"Cookie walls" : le Conseil d'État bloque l'interdiction prononcée par la CNIL

23 juin 2020 à 17h27
19
cookie-ordinateur.jpg © Pixabay
© Pixabay

La juridiction administrative suprême estime que le gendarme des données ne peut pas légalement interdire les « cookie walls ».

Dans le dossier des « cookie walls », la Commission nationale de l'informatique et des libertés (CNIL) avait pris la décision, le 4 juillet 2019, d'interdire la pratique consistant à bloquer l'accès à un site web en cas de refus du dépôt de cookies de la part des utilisateurs. Attaquée par plusieurs organisations professionnelles, la délibération a été contredite par le Conseil d'État, le 19 juin 2020.

La CNIL coupable d'un « excès de pouvoir » avec l'interdiction des « cookie walls »

Le 4 juillet dernier, la CNIL publiait une délibération par laquelle elle établissait des lignes de directrices concernant les cookies et autres traceurs, pour conformer les règles et pratiques à adopter après l'entrée en vigueur du RGPD, en 2018, et ainsi matérialiser la protection juridique dont les internautes pouvaient bénéficier en matière de cookies.

Sauf que cette décision du 4 juillet avaient entraîné un recours en annulation auprès du Conseil d'État de la Fédération du e-commerce et de la vente à distance (FEVAD) et d’autres organisations professionnelles.

Le Conseil d'État a adressé sa réponse à la CNIL et aux parties requérantes dans une décision rendue le 19 juin 2020. La plus haute juridiction administration française a longuement commenté l'interdiction des « cookie walls », point central du recours. Pour elle, la CNIL, en estimant que l'accès à un site internet ne pouvait pas être subordonné à l'acceptation de cookies, s'est livrée à ce que l'on appelle un « excès de pouvoir » dans le jargon juridico-administratif.

En d'autres termes, en énonçant l'interdiction de la pratique des « cookie walls », la Commission est allée au-delà de ce qui lui est légalement possible de faire, dans le cadre des lignes directrices qu'elle a adoptées, qui restent un instrument dit de « droit souple ». Un acte de droit souple ne pouvant pas créer de droit ni d'obligation juridique, la délibération de la CNIL ne pouvait pas constituer une interdiction générale et absolue.

Le Conseil d'État valide la possibilité de pouvoir retirer son consentement aussi vite qu'on a pu le donner

Pour motiver ses lignes directrices, la CNIL avait fait le choix de suivre la doctrine du Comité européen de protection des données personnelles (CEPD), connu pour réunir toutes les CNIL européennes. Celui-ci avait récemment affirmé que pour que le consentement soit donné librement, « l'accès aux services et fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage d'informations, ou à l'accès à des informations déjà stockées, dans l'équipement terminal d'un utilisateur ».

La Commission nationale de l'informatique et des libertés a annoncé, dans un communiqué de presse, prendre acte de la décision, à laquelle elle se « conformera strictement ».

