Lorsqu’il navigue sur Internet, l’internaute doit être informé et donner son consentement préalablement à l’insertion de cookies sur son terminal. Il doit alors avoir la possibilité de choisir de ne pas être tracé. Mais comment ce consentement doit-il être exprimé ?
Dans un souci de clarification, le Comité européen de la protection des données émet des recommandations en la matière. Celui-ci regroupe toutes les autorités de régulation des États membres afin d’unifier les pratiques au sein de l’Union européenne. Il donne ainsi des lignes directrices, notamment en ce qui concerne la protection juridique de l’internaute et la conformité aux exigences du RGPD.
Si sa doctrine a vocation à être appliquée en France par la CNIL, le Conseil d’État vient néanmoins tempérer sa position.
L’utilisation de cookies
L’insertion de cookies semble pertinente quand elle s’intègre dans la poursuite d’une relation client préalablement établie. De même, lorsqu’elle tend à prévenir une fraude ou corriger des bugs de sécurité.
Cette pratique pose en revanche davantage problème lorsque le cookie sert par exemple à identifier les caractéristiques d’un utilisateur final afin de lui proposer une publicité personnalisée.
Lors de son arrivée sur le site, l’internaute est donc informé de l’utilisation de cookies par un bandeau spécifique, appelé mur de cookies. Celui-ci bloque l’accès au service souhaité et exige le consentement de l’utilisateur pour poursuivre la navigation. L’internaute est alors informé de la finalité des cookies utilisés.
Il est également avisé de la possibilité de s’y opposer et de changer les paramètres en cliquant sur un lien présent dans le bandeau. Le bandeau précise que la poursuite de la navigation équivaut à donner son accord au dépôt de cookies sur son terminal. Cependant, en hauts lieux, on s’interroge sur la valeur de ce consentement.
L’expression d’un consentement libre
Dans les lignes directrices éditées en juillet 2019 et mai 2020, le Comité européen de la protection des données adopte une position stricte quant à l’expression du consentement de l’internaute.
Il condamne l’utilisation des murs de cookies. Ainsi, le fait de cliquer sur la mention « Accepter les cookies » ne peut pas être, selon lui, assimilé à l’expression d’un consentement libre.
En application de cette doctrine, la CNIL tend à interdire l’utilisation de cookies si l’internaute n’a pas librement manifesté sa volonté par une déclaration univoque ou un acte positif clair.
Ainsi, dans une décision du 4 juillet 2019, elle condamne la pratique des murs de cookies, estimant que la réception du consentement de l’internaute n’est pas conforme au RGPD.
En conséquence, l’action de continuer à naviguer sur un site ne peut être considérée à elle seule comme l’expression d’un consentement. La CNIL rappelle, en vertu de l’article 7.4 du RGPD, que lorsque l’éditeur d’un site conditionne la fourniture d’un service – en l’espèce l’accès aux services et fonctionnalités d’un site – à une collecte de données non-nécessaires à celle-ci, le consentement n’est pas librement donné.
La position du Conseil d’État
Dans l’ensemble, le Conseil d’État tend à valider les positions du Comité européen et de la CNIL. Néanmoins, il est venu en préciser la portée en ce qui concerne les règles issues du RGPD en matière de recueil du consentement aux cookies.
Dans une décision du 19 juin 2020, le Conseil d’État censure la CNIL lorsqu’elle estime que l’accès à un site internet ne peut être subordonné à l’acceptation d’un mur de cookies.
Le Conseil d’État estime qu’en déduisant cette interdiction générale des dispositions du RGPD, la CNIL va au-delà de ses compétences. Ses lignes directrices doivent en effet rester un instrument juridique souple. La CNIL a pris acte de cette décision et doit s’y conformer.
En conséquence, elle devra ajuster ses lignes directrices et préciser les modalités concrètes selon lesquelles les professionnels doivent recueillir le consentement des internautes à l’utilisation de cookies. Cela fait l’objet d’une consultation publique.
La CNIL devrait adopter une recommandation sur cette question dans le courant du mois de septembre 2020.
