Cookies et autres traceurs : des sanctions sous le signe de la continuité

L’état du droit français relatif à l’utilisation de cookies et autres traceurs semble s’être stabilisé et permet aujourd’hui d’établir un état de l’art quasiment complet.

Pour rappel, les opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal d’un abonné ou d’un utilisateur de services de communications électroniques – qui seront grossièrement dénommées « cookies » – sont encadrées par l’article 5 de la directive ePrivacy (dir. 2002/58/CE, 12 juill. 2002, mod. dir. 2009/136/CE, 25 nov. 2009), transposée en droit français à l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi « Informatique et libertés » (LIL).

L’entrée en vigueur du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) a bouleversé le régime de ces opérations dans la mesure où la définition du consentement doit être entendue comme celle de la directive 95/46/CE à laquelle l’article 4, 11) du RGPD a succédé. Afin d’accompagner les intéressés dans leur démarche de mise en conformité, la CNIL a publié le 17 septembre 2020 des lignes directrices et une recommandation (n° 2020-091 et 2020-092, Dalloz actualité, 7 oct. 2020, obs. C. Crichton ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2021. 41, obs. D. Lebeau Marianna et A. Balducci ).

Or, cette mise en conformité suscite encore du contentieux ; la CNIL ayant fait des cookies l’une de ses trois thématiques prioritaires de contrôle en 2021 (v. communiqué de presse du 2 mars 2021). Quelques sanctions exemplaires peuvent être citées : Google et Amazon le 7 décembre 2020 (délib. n° SAN-2020-012 et n° SAN-2020-013, Dalloz actualité, 17 déc. 2020, obs. C. Crichton ; Dalloz IP/IT 2021. 226, obs. E. Netter ), ou Google et Facebook le 31 décembre 2021 (délib. n° SAN-2021-023 et n° SAN-2021-024, Dalloz actualité, 17 janv. 2022, obs. I. Gavanon et V. Le Marec ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2022. 7, obs. C. Crichton ; ibid. 392, obs. E. Netter ; RTD com. 2022. 295, obs. E. Netter ). Le prononcé de sanctions notables perdure encore aujourd’hui. En témoigne les quatre décisions qui viennent d’être rendues par la formation restreinte de la CNIL : le 19 décembre 2022 pour le moteur de recherche Bing de Microsoft (délib. n° SAN-2022-023), ainsi que le 29 décembre 2022 pour les systèmes d’exploitation iOS et MacOs d’Apple (délib. n° SAN-2022-025), pour l’éditeur d’applications Voodoo (délib. n° SAN-2022-026), et pour l’application Tiktok (délib. n° SAN-2022-027).

Subséquemment, le Comité européen de la protection des données (CEPD), regroupant les autorités nationales de contrôle de l’Union européenne, a publié son rapport en la matière.

L’ensemble de ces éléments offre un état des lieux intéressant sur le régime des cookies et la manière dont il est appréhendé par les autorités de contrôle.

La compétence de la CNIL : éviction du RGPD au profit de la directive ePrivacy

Sans surprise, la CNIL maintient ses raisonnements pour se déclarer compétente en cas de traitement transfrontalier pour lequel le responsable de traitement n’a pas son établissement principal en France ou au sein du territoire de l’Union. Ceux-ci résultent d’une articulation astucieuse entre les dispositions du RGPD et de la directive ePrivacy.

Pour sa compétence matérielle, elle rejette le mécanisme du guichet unique prévu par le RGPD au profit des règles de compétence prévues par l’article 15 bis de la directive ePrivacy, qui laisse aux États membres le soin de désigner l’autorité compétente. En France, la formation restreinte de la CNIL est compétente pour sanctionner les opérations de traitement soumises à la LIL, selon ses articles 16 et 20, III.

Le régime des cookies étant transposé dans la LIL, la CNIL est ainsi compétente pour tous les traitements régis par la loi, ce qui par ailleurs a été validé par le Conseil d’État (CE 28 janv. 2022, n° 449209, Dalloz actualité, 9 févr. 2022, obs. C. Crichton ; Lebon ; AJDA 2022. 188 ; D. 2022. 2002, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2022. 62, chron. C. Crichton ; ibid. 337, obs. T. Douville ; Légipresse 2022. 73 et les obs. ; RTD com. 2022. 295, obs. E. Netter ).

Cette position est en tous points reprise dans les délibérations Microsoft (pts 22 à 28), Apple (pts 36 à 62) et Tiktok (pts 25 à 32).

La décision Apple présentait quelques particularités dont les aspects techniques méritent pour tout praticien d’être lus. Nous nous contenterons de préciser que deux catégories de traceurs entrent dans le champ de l’article 82 de la LIL : un identifiant unique associé à un compte utilisateur (« DSID ») créé sur les serveurs de la société tout en communiquant avec le terminal, et des traceurs liés à la personnalisation des annonces (« DIPID » et « iADID ») stockés sur le terminal de l’utilisateur. La CNIL dissocie ces traitements des traitements « subséquents » qui sont soumis au RGPD et donc au mécanisme du guichet unique, comme elle a pu le faire par le passé (v. not. délib. Google et Facebook du 31 déc. 2021 préc., spéc. pts 53 et 54 et pts 29 à 30). Ce séquençage du traitement reste effectivement courant, notamment lorsqu’il s’agit de partager la responsabilité entre plusieurs responsables du traitement (v. not. CJUE 29 juill. 2019, aff. C-40/17, Fashion ID, D. 2019. 1604 ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Dalloz IP/IT 2020. 126, obs. T. Douville ; Légipresse 2019. 448 et les obs. ; ibid. 613, obs. E. Drouard et J. Beaufour ; RTD eur. 2020. 319, obs. F. Benoît-Rohmer ).

Pour sa compétence territoriale, l’article 3, I de la LIL prévoit qu’à défaut de l’application du RGPD, la CNIL est compétente pour les opérations de traitement de données de personnes établies sur le territoire français, ce qui a également été validé par le Conseil d’État (CE 28 janv. 2022, préc.). Ces traitements doivent être effectués dans le cadre des activités d’un établissement du responsable du traitement sur le territoire français. Autant la notion d’établissement que celle d’activité...