1) S’agissant de l’exigence d’obtenir un consentement préalable à la prospection commerciale par voie électronique, il résulte de l’article 2, second alinéa, sous f), de la directive 2002/58, lu en combinaison avec l’article 94, paragraphe 2, du règlement 2016/679, que ce consentement doit satisfaire aux exigences résultant de l’article 2, sous h), de la directive 95/46 ou de l’article 4, point 11, de ce règlement, selon que l’une ou l’autre de ces deux normes est applicable ratione temporis aux faits en cause au principal.

2) Lorsqu’un service gratuit de messagerie électronique est proposé aux utilisateurs sous la forme de deux catégories de services de messageries, à savoir, d’une part, un service de messagerie gratuit, financé par la publicité et, d’autre part, un service de messagerie payant, sans publicité, il appartient à la juridiction de renvoi de déterminer si l’utilisateur concerné, ayant opté pour la gratuité du service de messagerie électronique, a été dûment informé des modalités précises de diffusion d’une telle publicité et a effectivement consenti à recevoir des messages publicitaires tels que ceux en cause au principal. En particulier, il y a lieu de s’assurer, d’une part, que cet utilisateur a été informé de manière claire et précise notamment du fait que des messages publicitaires sont affichés au sein de la liste des courriels privés reçus et, d’autre part, qu’il a manifesté son consentement spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires (voir, en ce sens, arrêt du 11 novembre 2020, Orange Romania, C‑61/19, EU:C: 2020:901, point 52).

Dans le cadre d'opérations d'affiliation impliquant l'utilisation de traceurs de connexion afin de déterminer si l'internaute qui a accompli un acte d'achat sur un site marchand s'est connecté sur ce site à partir d'un lien figurant sur celui de l'opérateur affilié, ces traceurs ont pour seule finalité de permettre la rémunération de l'affilié par l'éditeur du site marchand, le cas échéant par l'intermédiaire d'une plateforme d'affiliation. Ils n'ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978, dès lors qu'aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d'affiliation n'est nécessaire pour qu'un internaute se connecte à un site marchand à partir d'un site édité par un tiers et y effectue un achat. Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l'affilié par l'éditeur du site marchand ne répond pas à une demande de l'utilisateur. Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d'un site ou d'un partenariat ne saurait conduire à les ranger dans l'une ou l'autre des exceptions prévues par l'article 82 de la loi du 6 janvier 1978. Enfin, ces traceurs n'ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l'audience des sites internet. Par suite, il doit être exigé que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l'utilisation des traceurs en cause.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

1) Les dispositions de l'article 32 de la loi n°78‑17 du 6 janvier 1978 éclairées par les objectifs de la directive n°2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (cookies) qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site. Ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal, elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces cookies et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de cookies, les éléments portés à la connaissance des utilisateurs du site « www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de cookies et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.

Si un responsable de traitement peut se prévaloir d'une exemption à l'information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d'un utilisateur ont pour seule finalité la sécurisation d'un mécanisme d'authentification au bénéfice des utilisateurs, il en va autrement lorsque ces opérations poursuivent également d'autres finalités complémentaires qui ne sont pas strictement nécessaires à la fourniture d'un service. Ainsi, un mécanisme de reCAPTCHA n'a pas pour seule finalité la sécurisation du mécanisme d'authentification au bénéfice des utilisateurs mais permet tant par ailleurs des opérations d'analyse de la part d'une société tierce qui doit faire l'objet d'une information des utilisateurs et du recueil de leur consentement.

Le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité d'un bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur un bouton de gestion des paramètres et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Les modalités par lesquelles le refus des cookies peut être exprimé, dans le contexte de la navigation sur Internet, peuvent biaiser l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. Le fait de ne pas offrir à l’utilisateur la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter est de nature à caractériser un manquement aux dispositions de l’article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, interprétées à la lumière du RGPD.

Lorsqu'un identifiant mobile est créé pour chaque compte utilisateur sur les serveurs d'une société, des « informations » sont lues sur l'équipement terminal de ce dernier afin de permettre d'associer les requêtes émises à un compte utilisateur (c'est‑à‑dire le fait que l'utilisateur effectue une recherche, télécharge ou achète des applications) et, plus tard, d'affecter cet utilisateur unique à des segments au sein d'un univers nécessitant une authentification (univers « authentifié » ou « logué »). Même si la principale fonction de ces informations serait de permettre l'authentification d’un utilisateur au sein d'un univers logué – ce qui constituerait en soi une finalité dispensée du recueil du consentement car strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur – la circonstance que les informations collectées grâce à ces témoins de connexion soient également utilisées pour permettre la segmentation à des fins publicitaires empêche nécessairement lesdits témoins de connexion de rentrer dans les catégories de traceurs dont la lecture est exemptée du recueil du consentement au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

