Surfer vaut consentement aux cookies : la tolérance de la CNIL attaquée au Conseil d’État

Surfer vaut consentement aux cookies : la tolérance de la CNIL attaquée au Conseil d’État

Une première pour Caliopen

Avatar de l'auteur
Marc Rees

Publié dans

Droit

02/08/2019 6 minutes
16

Surfer vaut consentement aux cookies : la tolérance de la CNIL attaquée au Conseil d’État

La CNIL a décidé que pendant une période transitoire d’un an, la poursuite de la navigation vaudra expression du consentement à l’installation des cookies. Intolérables pour la Quadrature du Net et Caliopen qui, dans un recours au Conseil d’État, lui opposent le RGPD.  

Mi-juillet, la commission dévoilait ses nouvelles lignes directrices relatives aux traceurs en ligne. Elle posait des règles lourdes de conséquences pour l’écosystème des publicités sur-mesure : obligation d’information préalable, recueil du consentement libre, spécifique, éclairé et univoque...  

Ainsi, la poursuite de la navigation ne vaudra plus expression du consentement, contrairement à la doctrine de la commission datant de 2013. Seulement, ce tour de vis a été accompagné d’une douce caresse. L’autorité a décidé de laisser une généreuse période transitoire d’un an aux professionnels du e-marketing, pour que ceux-ci « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».

Ce report, soutient-elle sur son site, « tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme ».

La Quadrature du Net et Caliopen ne partagent pas l'analyse. Elles ont décidé d’attaquer cette délibération devant le Conseil d’État, craignant des atteintes inadmissibles à la vie privée et à la protection des données personnelles « de l’ensemble de la population française ».

Le consentement avant et après le RGPD

Selon elles, le choix de la CNIL prive finalement « tant la loi française que des normes issues de l’ordre juridique de l’Union européenne de tout effet dissuasif contre l’utilisation illicite de cookies et autres traceurs en ligne pour surveiller les personnes sans leur consentement explicite ». 

Pour un peu mieux comprendre ce psychodrame, un point d’histoire : la gestion des cookies est encadrée par la directive ePrivacy de 2002, modifiée en 2009. Pour le stockage et l’accès aux cookies, le consentement de l’utilisateur est inévitable. Mais cette notion de consentement est définie par renvoi à la législation européenne relative aux données personnelles. 

C’est là le nœud du litige, car la notion a évolué depuis le 25 mai 2018. Dans le fameux règlement général sur la protection des données personnelles, le consentement doit se manifester par un acte positif clair, quand la législation antérieure se satisfaisait d’un consentement implicite. 

« La CNIL vient ainsi ajouter une période transitoire au cours de laquelle elle vient fortement limiter son propre pouvoir de sanction et amputer sensiblement les règles applicables provenant de l’ordre juridique de l’Union européenne » dénoncent les requérantes. 

Une procédure d'urgence, avant un examen au fond

Elles réclament donc l’annulation pure et simple de cette délibération, mais d’abord sa suspension en référé puisque la décision au fond ne sera rendue que trop tardivement. C’est cette procédure d’urgence qui sera examinée le 14 août à 11 heures au Conseil d’État. 

Pour elles, la CNIL « a excédé ses pouvoirs », alors que ses missions sont de faire respecter le droit notamment européen relatif à la protection des données personnelles. « La loi ne lui confère aucun pouvoir pour reporter dans le temps l’entrée en application de dispositions légales (en l’espèce, celles du RGPD) » insistent-elles. « En matière de recommandations et de lignes directrices, sa compétence se limite à "faciliter" le respect de ces dispositions, ce qui ne saurait en aucun cas impliquer d’en reporter les effets contraignants – bien au contraire ».

De la prévisibilité du RGPD, texte publié en mai 2016

À la CNIL qui s’appuie sur la nécessaire prévisibilité des textes, les deux associations se souviennent que le 10 avril 2018, le groupe de l’Article 29, soit l’ensemble des autorités de contrôle européennes, avait déjà considéré que le défilement d’une page ou la poursuite de la navigation n’est plus un acte positif clair d’expression du consentement. 

En somme, n’importe quel opérateur pouvait donc anticiper ce changement de cap, au besoin avec l’aide d’un juriste. On pourrait même remonter cette information à la date de publication du RGPD au Journal officiel le 4 mai 2016 ! Et d’ailleurs, si le législateur européen a repoussé son application au 25 mai 2018, c’était déjà dans l’objectif de laisser aux responsables de traitement, le temps nécessaire à la mise à niveau. 

