Le Comité européen de la protection des données (CEPD) a adopté le 4 mai dernier une version actualisée de ses lignes directrices de 2018 sur la notion de consentement, au sens du RGPD.

Les ajouts, une quinzaine de lignes nouvelles, pourraient paraître anecdotiques. Loin s’en faut. Ils revêtent une portée symbolique car ils émanent d’un organe rassemblant l’ensemble des CNIL européennes et s’avèrent essentiels d’un point de vue pratique, puisqu’ils portent sur… les cookies.

L’occasion est trop belle pour nous d’évoquer à nouveau le cadre juridique applicable à ces petits scripts à présent bien identifiés, dans le prolongement de notre billet précédent "La CNIL et les cookies : je temporise, tu temporises...nous temporisons" .

 

Retour à la base : le consentement

Cette fois-ci le CEPD nous invite à revenir aux fondamentaux, en insistant sur la notion de consentement, car c’est bien elle qui est au cœur de la problématique des cookies.

Au sens du RGPD, le consentement doit revêtir plusieurs caractéristiques : être « libre », « spécifique », « éclairé » et « univoque ».

Dans un arrêt du 1er octobre 2019, la Cour de justice de l’Union européenne (CJUE) a porté toute la lumière sur le caractère univoque en précisant que « le consentement donné au moyen d’une case à cocher par défaut n’implique pas un comportement actif » et n’est donc pas valide (voir notre article « Consentement aux cookies : la bonne recette ? Décryptage des décisions CJUE, Planet49, du 1er octobre 2019 (aff. C-673/17) et CE, Section du contentieux, 16 oct. 2019, 10ème et 9ème ch. réunies, n°433069 », Dalloz IP/IT, 2020).

Le CEPD réaffirme ces principes en indiquant que l’action de faire défiler ou de naviguer sur une page internet ne pourra en aucune manière caractériser une action claire et affirmative et donc exprimer un consentement univoque (§ 86 des lignes directrices). Il serait également difficile de fournir à l’utilisateur un moyen de retirer son consentement d’une manière aussi facile, alors pourtant que le RGPD prescrit un parallélisme des formes pour l’octroi et le retrait du consentement.

 

Le cookie wall ou la bannière bannie

Les ajouts du CEPD ne s’arrêtent pas là et portent également sur le caractère libre du consentement. Pour qu’un consentement soit donné librement, l’accès à un service ou à une fonctionnalité ne doit pas être conditionné au consentement d’un utilisateur au stockage ou à l’accès à des informations stockées sur son ordinateur (§ 39 à 41 des lignes directrices). Le CEPD fait ici expressément référence aux murs de cookie ou « cookie walls », ces bannières cookies qui occupent tout l’écran et empêchent un accès au site internet en l’absence de l’acceptation par l’utilisateur des cookies du site. Le consentement est ici contraint par le souhait d’accéder au site internet et ne correspond donc pas à un véritable choix. Les lignes directrices mettent ainsi un point d’arrêt à cette pratique malheureusement encore assez répandue.

 

Le CEDP siffle la fin de la récréation

Cette actualisation des lignes directrices intervient, pour ainsi dire, à point nommé. En charge du contrôle de la cohérence dans l’interprétation du RGPD, l’intervention du CEPD a une portée symbolique forte. En posant expressément les principes d’une position européenne commune, il vise à ramener dans les rangs les autorités de contrôle des Etats membres qui auraient des velléités d’interprétations divergentes.

Il est vrai qu’un règlement spécifique, le règlement e-privacy, devait régler spécifiquement le sort des cookies et dans cette attente, certes longue, certains Etats membres ont pu considérer qu’ils disposaient d’une marge de manœuvre. Le CEPD, rappelle, incidemment, notamment par une note de bas de page, que les conditions d’un consentement valide sont applicables aux situations entrant dans le champ de la directive e-privacy, que le futur règlement du même nom doit abroger. En d’autres termes, l’interprétation du consentement au sens du RGPD est transposable au périmètre des textes e-privacy et donc aux cookies.

En mai 2018, le CEPD s’était déjà prononcé contre les cookie walls dans une Déclaration relative à la révision de la directive e-privacy, mais cela n’a semble-t-il pas suffi.

 

Enfin une vision européenne uniforme ?

Si l'autorité néerlandaise fait figure de modèle en ayant, par exemple, dès le 9 mars 2019 affirmé son opposition aux cookie walls, en revanche l'autorité de contrôle espagnole a déclaré dans un guide publié le 8 novembre 2019, que le défilement de la page, l’accès à un autre contenu ou la fermeture de la bannière cookies pouvaient être considérés comme un consentement explicite, en contradiction flagrante avec la position de la CJUE.

L'autorité de contrôle belge s’est, quant à elle, inscrite dans la droite ligne des principes du CEPD en proscrivant les cookie walls et la poursuite de la navigation comme mode de consentement valide pour l’installation de cookies.

L’autorité de contrôle irlandaise, si elle ne prohibe pas expressément les cookie walls, adopte une position conforme à celle du CEPD et rappelle la nécessité de ne pas utiliser une interface incitant un utilisateur à consentir aux cookies plutôt qu’à les rejeter.

Gageons qu’à la lumière de l’interprétation du CEPD, qui regroupe les différentes autorités de contrôles nationales des pays de l’UE, de telles disparités n’auront plus lieu d’être et que les positions divergentes seront corrigées à très court terme.

 

Il est urgent… de ne plus attendre

Et la CNIL dans tout ça ? Dans sa délibération sur les cookies du 4 juillet 2019, la Commission avait déjà annoncé que la poursuite de la navigation sur internet ne pourrait plus constituer une expression valable du consentement en matière de cookies et de traceurs en ligne. Dans ce même texte, la CNIL avait aussi pris les devants sur les cookie walls : « La personne concernée ne doit pas subir d’inconvénients majeurs en cas d’absence ou de retrait du consentement (ex : bloquer l’accès à un site par un cookie wall) ».

Bref, les principes sont posés, la position de la CNIL, en adéquation avec les lignes directrices actualisées du CEPD, en sort renforcée. Il reste aux acteurs économiques à les appliquer et ce, sans attendre l’adoption définitive de la recommandation de la CNIL sur le sujet (cf. notre billet précédent) !

GPER

Géraldine Péronne, Avocat à la Cour, Docteur en droit

Parmi ses domaines d’expertises : protection des données personnelles, droit de l’internet, cybersécurité, contentieux.

Géraldine est avocate au Barreau de Paris depuis 2014 et docteur en droit. 
Chargée d’enseignements pendant sept ans à l’Université (Paris I et UPEC), elle a ensuite exercé en qualité d’avocate dans un cabinet parisien spécialiste du contentieux pénal et civil pendant quatre ans, avant d’intégrer ATIPIC Avocat/implid Legal. 
Elle intervient sur des dossiers de droit des nouvelles technologies et droit des données personnelles (audits de conformité RGPD notamment) tant en conseil qu’en contentieux et commente régulièrement l’actualité juridique sur ces sujets, dans le cadre de rédaction d’articles. 
Elle est certifiée DPO (agrément CNIL).