L’art culinaire est tout d’exécution et force est de constater que les grands chefs (CJUE ; CE ; CNIL) ont des recettes similaires en matière de cookies, mais avec quelques tour-de-mains et ingrédients un brin différents.  Avec une toute récente validation de la recette CNIL par les palais des magistrats du Palais Royal.

I. A la base, l’exigence d’un consentement libre, spécifique, éclairé et univoque (et non plus tacite) en raison du RGPD

Un cookie 🍪 (« témoin de connexion ») se reçoit et se consomme tel quel, sans entrer dans sa composition, sa cuisson, ses petits secrets de fabrication.

NB rappel : un cookie est un ensemble de données de petite taille qu’un site web stocke sur l’ordinateur ou le dispositif mobile du visiteur. Pour faire simple, il s’agit des données de connexion sauvegardées sur l’ordinateur par le site internet visité. De cette façon, le cookie constitue une donnée permettant de reconnaitre un visiteur lorsqu’il revient sur un site internet. 

OUI mais pour éviter les abus (cholestérol ?) qui peuvent en résulter, le RGPD (Règlement général sur la protection des données n° 2016/679/UE, 27 avril 2016) impose en ce domaine un consentement libre, spécifique, éclairé et univoque (RGPD, art. 4, 11 ; CEPD [anciennement G29], lignes directrices sur le consentement WP 259 révision 1).

Voir le très « fouillis » site :

• https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_fr

Bref en matière de cookies on passe d’un consentement tacite à un consentement exprès, clair, univoque. 

Voir les règles initiales de la CNIL avec la :

• Délibération 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 (NOR: CNIX1331669X)

Alors qu’aujourd’hui, comme il le sera exposé ci-après, s’applique la :

• délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif) (NOR: CNIL1920776Z)

II. La recette originale, initiale, du Conseil d’Etat (avec le bien nommé arrêt « Croque futur » de 2018)

Reprise pour ce II d’une partie d’un billet de Benjamin Carrey, en date du 27 juillet 2018 :

• Le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies 

A propos des cookies présents sur le site Challenges.fr, le Conseil d’Etat a précisé la portée de cette obligation de consentement et de gestion des cookies (CE, 6 juin 2018, Société Éditions Croque Futur, n° 412589).

1) L’éditeur d’un site internet doit veiller au respect de la légalité de tous les cookies déposés sur son site. 

C’est le premier apport de la décision.

La distinction est, a priori, relativement simple :

• Les cookies déposés sur le site internet par son éditeur ou par un tiers, mais pour le compte de celui-ci, relèvent de la responsabilité de l’éditeur du site internet,
• Les cookies déposés sur le site internet par des tiers relèvent de leur propre responsabilité.

Toutefois, dans sa décision du 6 juin 2018, le Conseil d’Etat a affiné cette distinction, en précisant que les éditeurs autorisant le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement.

Notons que le Conseil d’Etat n’utilise pas la notion de « co-responsable de traitement », abandonnée par la loi Informatique et Libertés, mais qui fait un retour en force avec l’entrée en vigueur du RGPD (règlement général sur la protection des données personnelles).

Le Conseil d’Etat considère que l’éditeur doit, en tout état de cause, s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respecteraient pas la règlementation applicable et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Dans ces conditions, il faut considérer que l’éditeur d’un site internet doit s’assurer du respect de la règlementation applicable de tous les cookies déposés sur son site internet.

2) Le paramétrage du navigateur n’est pas un mode valable d’opposition au dépôt de cookies.

C’est le second apport de la décision.

Les internautes doivent être informés, sur chaque site Internet qu’ils visitent, de la finalité des cookies utilisés et des moyens dont ils disposent pour s’y opposer (en proposant ce que l’on appelle un mécanisme d’opposition).

Le Conseil d’Etat précise que cette obligation de recueillir le consentement s’étend à tous les cookies à l’exception de ceux considérés comme « essentiels au fonctionnement technique du site » ou correspondent à la « fourniture d’une service de communication en ligne à la demande expresse de l’utilisateur ».

Généralement, l’internaute est informé par l’apparition d’un bandeau précisant :

• les finalités précises des cookies utilisés ;
• la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien » en savoir plus et paramétrer les cookies » présent dans le bandeau ;
• le fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal.

Une telle pratique était celle recommandée par la CNIL alors. 