LQDN et Caliopen ne décolèrent pas : la décision de la CNIL « contredit tous les efforts de mise en conformité au RGPD réalisés par de nombreux sites internet depuis 2016 ». 

Quand les plus vertueux se retrouvent les plus désavantagés 

Mieux, « elle nuit aux acteurs les plus volontaires pour respecter le droit des données personnelles, les plaçant dans une situation désavantageuse face aux autres acteurs qui, eux, ont été récalcitrants pour respecter la loi et n’ont pas déployé les efforts et ressources pour se mettre en conformité à temps pour le 25 mai 2018 ». 

Et pour cause, alors que Next INpact et d’autres rares services de presse en ligne ne diffusent pas de cookie publicitaire, l’immense majorité des confrères moins regardants se retrouvent dans une position concurrentielle avantageuse, finalement protégée par la commission. 

Mieux, aux yeux des demandeurs, c’est la décision même de la CNIL qui est porteuse d’imprévisibilité : 

« le principe de prévisibilité du droit (…) non seulement n’impose nullement à la CNIL de prévoir une période transitoire pour permettre aux opérateurs de s’adapter à l’abrogation de sa recommandation du 5 décembre 2013 dans la mesure où il était parfaitement prévisible depuis plusieurs années que la CNIL ne prendrait plus en compte cette recommandation avec l’entrée en application du RGPD, mais encore prohibe une telle période transitoire venant s’ajouter illégalement à la période déjà prévue par les normes européennes en la matière ».

Outre la suspension de l’exécution de la décision prise par la CNIL, elles réclament une mesure d’affichage sur Cnil.fr où sera finalement dit que « la poursuite de la navigation » ne constitue pas un mode d’expression valable du consentement en matière de cookies et de traceurs en ligne ».

Relevons enfin que selon le RGPD, le consentement doit pouvoir être retiré aussi facilement qu’il a été donné. Or, comment un internaute qui a donc surfé pour consentir pourrait-il retirer son accord ? En faisant marche arrière depuis son navigateur ? D’ailleurs, souvenons-nous que pas plus tard que le 6 juin 2018, le Conseil d’État a lui-même considéré que « le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de " cookies " ».

L’ordonnance est attendue autour du 20 août.

16

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le consentement avant et après le RGPD

Une procédure d'urgence, avant un examen au fond

De la prévisibilité du RGPD, texte publié en mai 2016

Quand les plus vertueux se retrouvent les plus désavantagés 

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)


une poursuite de navigation c’est un scroll de page ou un clic sur lien ?


Datalove <3


Le clic sur un lien compte pour poursuite de la navigation. Concernant le scroll, je n’en suis pas certain, mais pour beaucoup de sites qui fonctionnent sur ce modèle, c’est le cas.


J’espère que le conseil d’État va aller dans le sens des requérants.

Si la décision de la CNIL est suspendue, le retours de vacances va être douloureux pour certains.


J’ai déjà fait l’expérience, je vide le cache, j’ouvre une page vierge, je tape l’adresse orange.fr, la page charge, je ne fais rien sur le site, et je ferme le navigateur, je regarde les cookies et j’en trouve une dizaine…

J’ai pas refait le test dernièrement, ça a peut-être changé.

Et en navigation privée ? J’ai vu que google et compagnie collectent quand même des données ?



Si quelqu’un peut m’eclairer sur un dernier point, comment un site récupère t-il mon adresse mail alors que je ne la saisi pas.

J’ai fait des recherches sur des pergolas le mois dernier, et comme par hasard je reçois un mail me disant que tel jour je me suis inscrit sur leur site… Il font comment ?


ben pour ton pb de cookies …. moi j’ai cookie autodelete réglé à 3 secondes et ça marche très bien

Pour ton email magique je soupçonne un smartphone ou/et que tu as un compte facebook.


Est-ce que la CNIL va exposer ses arguments publiquement avant l’audience ? On a l’écho des requérants, j’aimerais bien savoir comment elle justifie ce report, et d’où lui vient cette aurorité.








xav2ntes a écrit :



Et en navigation privée ? J’ai vu que google et compagnie collectent quand même des données ?





Puisque tu n’as de toute évidence pas compris le principe de la « navigation privée », voici de quoi éclairer ta lanterne : le mode « navigation privée » d’un navigateur Web ne diffère de la navigation normale que sur un, et un seul point : quand tu fermes la fenêtre NP, toutes les traces accumulées sur ta machine (et seulement sur ta machine) sont supprimées (cookies, cache, historique de navigation et des téléchargements, préférences de sites et jetons d’identification enregistrés en local). Mais du côté des sites visités, toutes les informations recueillies sont conservées.



