Cookies et traceurs : un nouveau cadre de référence exigeant - Les exigences applicables au consentement (2e partie)

(1) CNIL, délib. no 2020-091 du 17 sept. 2020 portant adoption de lignes directrices relatives à l'application de l'art. 82 de la loi du 6 janv. 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délib. no 2019-093 du 4 juill. 2019.

(2) CNIL, délib. no 2020-092 du 17 sept. 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».

(3) Légipresse 2020. 661.

(4) « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;2° Des moyens dont il dispose pour s'y opposer.Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ».

(5) Dir. 2020/58/CE du 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) telle que modifiée par la dir. 2009/136/CE du 25 nov. 2009 modifiant la dir. 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la dir. 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règl. (CE) 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.

(6) Pour plus de précisions sur ce contexte, le plan d'action de la CNIL et la portée des délibérations adoptées par la CNIL présentement commentées, v. la 1re partie du présent article dans Légipresse 2020. 661.

(7) CNIL, délib. no 2020-091 du 17 sept. 2020, préc.

(8) CNIL, délib. no 2020-092 du 17 sept. 2020, préc.

(9) CNIL, Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation, 1er oct. 2020, https://bit.ly/3iqfBqt.

(10) La question de l’identification du ou des responsables des traitements au sens du RGPD n’est pas traitée dans le cadre de la présente étude.

(11) G29, Avis 04/2012 sur les cookies exemptés de consentement, 7 juin 2012 (WP 194).

(12) G29, Opinion 03/2016 on the evaluation and review of the ePrivacy Directive (2002/58/EC), 19 juill. 2016 (WP 240).

(13) Lignes directrices, version du 4 juill. 2019 : Délib. no 2019-093 du 4 juill. 2019 portant adoption de lignes directrices relatives à l'application de l'art. 82 de la loi du 6 janv. 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif).

(14) CE, 10e et 9e ch. réun., 19 juin 2020, no 434684, Légipresse 2020. 343 et les obs. ; ibid. 495, étude P. Alix ; Lebon ; AJDA 2020. 1264.

(15) Concl. du rapporteur public M. A. Lallet dans l'affaire préc., https://bit.ly/3qy61oq : « On peut en effet sérieusement s'interroger, à rebours de la requête, sur le point de savoir si de tels traceurs [ndlr : traceurs de mesures d'audience] peuvent relever de l'une ou l'autre des deux dérogations à la règle du consentement prévues à l'article 82 de la loi de 1978 – autrement dit, être nécessaires au fonctionnement du site ou strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur. Dans un avis de 2012, réitéré en 2016, le G29 considérait que ces cookies dits d'« analytique » ne relevaient en tant que tel d'aucune des deux dérogations admises par la directive et plaidaient, en vain à ce stade, pour l'ajout d'une exemption sur mesure dans la directive ePrivacy. On peut à la limite l'admettre dans le cas, évoqué par les lignes directrices, des statistiques de fréquentation et des tests de mesures de performance qui permettent aux éditeurs de détecter des problèmes de navigation dans leur site ou leur application. C'est nettement plus douteux lorsqu'il s'agit seulement, comme l'envisage aussi le document, d'optimiser l'agencement ou les contenus du site ».

(16) Concl. préc. : « L'article 82 évoque les cookies ayant pour finalité de permettre ou de “faciliter” la communication électronique. Mais il convient de neutraliser ou, à tout le moins, de donner une interprétation très stricte à cette notion de “facilitation”, reprise de la version initiale de la directive ePrivacy et supprimée par la directive de 2009 (à l'initiative du Parlement européen) afin de limiter la dispense de recueil du consentement aux cookies “visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques”. L'ordonnance de 2011 a omis d'aligner la rédaction sur celle de la directive modifiée ».

(17) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », 26 oct. 2020, https://bit.ly/3c51sht.

(18) V. not., N. Metallinos, Cookies et autres traceurs - La CNIL amende son cadre de référence sur les cookies : les acteurs de la publicité ciblée vont devoir se résoudre au « hard opt-in », CCE déc. 2020. Comm. 93.

(19) G29, Avis 04/2012, préc.

(20) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », 26 oct. 2020, préc. : « la CNIL considère que les traitements de mesure d'audience qui utilisent des cookies exemptés restent soumis au RGPD et donc à un droit d'opposition ».

(21) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », 26 oct. 2020, préc.

(22) Ibid.

(23) V. en ce sens, CNIL, Délib. no 2020-091 du 17 sept. 2020 portant adoption de lignes directrices relatives à l'application de l'art. 82 de la loi du 6 janv. 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délib. no 2019-093 du 4 juill. 2019.

