Le Conseil d’État rejette ce jour le recours de la Quadrature du Net et de Caliopen. Les deux associations s’étaient attaquées aux lignes directrices de la CNIL relatives aux cookies et autres traceurs, en particulier la période d’adaptation offerte par la commission aux responsables de traitements.
Le 4 juillet dernier, la CNIL a (enfin) mis à jour sa politique en matière de cookies : suite à l’entrée en vigueur du RGPD, le 25 mai 2018, il n’est plus possible de déduire le consentement des internautes à l’enregistrement des cookies de la simple poursuite de la navigation sur un site. Comme le veut le règlement, auquel la directive ePrivacy fait ici référence, il faut un consentement exprès des intéressés, outre évidemment une information solide sur le sort de ses données personnelles.
Toutefois, pour laisser aux entreprises un délai suffisant pour respecter ce « nouveau » virage, la commission a laissé un an avant mise en oeuvre des sanctions. Concrètement, le site qui continuerait à appliquer l’ancienne politique durant cette période ne risquerait en principe rien. Il faut dire que dans le même temps, la CNIL élabore une délibération avec les acteurs concernés (voir les premiers éléments dévoilés dans nos colonnes). L’objectif ? Aboutir à un cadre définissant les modalités pratiques du recueil de consentement au dépôt des cookies.
Un large pouvoir d'appréciation
Mais ces 12 longs mois n’ont pas satisfait les deux associations précitées. Selon eux, la commission ne pouvait déporter dans le temps ce nouveau cadre en vigueur depuis le 25 mai 2018. L’autorité ne pouvait pas plus renoncer à utiliser ses pouvoirs de sanction en cas de manquement. D’autant qu'est en jeu, ici, la vie privée de millions de personnes !
Le Conseil d’État n’a pas été de cet avis. Il a souligné le « large pouvoir d’appréciation » dont bénéficie la CNIL. Mieux, la tolérance de la commission vient finalement contribuer à la mise en conformité de l’ensemble des sites utilisant des cookies publicitaires « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement ».
La poursuite de la navigation comme expression du consentement perdurera durant cette période, en attendant la délibération promise en 2020. Dans son arrêt, la haute juridiction relève cependant que la Commission pourra toujours « faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave ».
La juridiction suit là les conclusions du rapporteur public (notre compte rendu d'audience). Dans ses conclusions, celui-ci avait toutefois fait un appel du pied : les lignes directrices de la CNIL ne lient ni le juge civil ni le juge pénal. En clair, la Quadrature du Net ou Caliopen pourraient toujours trainer un site peu respectueux du consentement des internautes devant ces juridictions.
