La juridiction administrative suprême estime que le gendarme des données ne peut pas légalement interdire les « cookie walls ».
Dans le dossier des « cookie walls », la Commission nationale de l'informatique et des libertés (CNIL) avait pris la décision, le 4 juillet 2019, d'interdire la pratique consistant à bloquer l'accès à un site web en cas de refus du dépôt de cookies de la part des utilisateurs. Attaquée par plusieurs organisations professionnelles, la délibération a été contredite par le Conseil d'État, le 19 juin 2020.
La CNIL coupable d'un « excès de pouvoir » avec l'interdiction des « cookie walls »
Le 4 juillet dernier, la CNIL publiait une délibération par laquelle elle établissait des lignes de directrices concernant les cookies et autres traceurs, pour conformer les règles et pratiques à adopter après l'entrée en vigueur du RGPD, en 2018, et ainsi matérialiser la protection juridique dont les internautes pouvaient bénéficier en matière de cookies.
Sauf que cette décision du 4 juillet avaient entraîné un recours en annulation auprès du Conseil d'État de la Fédération du e-commerce et de la vente à distance (FEVAD) et d’autres organisations professionnelles.
Le Conseil d'État a adressé sa réponse à la CNIL et aux parties requérantes dans une décision rendue le 19 juin 2020. La plus haute juridiction administration française a longuement commenté l'interdiction des « cookie walls », point central du recours. Pour elle, la CNIL, en estimant que l'accès à un site internet ne pouvait pas être subordonné à l'acceptation de cookies, s'est livrée à ce que l'on appelle un « excès de pouvoir » dans le jargon juridico-administratif.
En d'autres termes, en énonçant l'interdiction de la pratique des « cookie walls », la Commission est allée au-delà de ce qui lui est légalement possible de faire, dans le cadre des lignes directrices qu'elle a adoptées, qui restent un instrument dit de « droit souple ». Un acte de droit souple ne pouvant pas créer de droit ni d'obligation juridique, la délibération de la CNIL ne pouvait pas constituer une interdiction générale et absolue.
Le Conseil d'État valide la possibilité de pouvoir retirer son consentement aussi vite qu'on a pu le donner
Pour motiver ses lignes directrices, la CNIL avait fait le choix de suivre la doctrine du Comité européen de protection des données personnelles (CEPD), connu pour réunir toutes les CNIL européennes. Celui-ci avait récemment affirmé que pour que le consentement soit donné librement, « l'accès aux services et fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage d'informations, ou à l'accès à des informations déjà stockées, dans l'équipement terminal d'un utilisateur ».
La Commission nationale de l'informatique et des libertés a annoncé, dans un communiqué de presse, prendre acte de la décision, à laquelle elle se « conformera strictement ».
Au-delà de cette mesure symbolique qui n'a pas convaincu le Conseil d'État, le juge administratif a validé la plupart des recommandations contenues dans les lignes directrices de la CNIL, comme la possibilité pour l'utilisateur de pouvoir retirer son consentement aussi facilement qu'il a pu le donner, où le fait que l'utilisateur puisse livrer son consentement de façon indépendante, pour chacune des finalités.
Source : Décision du Conseil d'État
Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)
Lire d'autres articles