1) Si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l'une des deux exemptions prévues à l'article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l'utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal. En effet, déposer un cookie multi-finalités sur le terminal de l'utilisateur pour des finalités essentielles exemptées du recueil du consentement au titre des exemptions prévues à l'article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de l'article 82 de la loi Informatique et Libertés puisque le consentement de l'utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

2) À ce titre, la finalité de lutte contre la fraude publicitaire, comprise comme l'ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par une régie, que cette fraude soit opérée au détriment de ladite régie ou de ses partenaires publicitaires, concerne la diffusion publicitaire et n'impacte pas la fourniture d'un service de moteur de recherche aux utilisateurs. Les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions de l'article 82 de la loi Informatique et Libertés, dès lors notamment que la publicité n'est pas le service demandé par l'utilisateur, et nécessitent le consentement de l'utilisateur.

Pour être valable, le consentement de l'utilisateur doit être donné de manière libre, spécifique, éclairée et univoque, conformément à l'article 4.11 du RGPD. À ce titre, les solutions mises à la disposition de l’utilisateur pour refuser les opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs doivent présenter le même degré de simplicité que celles prévues pour en accepter l’usage.

Lorsque le lien permettant de refuser le dépôt de cookies soumis à consentement bénéficie d’une visibilité très faible par rapport au bouton permettant de l’accepter, un tel dispositif ne permet pas de refuser les cookies soumis à consentement aussi facilement qu’il est possible de les accepter, et constitue un manquement à l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.

Tel est le cas d’un lien permettant de refuser le dépôt de cookies qui n’est actif que sur un seul mot d’une phrase, sans mise en valeur particulière autre que le soulignement du lien, de sorte qu’un effort de recherche supplémentaire de la part de l’utilisateur est nécessaire pour voir ce hypertexte dissimulé et comprendre qu’il permet de refuser en un clic le dépôt de cookies sur son terminal ; à l’inverse, le bouton permettant d’accepter les cookies est isolé dans un cadre propre, parfaitement visible et identifiable, utilisant un contraste élevé entre la police du texte et la couleur du fond du bouton.

Le fait, pour une plateforme en ligne, de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur « Personnaliser » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies.

En l’espèce, les plateformes offrent un choix entre l'acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur internet, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. En effet, les utilisateurs résidant en France se rendant sur les sites concernés doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser.

Au regard de ce qui précède, un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où les plateformes ne mettent pas à disposition des utilisateurs situés en France, sur les sites internet concernés, un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage.

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer aussi simplement et à tout moment. Dès que les personnes retirent leur consentement, une société éditrice de site web, lorsqu’elle réalise techniquement le dépôt de cookies et dispose de la maîtrise des requêtes réalisant les opérations de lecture et écriture sur ces cookies, doit s’assurer qu’il n’y a plus d’action de lecture ou d’écriture des cookies réalisée en violation du retrait du consentement de l’utilisateur, par exemple en effaçant le contenu desdits cookies ou en les rendant invalides à travers leur durée de validité.

Au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des cookies tiers, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Cette obligation est une obligation de moyen, et non de résultat.

S’agissant de la responsabilité associée aux cookies déposés par des tiers sous le nom de domaine d’un éditeur de site web, pour que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous les noms de domaine de la société éditrice, ceci n’est en principe rendu possible que par l’inclusion par la société d’un fragment de code sur son site permettant aux tiers de déposer ou non un cookie.

Lorsqu’un éditeur de site web choisit ses partenaires et les autorise, à la fois juridiquement et par le codage informatique du site, à déposer des cookies sur les terminaux des utilisateurs et que, du fait de ce choix, le fonctionnement de son site ne lui permet pas de bloquer les cookies déposés par des tiers, cela n’exonère pas l’éditeur de sa responsabilité et il lui appartient de mettre en place des moyens adaptés au choix qu’il a opéré, tant dès l’arrivée de l’utilisateur sur le site qu’après avoir exprimé son refus.

En permettant que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous ses noms de domaine, l’éditeur d’un site web peut décider, si l’un de ses partenaires ne respecte pas la réglementation, de mettre en œuvre tous les moyens nécessaires pour faire cesser le manquement, puis, en dernier recours, de mettre fin à la relation du contrat ou d’engager des actions à son encontre. Lorsqu’une société constate qu’un de ses partenaires continue d’effectuer des opérations en violation des règles applicables malgré les outils qu’elle a mis en œuvre pour éviter cette situation et ses demandes ultérieures pour que de telles violations ne se reproduisent plus, il lui appartient d’envisager les différents moyens juridiques à sa disposition qui sont nécessaires pour faire cesser ces manquements, en prévoyant par exemple contractuellement la possibilité d’engager des actions contre ses partenaires (par exemple une action en responsabilité ou la suspension temporaire du contrat jusqu’au respect de ses engagements par le partenaire), et, en dernier recours, en appréciant l’opportunité de mettre un terme aux relations commerciales.