03.04.20
Au moment où nous avons tous les yeux rivés sur l’évolution de la crise sanitaire du Covid-19, la CNIL a annoncé le 25 mars dernier, presque en catimini, le report de l’adoption de sa recommandation sur les cookies et autres traceurs, initialement prévue début avril, « à une date ultérieure qui sera fixée en fonction de l’évolution de la situation ».
Si l’on comprend parfaitement l’opportunité de cette temporisation au vu de la situation dramatique que nous vivons et dans un contexte où les ordres de priorité sont bouleversés, il demeure que cette décision n’est pas anodine, s’agissant d’un sujet très débattu et pour lequel un cadre juridique cohérent est attendu. À croire que la procrastination est de mise pour cette réglementation.
Pour mémoire, le RGPD devait être complété d’un règlement européen spécifique dit « e-privacy » devant encadrer cette thématique il y a… 4 ans ! En l’absence d’accord sur ce projet de texte toujours discuté à l’heure actuelle, les régulateurs européens ont chacun choisi de traiter le sujet localement. Pour la France, la CNIL a ainsi adopté le 4 juillet 2019 des lignes directrices sur les cookies. Abrogeant une délibération datant de 2013 et prenant le contre-pied de ce texte pour prendre en compte les principes issus du RGPD, les lignes directrices prévoient que la poursuite de la navigation sur internet ne pourra plus constituer une expression valable du consentement en matière de cookies et de traceurs en ligne. Dans le même temps, la CNIL a ouvert une période transitoire de six mois après l’adoption d’une future recommandation pour que les acteurs de la publicité en ligne se mettent en conformité et adoptent les nouvelles règles (communiqué de la CNIL du 18 juillet 2019).
La période transitoire laissée aux acteurs pour s’adapter au droit nouveau (directement issu toutefois du RGPD, soit de règles applicables depuis le 25 mai 2018) passe d’autant plus mal que quelques mois plus tard, la Cour de justice de l’Union européenne, rappelle que la manifestation de la volonté suppose « un comportement actif et non pas passif » de la personne concernée, condamnant ainsi tout consentement aux cookies qui serait obtenu par la simple poursuite de la navigation sur internet.
Contestée par des associations de défense des libertés publiques, la temporisation de la CNIL est finalement validée par le Conseil d’Etat dans une décision du 16 octobre 2019 (voir notamment notre article « Cookies : quelle est la bonne recette ? Décryptage des décisions CJUE, Planet49, du 1er octobre 2019 (aff. C-673/17) et CE, Section du contentieux, 16 oct. 2019, 10ème et 9ème ch. réunies, n°433069 », Dalloz IP/IT, 2020).
En février, la CNIL a fait paraître son projet de recommandation sur les cookies ouvert à consultation publique. Le texte correspond à un long descriptif des modalités pratiques de mise en œuvre des règles sur les cookies (21 pages). Bien qu’émaillé d’exemples, le texte paraît assez éloigné de l’exigence de lisibilité des règles tant attendue des acteurs économiques. La longueur du projet de recommandation témoigne d’une sophistication inédite des règles applicables (multiplication des boutons, des interfaces, plusieurs niveaux d’information et de granularité, gestion complexe de la preuve du consentement, etc.), sans pour autant que la CNIL ne fournisse d’outils utiles, tels qu’un modèle de tableau de bord de gestion des consentements ou une base de données sur les cookies, par exemple. Et quid des « bonnes pratiques » visées dans le projet, qui poussent les règles encore plus loin : sont-elles réellement optionnelles, comme le laisse penser leur intitulé ?
La mise en musique de la recommandation, en l’état, nécessiterait des efforts conséquents de développements pour chaque exploitant de site internet ou le recours à des prestataires privés coûteux, sans pour autant qu’il soit assuré d’être en conformité.
Il n’y a plus qu’à espérer que ce temps d’attente supplémentaire, octroyé par la CNIL dans un contexte de crise, soit compensé par une simplification des préconisations dans le texte définitif et que celui-ci soit complété d’outils pratiques.
Il est aussi à noter que le report d’adoption de la recommandation conduit à retarder d’autant le point de départ du délai de six mois au terme duquel les règles seront définitivement applicables. D’un point de vue strictement juridique, on ne pourra que regretter ce temps de latence dans l’application exacte et juste de la notion de consentement « libre » au sens du RGPD, même si de plus en plus d’acteurs, bons élèves, anticipent les nouvelles règles et requièrent un consentement exprès pour l’utilisation de cookies.
En revanche, d’un point de vue plus pratique, ce délai pourrait être vu comme un répit permettant à chaque acteur de jauger et de s’inspirer des pratiques des uns et des autres pour être au plus près du niveau de conformité exigé.
Espérons donc que cette problématique cesse d’être une arlésienne et que les professionnels disposent enfin d’un cadre juridique clair et stable à l’issue de ces nouveaux atermoiements.
Géraldine Péronne, Avocat à la Cour, Docteur en droit
Parmi ses domaines d’expertises : protection des données personnelles, droit de l’internet, cybersécurité, contentieux.
Géraldine est avocate au Barreau de Paris depuis 2014 et docteur en droit.
Chargée d’enseignements pendant sept ans à l’Université (Paris I et UPEC), elle a ensuite exercé en qualité d’avocate dans un cabinet parisien spécialiste du contentieux pénal et civil pendant quatre ans, avant d’intégrer ATIPIC Avocat/implid Legal.
Elle intervient sur des dossiers de droit des nouvelles technologies et droit des données personnelles (audits de conformité RGPD notamment) tant en conseil qu’en contentieux et commente régulièrement l’actualité juridique sur ces sujets, dans le cadre de rédaction d’articles.
Elle est certifiée DPO (agrément CNIL).