Consentement en matière de cookies : le CEPD clarifie sa position dans des nouvelles lignes directrices

Bien que fortement sollicité dans le contexte de la pandémie de covid-19, notamment s’agissant des projets d’application mobile de contact tracing, le Comité européen de la protection des données (CEPD) n’en délaisse pas pour autant les autres chantiers de travail en cours.

En témoigne l’adoption de ces lignes directrices 05/2020 sur le consentement, lesquelles constituent une version légèrement modifiée de celles adoptées le 10 avril 2018 (WP259) et répondent à un besoin de clarification à l’égard d’un sujet d’une importance cruciale pour les éditeurs et fournisseurs de contenu en ligne : le consentement de l’internaute au dépôt de cookies.

Deux aspects en particulier ont retenu l’attention du CEPD, à savoir la validité de ce consentement d’une part en présence d’un « mur de cookies », et d’autre part lors de la poursuite de la navigation.

Outre le CEPD (I), certaines autorités nationales se sont déjà prononcées sur ces pratiques courantes mais néanmoins contestées, à l’instar de la CNIL (II), alors que le texte du règlement e-Privacy est toujours en cours de discussion (III).

I - La réaffirmation par le CEPD des exigences liées au consentement en matière de cookies

Cette version révisée des lignes directrices ne matérialise pas un changement de paradigme de la part du CEPD en matière de cookies, mais a uniquement vocation à expliciter une position d’ores et déjà adoptée dans le cadre des précédentes lignes directrices de 2018 quant à l’exigence d’un véritable consentement, entre autres libre et univoque.

En premier lieu, s’agissant des « murs de cookies »¹, à savoir ces bandeaux qui bloquent l’accès de l’internaute au service souhaité sauf consentement global à tous les cookies, y compris ceux à vocation publicitaire, le CEPD affirme que « pour que le consentement soit donné librement, l’accès aux services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur au dépôt de traceurs, ou à l’accès à des traceurs déjà enregistrés, dans le terminal de l’utilisateur »², conformément à ce qu’il avait déjà évoqué dans le cadre d’une « Déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques » publiée le 25 mai 2018.

Ainsi, faire dépendre l’accès à un site au fait de cliquer sur un bouton « Accepter les cookies » ne saurait être toléré en ce qu’il ne présente aucune option à l’internaute, contraint d’accepter s’il souhaite poursuivre sa navigation. Rappelons à cet égard que l’article 7.4 du RGPD veille à ce que « la finalité du traitement de données à caractère personnel ne soit pas associée (…) à la fourniture d’un contrat ou d’un service pour lequel ces données à caractère personnel ne sont pas nécessaires »³. En d’autres termes, conditionner la fourniture d’un service à une collecte de données non indispensable à celle-ci fait obstacle au recueil d’un consentement libre.

En second lieu, le CEPD maintient son refus d’assimiler toute action de défilement ou de poursuite de la navigation à une manifestation de volonté claire univoque de l’utilisateur, permettant l’enregistrement de cookies sur son terminal, notamment car il serait alors difficile, dans ce cas, de permettre à l’internaute de retirer son consentement aussi facilement qu’il l’a accordé.

La doctrine du CEPD, désormais explicitée, demeure toutefois inchangée et va immanquablement contraindre tous les éditeurs et fournisseurs de contenu, dont le business model repose très largement sur la publicité personnalisée via une collecte massive de cookies non fonctionnels, à repenser leurs pratiques, sous peine de s’exposer à des sanctions pécuniaires sévères. Dès lors, une remise en cause de la gratuité de services aujourd’hui financés par les revenus de la publicité ciblée (réseaux sociaux, messageries, etc.) semble à moyen terme inévitable. 

II - Des positions discordantes des états membres de l’Union

La CNIL avait adopté le 4 juillet 2019 des lignes directrices au sein desquelles elle a prohibé strictement toute utilisation de cookies (traceurs) « tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ».

S’agissant des deux pratiques évoquées ci-avant, les analyses de la CNIL et du CEPD se révèlent en tous points identiques :

• d’une part, « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD »⁴ ; et
•  d’autre part, « le fait de continuer à naviguer sur un site web ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives assimilables à un consentement valable »⁵. Sur ce point, la position de l’autorité française est diamétralement opposée à celle retenue dans sa délibération de 2013⁶, alors même que les exigences liées au recueil du consentement ont peu évolué depuis l’adoption de la directive 95/46/CE, contrairement à certaines idées reçues.