C’est d’ailleurs pour ça que, depuis la mise en place de ce mode, tous les navigateurs disent bien et en toutes lettres que ce n’est pas un moyen d’être anonyme (certainement pas aux yeux des sites visités : tu balances toujours ton IP publique à ces derniers et les autres sites éventuellement liés, navigation privée ou pas), ni de surfer sans laisser de traces. Le seul endroit où ça n’en conserve pas, c’est ta machine et c’est tout.



Sinon, nous avons ici une association qui attaque une autorité administrative auprès d’une autre autorité administrative, sachant que dans le monde des AA, tout le monde se connaît et a appris à faire bloc pour protéger les siens, quitte à violer la loi (de toute façon, ce sont eux et leurs copains qui les ont mis à leur place qui la font, la loi, donc ils ont évidemment pensé à faire en sorte que jamais celle-ci ne puisse être un vrai problème contraignant pour ces gens-là).



Bref, le verdict est déjà connu et LQDN va encore se heurter au mur de la réalité administrative…



Peut-être qu’ils finiront par comprendre un jour, à force de se faire débouter invariablement par des gens au service exclusif de leurs copains et surtout pas du bien commun, que ce ne sera jamais de cette manière qu’ils parviendront à faire valoir leur point de vue. Mais c’est pas demain la veille…


/sel

Ce serait une très bonne nouvelles… malheureusement un peu trop désabusé pour espérer que les cookies soient gérés comme ça un jour.



C’est la même avec tous ces formulaires RGPD quand on débarque sur un site : au minimum 7 cases à cliquer sur “Refuser” (si ce n’est plus), afin de faire opposition à la conservation de nos données + cookies + id publicitaire et j’en passe… C’est insupportable en perte de temps. Et ne pas faire la manip reviens à tout accepter… logique n’est-ce pas…

Le problème est encore pire sur téléphone portable, où pour la moitié des sites, le module RGPD bug et je perd un temps non négligeable à trouver comment faire pour réussir à cliquer sur les cases et valider mon choix… aaaaargh.



/selOff


J’espère que si le CE se ridiculise en avalisant la décision de la CNIL, la Quadrature aura les reins assez solides et l’énergie de monter à l’étage au dessus, pour le principe.


La CNIL défend vraiment les intérêts des Internautes ou est juste là pour renflouer les caisses de l’État du fric à coup d’amendes ?


“psychodrame” vraiment ? L’expression est réductrice et malheureuse. C’est du droit, rien d’autre.








xav2ntes a écrit :



J’ai déjà fait l’expérience, je vide le cache, j’ouvre une page vierge, je tape l’adresse orange.fr, la page charge, je ne fais rien sur le site, et je ferme le navigateur, je regarde les cookies et j’en trouve une dizaine…





Ils font valoir que pour justement faire la différence entre les internautes qui ont donné leur consentement et ceux qui refusent, il leur faut savoir qui sont ceux à traiter différemment. Après avoir placé les cookies sans distinction dans un premier temps, ils promettent de ne pas exploiter / effacer les cookies des internautes qui ont opposé un refus.



Si je me trompe pas, il me semble que les cookies techniques sont autorisés sans consentement, ce sont les cookies qui servent aux “analytics” qu’il faut au préalable accepter



Par exemple, sur le site d’orange, les cookies déposés à la première visite sont is_fut, sampleVar (sic), ou encore cc-regie.



Par contre, si tu refresh la page, même sans cliquer sur accepter les cookies dans mon cas, tu as st_audience_clientid et st_audience_sessionid qui se déposent, et qui ont plus une tête marketing que technique



Par contre il y a un cookie izclientid, qui ressemble à un cookie de pistage, qui se dépose à la première visite <img data-src=" />


Désolé j’ai pas suivi la conversation.

J’ai pas de Facebook, j’ai bien un smartphone mais c’est un gmail (sert uniquement pour le fonctionnement du smartphone) et j’ai reçu le mail sur mon adresse free, j’ai une troisième adresse qui est l’adresse pro. Si c’est le smartphone c’est qu’ils analysent hyper bien les datas, ils ont choisi la bonne adresse.

Ça m’était déjà arrivé sur mon pc, j’ai consulté le menu de Domino’s pizza et dans l’après midi je recevais un mail de Domino’s, une simple coïncidence me paraît énorme.