En l’espèce, cette obligation était prétendument remplie par la simple proposition, faite à l’utilisateur, de paramétrer leur navigateur pour s’opposer aux cookies.

La CNIL puis le Conseil d’Etat ont jugé cela insuffisant, considérant que le respect de l’obligation de mise en œuvre de ce mécanisme d’opposition impliquait :

• de différencier clairement les catégories de cookies susceptibles d’être déposées sur l’ordinateur,
• de permettre de s’opposer seulement à ceux dont le dépôt est soumis au consentement préalable,
• de faire connaître les conséquences, en termes de navigation sur le site, attachées à une éventuelle opposition.

Aussi, il refuse de considérer comme valable la simple proposition de modifier le paramétrage de leur navigateur pour s’opposer aux dépôts de cookies.

Pour accéder à la décision du Conseil d’Etat, cliquez ici.

III. La recette de la CJUE en 2018

NB : reprise pour ce III. de mon billet du 10 octobre 2018 :

• Cookies : la recette du Conseil d’Etat versus la recette de la CJUE 

Une société allemande dans le domaine de l’éducation proposait ses services via Facebook avec un classique recueil d’informations par cookies sans mention relative à ce point.

Le régulateur allemand demande donc à la société de désactiver ledit dispositif (une « page fan »), ce que la société contestait.

La CJUE a estimé que la société avait accepté la politique d’utilisation des cookies de Facebook et disposait de pouvoirs de paramétrages qui conduisaient à devoir la considérer — et c’est là le point capital  — comme étant responsable de ce traitement de données au sein de l’Union, conjointement avec Facebook.

D’où le dispositif suivant (qui réglait également quelques autres questions) :

« 1) L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

2) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

3) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.»

Voir : CJUE, 5 juin 2018, n° C-210/16 :

http://curia.europa.eu/juris/document/document.jsf?text=&docid=202543&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=854026

IV. Les nouvelles recettes françaises finalisant la transposition du droit européen (ordonnance 2018-1125 du 12 décembre 2018 ; décret 2019-536 du 29 mai 2019 ; délibération CNIL 2019-093 du 4 juillet 2019)

• Informatique et libertés : grand toilettage au JO de ce matin 

Voir la formulation actuelle de l’article 82 :

• https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=FC3CB2BEA666E78CC5080B51C0AD0E0F.tplgfr25s_3?idArticle=LEGIARTI000037813978&cidTexte=LEGITEXT000006068624&dateTexte=20191023

Puis a été adopté (fin de la transposition de la directive) :

• Décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (NOR: JUSC1911425D)

Tout ceci conduisant la CNIL à adopter une nouvelle délibération prévoyant un consentement net, clair, de l’utilisateur été non une acceptation tacite. Voir en ce sens la :

• Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif) (NOR: CNIL1920776Z)

Avec une phrase claire à l’article 2 :

« les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair. »

La suite de l’article est claire et exigeante sur les conditions de ce consentement.

L’article 4 exclut en l’état de la technique que ce consentement puisse résulter d’un paramétrage du terminal.

Cela dit, diverses règles particulières sont prévues notamment pour les traceurs de mesure d’audience.

V. La CJUE rejette les case pré-cochées par défaut en termes de consentement

Puis la CJUE est intervenue pour estimer que n’est pas un consentement valable en matière de cookies le recours à une case pré-cochée par défaut.

Voir CJUE 1er octobre 2019, aff. C-673/17 :

• http://curia.europa.eu/juris/document/document.jsf?text=&docid=218462&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=6948824

Avec la phrase clef que voici :

« le consentement visé à ces dispositions n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.»

VI. Mais le Conseil d’Etat admet la période de transition commodément (et inconventionnellement ?) préparée par la CNIL

Par un arrêt du 16 octobre 2019 (n°433069), le Conseil d’Etat a estimé légale la décision de la CNIL d’engager une concertation pour définir les nouvelles modalités pratiques d’expression du consentement en matière de publicité ciblée, et de laisser aux acteurs du secteur une période d’adaptation pour s’y conformer de six mois, après phase de concertation…. pour une transposition donc, pleine et entière, de la directive à l’horizon 2020, date estimée comme conforme au droit européen selon les uns, inconventionnelle pour les autres. 

Voir :

• Publicité ciblée sur internet : le Conseil d’État rejette les recours contre le plan d’action de la CNIL