CONTACT

Le Conseil d’Etat invalide l’interdiction des « cookie walls » posée par la CNIL

01 juillet 2020 | Derriennic Associés |

La date d’adoption du règlement ePrivacy se faisant attendre, la CNIL avait, par une délibération n° 2019-093 du 4 juillet 2019, établit des lignes directrices sur les « cookies et autres traceurs ».

Diverses associations professionnelles avaient saisi le Conseil d’État (ci-après le « CE ») d’une requête tendant, à titre principal, à l’annulation pour excès de pouvoir de cette délibération.

Les requérants critiquaient la délibération sur les points suivants :

  • La régularité de la procédure d’adoption de la délibération,
  • La compétence de la CNIL pour prendre une telle délibération,
  • Le régime applicable aux « cookies » et autres traceurs de connexion,
  • L’interdiction des « cookie walls »,
  • L’indépendance, la spécificité et le caractère éclairé du consentement,
  • Les autres obligations formulées par la délibération attaquée (conditions de refus du consentement, conditions pour bénéficier de l’exemption et l’information sur les cookies et autres traceurs non-soumis au consentement).

Dans sa décision du 19 juin 2020, le CE a rejeté la majorité des griefs des requérants mais a considéré que l’interdiction des « cookie walls » entachait les lignes directrices d’illicéité.

Dans sa décision, le CE a confirmé la compétence de la CNIL pour adopter des « lignes directrices » applicables en matière de « cookies » et autres traceurs. La haute juridiction a également précisé que la CNIL pouvait faire application aux « cookies » et autres traceurs, du régime du consentement requis par le RGPD.

En revanche, un point des lignes directrices est sanctionné. Il concerne l’interdiction des « cookie walls ». La CNIL avait en effet considéré comme non-conforme le fait que l’accès à un site internet soit subordonné à l’acceptation des cookies (« cookie walls »).

En déduisant une telle interdiction générale et absolue des « cookie walls » de la seule exigence d’un consentement libre posé par le RGPD, le CE a considéré que « la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple » et déclare la délibération attaquée entachée d’illégalité.

Le CE sanctionne donc le fait que la CNIL ait outrepassé ce qui lui était possible de faire dans le cadre d’un instrument de « droit souple ».

Dans son communiqué, le CE précise en effet que « Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue. »