouvait déporter dans le temps ce nouveau cadre en vigueur depuis le 25 mai 2018. L’autorité ne pouvait pas plus renoncer à utiliser ses pouvoirs de sanction en cas de manquement. D’autant qu'est en jeu, ici, la vie privée de millions de personnes !
Le Conseil d’État n’a pas été de cet avis. Il a souligné le « large pouvoir d’appréciation » dont bénéficie la CNIL. Mieux, la tolérance de la commission vient finalement contribuer à la mise en conformité de l’ensemble des sites utilisant des cookies publicitaires « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».
La poursuite de la navigation comme expression du consentement perdurera durant cette période, en attendant la délibération promise en 2020. Dans son arrêt, la haute juridiction relève cependant que la Commission pourra toujours « faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave ».
La juridiction suit là les conclusions du rapporteur public (notre compte rendu d'audience). Dans ses conclusions, celui-ci avait toutefois fait un appel du pied : les lignes directrices de la CNIL ne lient ni le juge civil ni le juge pénal. En clair, la Quadrature du Net ou Caliopen pourraient toujours trainer un site peu respectueux du consentement des internautes devant ces juridictions.
Commentaires (23)
#1
Mieux, la tolérance de la commission vient finalement contribuer à la mise en conformité de l’ensemble des sites utilisant des cookies publicitaires « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».
Elle a toujours le pouvoir de faire les gros yeux, quoi.
#2
Bon en gros, le CE consacre le principe de l’opportunité des poursuites de la CNIL, estimant qu’il est indifférent de la question de l’entrée en vigueur de la réglementation qui est (roulement de tambours)… bien en vigueur.
#3
Conclusion, en tant que gestionnaire de site, vous avez encore 8 mois pour vous mettre en conformité. Vis à vis de la CNIL. Mais si un internaute vous attaque, vous pouvez parfaitement être condamné. Aujourd’hui. Donc, mettez-vous en conformité le plus vite possible.
Sans compter que la cours européen de justice a récemment tranché en spécifiant que le consentement préalable était obligatoire sur tous les cookies, quels qu’ils soient. Et ce, dés hier.
Et voilà, on est bien là.
#4
Grosse perte de crédibilité de la CNIL dans cette affaire.
Pour les journalistes il va bien falloir s’y faire : un jour ou l’autre ils devront cesser le fliquage, la grosse question est de savoir quand et par qui. L’Europe ou la France ? Dans moins d’un an ou aux calendes grecques ?
La France est loin d’être le seul pays problématique, au moins la Belgique et les Pays-Bas sont dans le même cas.
#5
Donc si je suis un éditeur, je dois peser le risque entre :
" />Quelqu’un pour demander leur avis au Figaro, ou à Challenges ?
a- profiter de cette période de tolérance pour continuer à faire mon tracking et en considérant que navigation = consentement
b- risquer qu’on me mette au tribunal (puisque la CNIL a juste le pouvoir - et les moyens - de me donner une fessée)
Effectivement ça va être un gros dilemme… Je me demande quelle solution les éditeurs vont choisir !
#6
Surtout qu’ils pourront plaider la bonne foi car ils suivent les recos de la CNIL!
#7
Par contre je relève la formule (gratuite) du Conseil d’Etat à l’attention de la CNIL:
" />
« que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».
Dans le genre aveu de l’impuissance de la CNIL…
Transposez dans un autre domaine pour rigoler, par exemple le délit de harcèlement, “Le Tribunal correctionnel a décidé d’engager une concertation avec les parties prenantes afin d’inciter au respect de l’interdit de harceler, que l’exercice du pouvoir de sanction du Tribunal ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement”.
#8
Les cookies techniques ne sont pas concerné (je crois).
Déjà que je galère à mettre a jour les sites dont je suis l’éditeur (à cause de Google analytics, je n’ai aucun site avec pub) si en plus les cookies de session sont concernés….
#9
Ce jugement pose réellement un problème, vu que la majorité des solutions de gestion des acceptations utilisent des cookies pour les stocker. Et que, sans cookie de session, c’est un peu mort pour beaucoup de site. Il faut voir comment cette décision va évoluer sur ses points.