(24) CJUE, gr. ch., 1er oct. 2019, aff. C-673/17, Bundesverband der Verbraucher-zentralen und Verbraucherverbände – VerbraucherzentraleBundesverband eV c/ Planet49 GmbH, Légipresse 2019. 524 et les obs. ; ibid. 694, étude C. Thiérache et A. Gautron ; D. 2019. 1884 ; ibid. 2128, entretien J.-L. Sauron ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 586, chron. C. Crichton ; ibid. 2020. 189, obs. F. Coupez et G. Péronne ; RTD eur. 2020. 320, obs. F. Benoît-Rohmer.

(25) CE, 10e et 9e ch. réun., 19 juin 2020, préc. V. égal. en ce sens Groupe de travail « Article 29 » (devenu le CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, adoptées le 28 nov. 2017, Version révisée et adoptée le 4 mai 2020, qui applique les exigences du consentement découlant du RGPD et explicitées dans ces lignes directrices à l'utilisation de cookies et traceurs.

(26) V. en ce sens le consid. 32 du RGPD ; Groupe de travail « Article 29 » (devenu le CEPD), Lignes directrices sur le consentement au sens du règlement 2016/679, adoptées le 28 nov. 2017, Version révisée et adoptée le 4 mai 2020 ; Groupe de travail « Article 29 » (devenu le CEPD), Avis 15/2011 sur la notion du consentement, adopté le 13 juill. 2011.

(27) CJUE, gr. ch., 1er oct. 2019, aff. C-673/17, préc. V. aussi CJUE, 2e ch., 11 nov. 2020, aff. C-61/19, Orange România SA c/ Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), Légipresse 2020. 585 et les obs. ; D. 2020. 2236.

(28) V. not. G29 (devenu le CEPD), Avis 15/2011 sur la notion du consentement, adopté le 13 juill. 2011.

(29) CNIL, Délib. no 2013-378 du 5 déc. 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'art. 32-II de la loi du 6 janv. 1978.

(30) G29 (devenu le CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, adoptées le 28 nov. 2017, Version révisée et adoptée le 4 mai 2020, pt 84.

(31) Sur le sujet des « dark patterns » et une analyse pluridisciplinaire, v. C. M. Gray, C. Santos, N. Bielova, M. Toth et D. Clifford, “Dark Patterns and the Legal Requirements of Consent Banners : An Interaction Criticism Perspective”, https://bit.ly/38Yizzk.

(32) G29 (devenu le CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, adoptées le 28 nov. 2017, Version révisée et adoptée le 4 mai 2020.

(33) Consid. 42 du RGPD.

(34) Consid. 43 du RGPD.

(35) CNIL, recommandation 2013, art. 2.

(36) V. en effet G29, Opinion 03/2016 on the evaluation and review of the ePrivacy Directive (2002/58/EC), 19 juill. 2016 (WP 240). V. aussi, G29 (devenu le CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, adoptées le 28 nov. 2017, Version révisée et adoptée le 4 mai 2020.

(37) CE, 10e et 9e ch. réun., 19 juin 2020, no 434684, préc..

(38) Conclusions du rapporteur public A. Lallet, préc.

(39) V. la recommandation : « Par exemple, au stade du premier niveau d'information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », « autoriser » et « interdire », ou « consentir » et « ne pas consentir », ou toute autre formulation équivalente et suffisamment claire. La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l'utilisateur d'exprimer son refus aussi facilement que son consentement ».

(40) Mais moins granulaire et moins « technique » que celle du TCF V2 de l'IAB : v. 1re partie de l'étude. À cet égard, il n'est pas certain que la CNIL considère que la granularité et la formulation des descriptions des finalités prévues par l'IAB pour le TCF V2 répondent aux exigences de clarté de la CNIL.

(41) GESTE, « Session Q&R avec la CNIL sur les nouvelles lignes directrices & recommandations cookies », 26 oct. 2020 : préc.

(42) Consid. 32 du RGPD : « Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles ».

(43) CE, 10e et 9e ch. réun., 19 juin 2020, n° 434684, préc.

(44) CE 6 juin 2018, n° 412589, Éditions Croque Futur, Légipresse 2018. 491, nos obs. ; Lebon ; AJDA 2018. 1194 ; D. 2018. 2270, obs. J. Larrieu, C. Le Stanc et P. Tréfigny.

(45) G29 (devenu le CEPD), Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, adoptées le 28 nov. 2017.

(46) GESTE, préc.