Cookies et traceurs : un nouveau cadre de référence exigeant - Champ d'application et information des personnes concernées (1re partie)

(1) CNIL, délib. no 2020-091 du 17 sept. 2020 portant adoption de lignes directrices relatives à l'application de l'art. 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délib. no 2019-093 du 4 juill. 2019.

(2) CNIL, délib. no 2020-092 du 17 sept. 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».

(3) « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;2° Des moyens dont il dispose pour s'y opposer.Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. »

(4) « Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la dir. 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. »

(5) Dir. no 2002/58/CE du 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) telle que modifiée par la dir. 2009/136/CE du 25 nov. 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la dir. 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règl. (CE) 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs.

(6) Dans la version anglaise de la directive, c'est le terme « consent » qui est utilisé.

(7) Groupe de travail « Article 29 » (devenu CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, adoptées le 28 nov. 2017, version révisée et adoptée le 10 avr. 2018. V. aussi CJUE, gr. ch., 1er oct. 2019, aff. C-673/17, Bundesverband der Verbraucher-zentralen und Verbraucherverbände – VerbraucherzentraleBundesverband eV c/ Planet49 GmbH, pts 57, 58 et 61, Légipresse 2019. 524 et les obs. ; ibid. 694, étude C. Thiérache et A. Gautron ; D. 2019. 1884 ; ibid. 2128, entretien J.-L. Sauron ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 586, chron. C. Crichton ; ibid. 2020. 189, obs. F. Coupez et G. Péronne ; RTD eur. 2020. 320, obs. F. Benoît-Rohmer  ; CE, 10e et 9e ch. réun., 19 juin 2020, no 434684, Légipresse 2020. 343 et les obs. ; ibid. 495, étude P. Alix ; Lebon ; AJDA 2020. 1264.

(8) CNIL, délib. no 2013-378 du 5 déc. 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32, II de la loi du 6 janvier 1978.

(9) RGPD, art. 4.11 : « [On entend par] “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

(10) Groupe de travail « Article 29 » (devenu le CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, préc. Confirmées en mai 2020 : CEPD, Lignes directrices 05/2020 sur le consentement au sens du règl. (UE) 2016/679, 4 mai 2020, v. 1.1, pt 39 : « La simple poursuite de l'utilisation ordinaire d'un site Internet n'est […] pas un comportement qui permet de supposer une manifestation de volonté de la part de la personne concernée visant à donner son accord à une opération de traitement envisagé ». V. égal. CEPD, Déclaration du 25 mai 2018 sur la révision de la directive « vie privée et communications électroniques » et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques, p. 3.

(11) V. not. G29, avis 15/2011 sur la définition du consentement, 13 juill. 2011.

(12) Ce plan d'action en plusieurs étapes instaurant notamment un moratoire sur l'application des nouvelles exigences du consentement a fait l'objet d'un recours de la Quadrature du Net et Caliopen qui reprochaient à la CNIL d'avoir outrepassé ses pouvoirs en décidant de ne pas appliquer immédiatement les règles du droit positif dans le cadre de son pouvoir de sanction. Le Conseil d'État a jugé que ce moratoire pouvait être décidé par la CNIL, dans les conditions qu'elle avait fixées, CE, 10e et 9e ch. réun., 16 oct. 2019, no 433069, Assoc. La Quadrature du Net et Caliopen c/ CNIL, Légipresse 2019. 588 et les obs. ; ibid. 694, étude C. Thiérache et A. Gautron ; Lebon avec les concl. ; D. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 586, chron. C. Crichton ; ibid. 2020. 189, obs. F. Coupez et G. Péronne ; RFDA 2019. 1075, concl. A. Lallet .

(13) CNIL, délib. no 2019-093 du 4 juill. 2019 portant adoption de lignes directrices relatives à l'application de l'art. 82 de la loi du 6 janv. 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif).

(14) CE, 10e et 9e ch. réun., 19 juin 2020, no 434684, préc.

(15) CNIL, Projet de recommandation sur les modalités pratiques de recueil du consentement prévu par l'art. 82 de la loi du 6 janv. 1978 modifiée, concernant les opérations d'accès ou d'inscription d'informations dans le terminal d'un utilisateur (recommandation « cookies et autres traceurs »), 14 janv. 2020.

(16) CNIL, Synthèse des contributions à la consultation publique sur le projet de recommandation « cookies et autres traceurs ».

(17) CNIL, « Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation », 1er oct. 2020.

(18) CNIL, délib. de la formation restreinte no SAN-2020-012 du 7 déc. 2020 concernant les sociétés Google LLC et Google Ireland Limited ; délibération de la formation restreinte no SAN-2020-013 du 7 déc. 2020 concernant la société Amazon Europe Core.

(19) CNIL, Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation, préc. : « Les lignes directrices de la CNIL sur les cookies et autres traceurs visent à rappeler le droit applicable aux opérations de lecture ou d'écriture dans le terminal (smartphone, ordinateur, tablette, etc.) d'un internaute ».

(20) CNIL, Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation, préc.

(21) Lignes directrices, pt 9.

(22) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », 26 oct. 2020.

(23) Ibid.

(24) IAB : Interactive Advertising Bureau, association professionnelle dans le secteur de la publicité en ligne.

(25) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », préc.

(26) Comme l'a relevé le Conseil d'État, CE, 10e et 9e ch. réun., 19 juin 2020, no 434684, préc.

(27) N. Metallinos, Cookies et autres traceurs – La CNIL amende son cadre de référence sur les cookies : les acteurs de la publicité ciblée vont devoir se résoudre au “hard opt-in”, CCE déc. 2020. Comm. 93. V. aussi, N. Metallinos, CCE sept. 2020. Comm. 66, note sous CE 19 juin 2020, no 434684, préc.

(28) CJUE 29 juill. 2019, aff. C-40/17, Fashion ID GmbH& Co.KG c/ Verbraucherzentrale NRWeV, Légipresse 2019. 448 et les obs. ; ibid. 613, obs. E. Drouard et J. Beaufour ; D. 2019. 1604 ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Dalloz IP/IT 2020. 126, obs. T. Douville ; RTD eur. 2020. 319, obs. F. Benoît-Rohmer.

(29) CE 6 juin 2018, no 412589, Croque Futur, Lebon ; Légipresse 2018. 491, obs. L. Dubois et F. Gaullier ; AJDA 2018. 1194 ; D. 2018. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny .

(30) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », préc.

(31) Délib. de la formation restreinte no SAN-2020-013 du 7 déc. 2020, préc.

(32) Délib. de la formation restreinte no SAN-2020-012 du 7 déc. 2020, préc.

(33) Ex. : stocker et/ou accéder à des informations sur un terminal, sélectionner des publicités standards, créer un profil personnalisé de publicités, sélectionner des publicités personnalisées, créer un profil pour afficher un contenu personnalisé, sélectionner du contenu personnalisé, mesurer la performance des publicités, mesurer la performance du contenu, développer et améliorer les produits, exploiter des études de marché afin de générer des données d'audience.

(34) En attendant une éventuelle évolution sur ce point dans le cadre du futur règlement ePrivacy.

(35) CJUE 1er oct. 2019, aff. C-673/17, préc.

(36) Loi informatique et libertés, art. 82. V. égal. sur ces cookies exemptés de consentement, l'avis 04/2012 du G29 en date du 7 juin 2012 et l'art. 5 des lignes directrices de la CNIL précitées.