Au-delà de cette mesure symbolique qui n'a pas convaincu le Conseil d'État, le juge administratif a validé la plupart des recommandations contenues dans les lignes directrices de la CNIL, comme la possibilité pour l'utilisateur de pouvoir retirer son consentement aussi facilement qu'il a pu le donner, où le fait que l'utilisateur puisse livrer son consentement de façon indépendante, pour chacune des finalités.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
19
10
PsykotropyK
Les cookies walls… Vous connaissez sur Clubic. D’ailleur le votre est particulièrement chiant (pas d’autre mot).<br /> Comme je fais parti des gens qui refusent d’accorder le consentement, votre site me demande chaque jour de reconfirmer mon choix. C’est à dire qu’à chaque connexion vous me proposer de valider tous les cookies ou de paramétrer. Je dois chaque jours recliquer sur les paramètres et redire que je les refuse tous… Bref, vous êtes chiant.
loracle
Pas que sur Clubic, d’ailleurs je trouve que c’est plus discret içi, c’est tout les sites sans exemption qui nous gonflent avec leur validation, c’est vraiment chiant, et ça commence à devenir un point noir lors de la navigation, genre l’administration et la justice qui s’incrustent dans une activité récréative.<br /> NB: meme l’image de l’article a buggé pour dire.
PsykotropyK
Personnellement il n’y a que Clubic où tous les jours je dois revalider. Tous les autres sites prennent en compte le fait que j’ai refusé déjà une première fois les cookies.
manu_XP
la CNIL nous les brisent déjà à la tv et voilà qu’ils viennent s’occuper d’internet. Ras le bol.
Batc
D’après le délibéré, il en ressort que le Conseil d’État annule des décisions prises par la CNIL ( Autorité compétente en la matière) et outrepasse les droits et directives de Commission Européenne en matière de collecte de données (CEPD). Le cookies-wall dont on parle ici, n’est tout simplement pas conforme à la RGPD.<br /> Extrait du délibéré :<br /> «&nbsp;D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ».&nbsp;»<br /> Le problème de ce genre de décision c’est qu’elle est prise par des conseillers d’État dont l’âge est au minimum de 45 ans. Je ne suis pas sûr du bon niveau de compréhension et d’analyse de cesdits conseillers, sans vouloir les offenser… Mais le plus inquiétant, c’est que l’on s’assoie sur les libertés fondamentales des internautes (l’accès aux sites, à l’information) au profil des cotisants à l’Association des agences de conseil en communication.<br /> Et je rejoins @PsykotropyK sur l’utilisation abusive de ces cookies sur Clubic, comme sur la quasi voir la totalité des sites spécialisés tech. Je comprends que ça peut être énervant pour certains…
loracle
Pour moi c’est le contraire qui se passe, d’ailleurs, si on efface le cache du navigateur souvent, on est obligé de refaire la manœuvre.
PsykotropyK
manu_XP:<br /> la CNIL nous les brisent déjà à la tv et voilà qu’ils viennent s’occuper d’internet. Ras le bol.<br /> La CNIL et la TV? T’es sûr que tu ne confond pas avec le CSA?
Nmut
D’un autre coté, comment Clubic saurait que tu as refusé les cookies sans cookie pour stocker ta décision? <br /> Ne serait-ce pas une preuve qu’ils respectent ta décision…<br /> Bon, après, pour Clubic j’accepte les cookies et je ne navigue pas en privé mais il me redemande régulièrement! :-/
BenDo_Jr
C’est donc que le site est en conformité avec le RGPD vu que l’information d’acceptation des cookies est stockée elle-même dans un cookie… Et pour raison de sécurité les sessions ne sont pas éternelles.<br /> Ajoutez à ça l’usage de plus en plus large des modes confidentiels des navigateurs.
BenDo_Jr
La réglementation impose de redemander régulièrement son consentement explicite à l’utilisateur
Nmut
Intéressant. Et quelle est la périodicité?<br /> Il faut vraiment que je lise le RGPD! Pas encore eu le temps… :-/
Styxou
Tu n’as qu’à installer l’extension «&nbsp;i don’t care about cookies&nbsp;» pour Firefox ou un autre navigateur. A combiner éventuellement avec Cookie AutoDelete (plus long à configurer).
Blap
Non encore une fois la RGPD nest PAS une loi qui concerne les cookies !<br /> Tu peux refuser les cookies lié au RGPD et le site doit placer un cookie (ou autre) pour arrêter de demander a la personne a chaque fois. Ce n’est pas contraire a la loi.<br /> Par contre demander a l’utilisateur plus de clics pour refuser les cookies que les accepter, ca c’est illegal.<br /> @Nmut
PsykotropyK
Nmut:<br /> D’un autre coté, comment Clubic saurait que tu as refusé les cookies sans cookie pour stocker ta décision?<br /> BenDo_Jr:<br /> C’est donc que le site est en conformité avec le RGPD vu que l’information d’acceptation des cookies est stockée elle-même dans un cookie…<br /> Si vous avez totalement raison techniquement, rien n’interdit d’avoir un cookie de fonctionnement non désactivable dédié à ça. En ne le faisant pas Clubic joue sur le fait qu’au bout d’un moment l’utilisateur en aura marre et validera les cookies par dépit.<br /> Blap:<br /> Tu peux refuser les cookies lié au RGPD et le site doit placer un cookie (ou autre) pour arrêter de demander a la personne a chaque fois. Ce n’est pas contraire a la loi.<br /> Voila
manu_XP
Ah oui mince. Désolé.
PsykotropyK
manu_XP:<br /> Ah oui mince. Désolé.<br /> Du coup, ils te les brisent toujours autant
BenDo_Jr
Le problème c’est que la loi est complexe surtout qu’elle est de niveau européen, la CNIL s’occupe de sa bonne application, il y a déjà une première interprétation (problème récurent de traduction de «&nbsp;should&nbsp;» en «&nbsp;doit&nbsp;»… même problème dans d’autres domaines)<br /> Après la plupart des entreprises préfèrent faire du zèle au niveau conformité pour éviter les manquements
PsykotropyK
BenDo_Jr:<br /> Le problème c’est que la loi est complexe surtout qu’elle est de niveau européen, la CNIL s’occupe de sa bonne application, il y a déjà une première interprétation (problème récurent de traduction de « should » en « doit »… même problème dans d’autres domaines)<br /> Il n’existe pas de problèmes de traduction des règlements et directives européens, ces derniers sont traduits dans toutes les langues de l’Europe.<br /> De plus, s’agissant d’un règlement et non pas d’une directive, l’application est automatique et intégrale dans tous les états membres (contrairement donc aux directives qui nécessitent une transposition en droit local, source généralement d’interprétations multiples)<br /> Par contre, oui la loi est complexe, et comme toutes les lois, pas exempt de biais d’arbitrage
Black_Scorpion
Et sinon le Localstorage même combat ?
Voir tous les messages sur le forum

Actualités du moment

Honor X10 Max : une fuite dévoile la fiche technique du smartphone
Crash Bandicoot 4 est annoncé, déjà en précommande et uniquement sur consoles
OnePlus Z : la marque confirme un smartphone abordable mais pas forcément sous ce nom
Twitter dit adieu à Internet Explorer 11 et fait le point sur ses nouvelles fonctionnalités
L’Oppo A72 débarque officiellement en France
Apple Plans s'enrichit des points de charge pour véhicules électriques
CyberPunk 2077 : une adaptation en comics dès septembre, avec Dark Horse
WWDC 2020 : quid des AirPods ?
Windows 10 ARM pour smartphone n'est pas mort. Mieux, il évolue encore !
Une pétition circule chez Google pour que le géant stoppe ses contrats avec la police
Haut de page