Le Conseil d’État a annulé partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion dans une décision du 19 juin 2020 [1].
Le 4 juillet 2019, dans le cadre de son plan d’action sur le ciblage publicitaire, la Cnil avait adopté des lignes directrices sur les cookies et autres traceurs pour préciser les règles applicables et les bonnes pratiques en la matière depuis l’entrée en application du RGPD.
Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices, en particulier les dispositions relatives au recueil du consentement des internautes aux cookies et autres traceurs.
Il a cependant annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls ». Le Conseil d’Etat juge qu’une telle interdiction ne peut figurer dans un acte de droit souple.
Dans un communiqué publié le jour même [2], la Cnil prend acte de cette décision et annonce ajuster en conséquence ses lignes directrices et sa future recommandation pour s’y conformer, en ces termes :
Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptées par la Cnil le 4 juillet 2019 [3]. Ces lignes directrices avaient pour objet de préciser la protection juridique renforcée bénéficiant aux internautes en matière de cookies depuis l’entrée en vigueur du RGPD. En revanche, le Conseil d’État a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple ».
Focus « cookies wall »
Les diverses associations professionnelles qui ont saisi le Conseil d’État contestaient en particulier l’interdiction de la pratique des « cookie walls ». Cette pratique des éditeurs de sites consiste à bloquer l’accès à un site internet en cas de refus des cookies et autres traceurs de connexion.
Bien qu’ayant suivi la doctrine du Comité européen de protection des données personnelle [4] en estimant que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies, la Cnil ne pouvait légalement les interdire.
Le Conseil d’Etat a quant à lui, considéré qu’en déduisant cette interdiction générale du RGPD, l’autorité de contrôle était allée au-delà de ce qu’il était légalement possible de faire.
Sans se prononcer sur le fond de la question, le Conseil d’État considère que la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue [5].
Emmanuel Walle
Lexing Droit social numérique
Isabelle Pottier
Lexing Département Etudes et publications
[1] CE 10e-9e ch réunies n°434684, 19 06 2020, Association des agences conseils en communication et autres.
[2] Cnil, « Cookies et autres traceurs : le Conseil d’État rend sa décision sur les lignes directrices de la Cnil », 19 juin 2020.
[3] Cnil, « Cookies et autres traceurs : la Cnil publie de nouvelles lignes directrices », 18 juillet 2019.
[4] CEPD, Lignes directrices 05/2020 sur le consentement en vertu du règlement 2016/679 (EN).
[5] Communiqué du Conseil d’Etat du 19 juin 2020.