Il reste qu’il n’y a pas que les cookies publicitaires qui sont concernés, dés qu’il y a des données personnelles (et un identifiant propre au site vers des informations du client l’est), il doit être soumit à acceptation. Et que le cookie de session est en plein dedans…
#10
Non. Le RGPD ne pose pas de problème aux cookies de session. Il suffit de lire l’article 6. Le RGPD dit qu’il faut qu’il y ait consentement de l’utilisateur OU, entre autres, que ce soit nécessaire à l’exécution d’un contrat ou précontrat avec l’utilisateur.
Donc il n’y a pas besoin d’une autorisation explicite de l’utilisateur pour utiliser des cookies de session nécessaires techniquement à la navigation. Par contre, il faut bien veiller que ces cookies ne servent jamais à faire quoi que ce soit qui ne soit pas nécessaire, comme faire des stats de visite.
#11
On ne peut, hélas, se limité à une lecture du texte du RGPD. Il convient aussi de suivre les décisions de la CEDJ, une décision récente concerne bien l’ensembles des cookies qui nécessiteraient un accord préalable.
#12
#13
C’est tellement pointu comme sujet :(
Merci pour les précisions
#14
#15
#16
#17
Plus possible d’éditer: pardon Fl0Wer je voulais répondre à un autre commentaire.
Pour toi, si j’ai bien compris, on a pas à demander le consentement au cookie technique, mais également on a pas à informé de l’existence de ce cookie ?
Alors selon toi, pourquoi la CJUE précise dans sa décision :
“68. Cela étant précisé, il convient, en tout état de cause, de constater que l’article 5, paragraphe 3, de la directive 2002⁄58 fait référence au « stockage d’informations » et à « l’obtention de l’accès à des informations déjà stockées », sans qualifier ces informations ni préciser que celles-ci devraient être des données à caractère personnel. 69. Ainsi que l’a constaté M. l’avocat général au point 107 de ses conclusions, cette disposition vise ainsi à protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel. 70. Cette interprétation est corroborée par le considérant 24 de la directive 2002⁄58, selon lequel toute information stockée sur l’équipement terminal de l’utilisateur d’un réseau de communications électroniques relève de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Cette protection s’applique à toute information stockée sur cet équipement terminal, indépendamment du fait qu’il s’agisse ou non de données à caractère personnel et vise, notamment, comme il ressort de ce même considérant, à protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu”.
#18
l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement
Pour le coup c’est plutôt vrai quasiment aucun site ne respecte le consentement aux cookies, la CNIL peut difficilement attaquer tous les sites web d’un coup.
Par contre ça sera toujours vrai dans 8mois, donc pourquoi laisser encore du temps ?
#19
Franchement à part gérer les données de session pour l’authentification des utilisateurs, ça sert à quoi les cookies ? C’est des trackers et compagnie. C’est vraiment soûlant de devoir cliquer sur ces bannières sur chaque site qu’on visite !
Si c’était que moi, j’interdirai tout usage de cookies à des fins autres que l’authentification sur un site, et je n’afficherait ces bannières que durant les tentatives d’authentification.
Pour tout autre usage, il y a le local storage et le session storage.
#20
La décision dit aussi : “Elle estime également qu’« (elles) ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel…”
“Elle” fait ici référence à l’autorisation préalable.
Le cookie de session n’est pas un cookie technique, il contient un identifiant qui va permettre d’identifier une session utilisateur, donc potentiellement les données de la session, donc potentiellement le numéro de client ou d’abonné, dont le compte du client ou de l’abonné. Le cookie de session est un cookie qui contient des données personnelles au sens défini dans l’article 4-1 du GDPR.
Je suis d’accord que l’on est plutôt borderline en terme de droit et d’utilisation de site. Mais cette décision peut très bien faire évoluer l’interprétation de l’article 5 du GDPR. Et, à terme, rendre obligatoire l’accord préalable d’un utilisateur pour mettre en place un cookie de session.
#21
Les cookies sont utiles également quand tu souhaites sauvegarde des choix de visiteurs ne s’identifiant pas :
A la base c’est juste une possibilitée technique intéressante qui a été dévoyée par la pub !
#22
Ce qui serait bien, c’est d’éradiquer tous ces popups intrusifs et gonflants relatifs à l’acceptation des cookies dont tout le monde se fout …
#23
Ha non alors, si tu n’a rien à faire de ta vie privée et ne veut pas en entendre parler ça te ragarde, mais ces popups t’avertissent que le site que tu fréquente veut mieux te connaître.
Je viens de tester avec un blog, il ne dépose aucun cookie = pas de popup.
Ce n’est pas plus compliqué que ça.