L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi.

Le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité d'un bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur un bouton de gestion des paramètres et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Les modalités par lesquelles le refus des cookies peut être exprimé, dans le contexte de la navigation sur Internet, peuvent biaiser l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. Le fait de ne pas offrir à l’utilisateur la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter est de nature à caractériser un manquement aux dispositions de l’article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, interprétées à la lumière du RGPD.

1) Si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l'une des deux exemptions prévues à l'article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l'utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal. En effet, déposer un cookie multi-finalités sur le terminal de l'utilisateur pour des finalités essentielles exemptées du recueil du consentement au titre des exemptions prévues à l'article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de l'article 82 de la loi Informatique et Libertés puisque le consentement de l'utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

2) À ce titre, la finalité de lutte contre la fraude publicitaire, comprise comme l'ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par une régie, que cette fraude soit opérée au détriment de ladite régie ou de ses partenaires publicitaires, concerne la diffusion publicitaire et n'impacte pas la fourniture d'un service de moteur de recherche aux utilisateurs. Les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions de l'article 82 de la loi Informatique et Libertés, dès lors notamment que la publicité n'est pas le service demandé par l'utilisateur, et nécessitent le consentement de l'utilisateur.

Au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des cookies tiers, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Cette obligation est une obligation de moyen, et non de résultat.

S’agissant de la responsabilité associée aux cookies déposés par des tiers sous le nom de domaine d’un éditeur de site web, pour que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous les noms de domaine de la société éditrice, ceci n’est en principe rendu possible que par l’inclusion par la société d’un fragment de code sur son site permettant aux tiers de déposer ou non un cookie.

Lorsqu’un éditeur de site web choisit ses partenaires et les autorise, à la fois juridiquement et par le codage informatique du site, à déposer des cookies sur les terminaux des utilisateurs et que, du fait de ce choix, le fonctionnement de son site ne lui permet pas de bloquer les cookies déposés par des tiers, cela n’exonère pas l’éditeur de sa responsabilité et il lui appartient de mettre en place des moyens adaptés au choix qu’il a opéré, tant dès l’arrivée de l’utilisateur sur le site qu’après avoir exprimé son refus.

En permettant que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous ses noms de domaine, l’éditeur d’un site web peut décider, si l’un de ses partenaires ne respecte pas la réglementation, de mettre en œuvre tous les moyens nécessaires pour faire cesser le manquement, puis, en dernier recours, de mettre fin à la relation du contrat ou d’engager des actions à son encontre. Lorsqu’une société constate qu’un de ses partenaires continue d’effectuer des opérations en violation des règles applicables malgré les outils qu’elle a mis en œuvre pour éviter cette situation et ses demandes ultérieures pour que de telles violations ne se reproduisent plus, il lui appartient d’envisager les différents moyens juridiques à sa disposition qui sont nécessaires pour faire cesser ces manquements, en prévoyant par exemple contractuellement la possibilité d’engager des actions contre ses partenaires (par exemple une action en responsabilité ou la suspension temporaire du contrat jusqu’au respect de ses engagements par le partenaire), et, en dernier recours, en appréciant l’opportunité de mettre un terme aux relations commerciales.

1) Il résulte de l'économie générale de la loi du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD).

2) a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.

b) Par suite, la CNIL était compétente pour adopter des « lignes directrices » applicables, de manière générale, aux cookies et autres traceurs de connexion.

Ces lignes directrices ont légalement pu préconiser des durées limites d'usage de cookies de mesure d'audience afin de permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues à l'article 82 de la loi du 6 janvier 1978 ou favoriser la diffusion de bonnes pratiques mais ne sauraient imposer de nouvelles obligations non prévues par la loi ou fixer une durée limite de validité aux cookies de mesure d'audience.

c) La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookie walls », qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi.

En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.

Compétence, Champ, Limite, Liberté du consentement.

Les avis, recommandations, mises en garde et prises de position publique adoptés par les autorités de régulation dans l'exercice des missions dont elles sont investies peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu'ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d'un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent.

L'acte révélé par deux communiqués de presse qui présentent le plan d'actions élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d'influer sur le comportement des opérateurs auxquels elle s'adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs qu'e sur les utilisateurs et abonnés de services électroniques. Elle est donc susceptible de faire l'objet d'un recours contentieux.

Il résulte de art. 82 de la loi du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des traceurs de connexion (« cookies ») ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

La CNIL a, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), adopté des lignes directrices relatives à l'application de art. 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. Ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi Informatique et Libertés par l'ordonnance n° 2018‑1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL depuis 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à art. 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.