CONTACT

Le Conseil d’Etat invalide l’interdiction des « cookie walls » posée par la CNIL

01 juillet 2020 | Derriennic Associés |

La date d’adoption du règlement ePrivacy se faisant attendre, la CNIL avait, par une délibération n° 2019-093 du 4 juillet 2019, établi des lignes directrices sur les « cookies et autres traceurs ».

Diverses associations professionnelles avaient saisi le Conseil d’État (ci-après le « CE ») d’une requête tendant, à titre principal, à l’annulation pour excès de pouvoir de cette délibération.

Les requérants critiquaient la délibération sur les points suivants :

  • La régularité de la procédure d’adoption de la délibération,
  • La compétence de la CNIL pour prendre une telle délibération,
  • Le régime applicable aux « cookies » et autres traceurs de connexion,
  • L’interdiction des « cookie walls »,
  • L’indépendance, la spécificité et le caractère éclairé du consentement,
  • Les autres obligations formulées par la délibération attaquée (conditions de refus du consentement, conditions pour bénéficier de l’exemption et l’information sur les cookies et autres traceurs non-soumis au consentement).

Dans sa décision du 19 juin 2020, le CE a rejeté la majorité des griefs des requérants mais a considéré que l’interdiction des « cookie walls » entachait les lignes directrices d’illicéité.

Dans sa décision, le CE a confirmé la compétence de la CNIL pour adopter des « lignes directrices » applicables en matière de « cookies » et autres traceurs. La haute juridiction a également précisé que la CNIL pouvait faire application aux « cookies » et autres traceurs, du régime du consentement requis par le RGPD.

En revanche, un point des lignes directrices est sanctionné. Il concerne l’interdiction des « cookie walls ». La CNIL avait en effet considéré comme non-conforme le fait que l’accès à un site internet soit subordonné à l’acceptation des cookies (« cookie walls »).

En déduisant une telle interdiction générale et absolue des « cookie walls » de la seule exigence d’un consentement libre posé par le RGPD, le CE a considéré que « la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple » et déclare la délibération attaquée entachée d’illégalité.

Le CE sanctionne donc le fait que la CNIL ait outrepassé ce qui lui était possible de faire dans le cadre d’un instrument de « droit souple ».

Dans son communiqué, le CE précise en effet que « Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue. »

Lien vers la décision du CE : Ici

Personnalisation des cookies

Cookies de mesures d'audience

Ce site utilise Matomo à des fins statistiques (cookies de mesure d’audience). Ils permettent de savoir combien de fois une page déterminée a été consultée. Nous utilisons ces informations uniquement pour améliorer le contenu de notre site Internet.

Il s’agit des cookies suivants :

_ga : Ce cookie permet d’identifier les visiteurs du site via l’adresse IP de l’utilisateur. Elle est ensuite anonymisée par Matomo Analytics.

_gat_gtag_UA_162039697_1 : Ce cookie permet de limiter le nombre de requêtes simultanées au site et d’éviter les bugs

_gid : Ce cookie permet d’identifier les visiteurs du site via leur adresse IP (conservation de 24h). Elle est ensuite anonymisée par Matomo Analytics.

Vous pouvez consulter la page dédié à la protection des données de Matomo