La CNIL a pris soin d’élaborer un guide à destination des professionnels du secteur pour les accompagner dans la modification de leurs pratiques en la matière, et plus généralement sur la délicate question de la transformation de la stratégie publicitaire à long terme.  

La version finale de ces recommandations, nourrie par les contributions des acteurs du marché soumises à l’autorité de régulation (par exemple, celle du GESTE dans laquelle le groupement des éditeurs et service de contenus en ligne s’oppose au bouton « Refuser tous les cookies » et plaide pour une exemption de consentement pour certains cookies)⁷ et initialement envisagée pour début avril 2020, sera rendue publique ultérieurement en raison de la crise sanitaire en cours.

La date de publication de la mouture définitive constituera théoriquement le point de départ d’un délai de six mois accordé aux éditeurs de sites pour se mettre en conformité, un calendrier d’entrée en vigueur validé par le Conseil d’État⁸ mais néanmoins toujours susceptible d’évolution.  

Concernant d’autres États membres, la Belgique et l’Irlande⁹ sont exactement dans la lignée du CEPD et de la France.

En revanche, l’Espagne a opté, dans un guide publié en novembre 2019, pour une position plus libérale, estimant que le consentement n’est pas requis pour certains cookies non fonctionnels, et que l’accès à une autre section du site ou le défilement de la page peut caractériser une manifestation de volonté claire de la part de l’internaute valant acceptation au dépôt et à la collecte de cookies.

 III - Un flou persistant autour du traitement des cookies dans le projet de règlement européen ePrivacy

Au-delà de ces deux seules questions approfondies par le CEPD, l’enjeu du traitement des cookies par les éditeurs et fournisseurs de contenu notamment publicitaires, pivot de l’économie numérique, est au cœur du projet européen de règlement ePrivacy, alors que les discussions relatives à ce texte cheminent laborieusement après des mois de tractations et de tentatives avortées.

La dernière version proposée par la présidence croate le 21 février 2020 pose en son article 8 le principe d’une interdiction du dépôt et du suivi de cookies sur le terminal de l’utilisateur final sauf exceptions limitativement énumérées, dont :

• le consentement obtenu auprès de la personne concernée ; ou
• la poursuite de l’intérêt légitime poursuivi par le fournisseur de service, dès lors que les intérêts ou droits et libertés fondamentaux de l’individu ne font pas obstacle à un tel traitement de données et sous condition de ne partager les informations collectées avec aucune tierce partie.

Si la Croatie a semblé ouvrir une alternative au consentement, favorable aux éditeurs et fournisseurs de contenu, le considérant 21b de ce projet proposait toutefois une lecture restrictive de l’intérêt légitime.

Tandis que la poursuite d’une relation client existante, la prévention de la fraude, la correction de bugs de sécurité ou encore la fourniture d’un service garantissant l’exercice de la liberté d’expression (« provided these services safeguard the freedom of expression or information including for journalistic purposes ») pourraient constituer un intérêt légitime pertinent, l’utilisation des cookies pour déterminer la nature ou les caractéristiques d’un utilisateur final, ou élaborer son profil individuel – des pratiques mises en œuvre dans le contexte de la publicité personnalisée – serait en revanche prohibée.  

Si cette nouvelle version a pu constituer une avancée pour les acteurs du secteur, qui craignaient de ne pouvoir se dispenser d’un recueil du consentement aux cookies, elle n’est probablement pas de nature à apaiser totalement les craintes de ces derniers tant le recours à la notion d’intérêt légitime paraît restreint. Cette proposition n’a néanmoins pas fait l’objet d’un consensus, loin s’en faut.

L’Allemagne, présidente du Conseil européen au second semestre 2020, héritera de ce dossier épineux.

1. Le CEPD rappelle à toutes fins utiles que les exigences requises au titre de la validité du consentement sont applicables aux situations qui relèvent du périmètre de la directive ePrivacy 2002/58/CE, et donc notamment les cookies

2. CEPD, Lignes directrices 05/2020 du 4 mai 2020 sur le consentement

3. Idem.

4. CNIL, délibération n° 2019-093 du 4 juill. 2019, v. Dalloz actualité, 22 oct. 2019, obs. C. Crichton.

5. Idem

6. CNIL, délib. n° 2013-378 du 5 déc. 2013.

7. Réponse à la consultation CNIL.

8. CE 21 oct. 2019, req. n°433069, v. Dalloz actualité, 22 oct. 2019, obs. C. Crichton.

9. Data protection commission (Irlande), Rapport du 6 avr. 2020.