1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

1) Les dispositions de l'article 32 de la loi n°78‑17 du 6 janvier 1978 éclairées par les objectifs de la directive n°2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (cookies) qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site. Ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal, elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces cookies et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de cookies, les éléments portés à la connaissance des utilisateurs du site « www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de cookies et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.

Si un responsable de traitement peut se prévaloir d'une exemption à l'information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d'un utilisateur ont pour seule finalité la sécurisation d'un mécanisme d'authentification au bénéfice des utilisateurs, il en va autrement lorsque ces opérations poursuivent également d'autres finalités complémentaires qui ne sont pas strictement nécessaires à la fourniture d'un service. Ainsi, un mécanisme de reCAPTCHA n'a pas pour seule finalité la sécurisation du mécanisme d'authentification au bénéfice des utilisateurs mais permet tant par ailleurs des opérations d'analyse de la part d'une société tierce qui doit faire l'objet d'une information des utilisateurs et du recueil de leur consentement.

Lorsqu'un identifiant mobile est créé pour chaque compte utilisateur sur les serveurs d'une société, des « informations » sont lues sur l'équipement terminal de ce dernier afin de permettre d'associer les requêtes émises à un compte utilisateur (c'est‑à‑dire le fait que l'utilisateur effectue une recherche, télécharge ou achète des applications) et, plus tard, d'affecter cet utilisateur unique à des segments au sein d'un univers nécessitant une authentification (univers « authentifié » ou « logué »). Même si la principale fonction de ces informations serait de permettre l'authentification d’un utilisateur au sein d'un univers logué – ce qui constituerait en soi une finalité dispensée du recueil du consentement car strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur – la circonstance que les informations collectées grâce à ces témoins de connexion soient également utilisées pour permettre la segmentation à des fins publicitaires empêche nécessairement lesdits témoins de connexion de rentrer dans les catégories de traceurs dont la lecture est exemptée du recueil du consentement au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

1) Si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l'une des deux exemptions prévues à l'article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l'utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal. En effet, déposer un cookie multi-finalités sur le terminal de l'utilisateur pour des finalités essentielles exemptées du recueil du consentement au titre des exemptions prévues à l'article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de l'article 82 de la loi Informatique et Libertés puisque le consentement de l'utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

2) À ce titre, la finalité de lutte contre la fraude publicitaire, comprise comme l'ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par une régie, que cette fraude soit opérée au détriment de ladite régie ou de ses partenaires publicitaires, concerne la diffusion publicitaire et n'impacte pas la fourniture d'un service de moteur de recherche aux utilisateurs. Les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions de l'article 82 de la loi Informatique et Libertés, dès lors notamment que la publicité n'est pas le service demandé par l'utilisateur, et nécessitent le consentement de l'utilisateur.

Pour être valable, le consentement de l'utilisateur doit être donné de manière libre, spécifique, éclairée et univoque, conformément à l'article 4.11 du RGPD. À ce titre, les solutions mises à la disposition de l’utilisateur pour refuser les opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs doivent présenter le même degré de simplicité que celles prévues pour en accepter l’usage.

Lorsque le lien permettant de refuser le dépôt de cookies soumis à consentement bénéficie d’une visibilité très faible par rapport au bouton permettant de l’accepter, un tel dispositif ne permet pas de refuser les cookies soumis à consentement aussi facilement qu’il est possible de les accepter, et constitue un manquement à l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.

Tel est le cas d’un lien permettant de refuser le dépôt de cookies qui n’est actif que sur un seul mot d’une phrase, sans mise en valeur particulière autre que le soulignement du lien, de sorte qu’un effort de recherche supplémentaire de la part de l’utilisateur est nécessaire pour voir ce hypertexte dissimulé et comprendre qu’il permet de refuser en un clic le dépôt de cookies sur son terminal ; à l’inverse, le bouton permettant d’accepter les cookies est isolé dans un cadre propre, parfaitement visible et identifiable, utilisant un contraste élevé entre la police du texte et la couleur du fond du bouton.

Le fait, pour une plateforme en ligne, de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur « Personnaliser » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies.

En l’espèce, les plateformes offrent un choix entre l'acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur internet, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. En effet, les utilisateurs résidant en France se rendant sur les sites concernés doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser.

Au regard de ce qui précède, un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où les plateformes ne mettent pas à disposition des utilisateurs situés en France, sur les sites internet concernés, un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage.

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer aussi simplement et à tout moment. Dès que les personnes retirent leur consentement, une société éditrice de site web, lorsqu’elle réalise techniquement le dépôt de cookies et dispose de la maîtrise des requêtes réalisant les opérations de lecture et écriture sur ces cookies, doit s’assurer qu’il n’y a plus d’action de lecture ou d’écriture des cookies réalisée en violation du retrait du consentement de l’utilisateur, par exemple en effaçant le contenu desdits cookies ou en les rendant invalides à travers leur durée de validité.

1) L'article 17 du RGPD doit être interprété en ce sens que la demande de suppression des données à caractère personnel d'un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l'effacement » au sens de cet article.

2) L'article 5, paragraphe 2, et l'article 24 du RGPD doivent être interprétés en ce sens qu'une autorité de contrôle nationale peut exiger que le fournisseur d'annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables de traitement tiers, à savoir l'opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d'annuaires auxquels il a fourni de telles données, du retrait de consentement de cet abonné.

3) L'article 17, paragraphe 2, du RGPD, doit être interprété en ce sens qu'il ne s'oppose pas à ce qu'une autorité de contrôle nationale ordonne à un fournisseur d'annuaires et de services de renseignements téléphoniques accessibles au public, auquel l'abonné d'un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d'informer les fournisseurs de moteurs de recherche de cette demande d'effacement des données.

4) L'article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l'article 2, second alinéa, sous f), de cette directive et avec l'article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l'article 4, point 11, du RGPD, de l'abonné d'un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans les annuaires et les services de renseignements téléphoniques accessibles au public publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l'un de ces fournisseurs.

1) Pour vendre les données à des partenaires afin qu'ils les utilisent pour de la prospection commerciale par voie électronique, un responsable du traitement doit recueillir, sur le support de collecte des données, le consentement libre, spécifique, informé et univoque par lequel les personnes concernées acceptent, par une déclaration ou un acte positif clair, une telle transmission de leurs données.

2) Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l'article L.34-5 du code des postes et des communications électroniques (CPCE), pour l'utilisation de leurs données à des fins de prospection commerciale par voie électronique. Ce consentement à la réception de prospection peut être recueilli par les opérateurs ayant acheté ou reçu les données et qui les utiliseront concrètement pour envoyer des messages de prospection, soit par le primo‑collectant qui souhaite les transmettre à des partenaires. Dans ce dernier cas, ce consentement peut alors être recueilli globalement pour la transmission et la prospection commerciale, mais cela implique que le primo‑collectant puisse fournir la liste exhaustive des partenaires ainsi autorisés, comme responsables de traitement, à utiliser les données pour de la prospection électronique.

La création d'un compte sur une plateforme de vente en ligne ne préjuge pas de la commande éventuelle de produits auprès de cette plateforme. En absence d'achat, la plateforme de vente en ligne ne peut utilement invoquer le bénéfice de l'Exception, créée par l’Article L. 34-5 du CPCE (code des postes et des communications électroniques), permettant la prospection sans consentement préalable lorsque les coordonnées du destinataire ont été recueillies auprès de lui à l'occasion d'une vente ou d'une prestation de services si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale.

Dès lors, il appartient à la plateforme de vente en ligne de recueillir le consentement préalable, libre, spécifique et informé des personnes créant un compte sur le site web de la société sans avoir procédé à un achat, afin de recevoir des messages de prospection directe par courriers électroniques, conformément à l'alinéa 1 de l’Article L. 34-5 du CPCE.

1) La transmission de données personnelles à des tiers (qui en sont alors destinataires au sens du RGPD), lorsqu’elle ne constitue pas un moyen d’atteindre la finalité initialement prévue pour le traitement de ces données, n’est en principe possible que si elle est compatible avec cette finalité première. En particulier, dans le cas d’une vente d’une base de données, l’appréciation de cette compatibilité nécessite, sauf exception, que le vendeur connaisse la finalité pour laquelle la base de données sera utilisée par l’acheteur et ne vende la base que pour cet usage. L’appréciation de la nécessité d’un consentement se fait au cas par cas.

2) a) S’agissant de la revente d’une base de données de clients ou prospects d’une société en situation de liquidation, en vue de sa réutilisation à des fins de prospection commerciale, la CNIL considère que, eu égard à la finalité initiale de la base de données et du contexte de liquidation de l’entreprise, cette vente peut en principe être regardée comme compatible avec le traitement initial des données. Un consentement peut cependant être requis en raison des règles spécifiques à la prospection par voie électronique.

b) Les bases légales mobilisables pour la transmission, à titre onéreux ou non, de données à caractère personnel à des partenaires commerciaux souhaitant les réutiliser à des fins commerciales dépendent du canal utilisé pour la prospection faite par ces partenaires : prospection par voie électronique ou prospection par voie postale/téléphonique.

i) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection électronique qui nécessite le recueil du consentement préalable des personnes en application des dispositions de l’article L.34‑5 du code des postes et des communications électroniques, l’organisme transmettant les données doit informer les personnes concernées et recueillir leur consentement à cette transmission en application de l’article 6‑1‑a du RGPD.

ii) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection sur la base de leur intérêt légitime (prospection non électronique, c’est‑à‑dire réalisée par voie téléphonique ou postale), elle peut elle‑même être réalisée sur le fondement de l’intérêt légitime en application de l’article 6‑1‑f du RGPD. Dans ce cadre, l’organisme transmettant les données doit informer les personnes concernées de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données et offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel.

c) Il résulte de l’ensemble de ces exigences que la vente d’une base de données à des fins de prospection commerciale par l’acquéreur n’est possible que si :
- la base est vendue spécifiquement pour cette finalité, et non pour tout usage des données;
- il est prévu d’informer les personnes dont les données figurant dans la base de données de la vente;
- ces personnes vont, selon le cas, soit donner leur consentement, soit pouvoir s’opposer à figurer dans la base vendue.

1) Il résulte de l'économie générale de la loi du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD).

2) a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.

b) Par suite, la CNIL était compétente pour adopter des « lignes directrices » applicables, de manière générale, aux cookies et autres traceurs de connexion.

Ces lignes directrices ont légalement pu préconiser des durées limites d'usage de cookies de mesure d'audience afin de permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues à l'article 82 de la loi du 6 janvier 1978 ou favoriser la diffusion de bonnes pratiques mais ne sauraient imposer de nouvelles obligations non prévues par la loi ou fixer une durée limite de validité aux cookies de mesure d'audience.

c) La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookie walls », qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi.

En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.

Compétence, Champ, Limite, Liberté du consentement.