En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis‑à‑vis de ce traitement.

En l'espèce, il a été constaté que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée avait donné son consentement et de procéder à certaines vérifications à cette fin. En effet, la seule clause issue des conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convient à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.

1) Lorsque les données des prospects n'ont pas été collectées directement auprès d'eux par l'organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l'organisation qui réalisera les opérations de prospection ultérieures ou par l'organisme qui prospecte avant de procéder à des actes de prospection. Le prospecteur doit alors être en mesure de prouver qu'il dispose de ce consentement au sens de l'article 7, paragraphe 1 du RGPD.

2) Lorsque le consentement est recueilli par le primo-collectant pour le compte de prospecteurs, celui‑là doit clairement informer les personnes de l'identité du ou des prospecteurs pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. À défaut, il revient à l'organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection afin que le consentement soit éclairé. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle‑ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.

En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis‑à‑vis de ce traitement.

En l'espèce, le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux sociétés partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée avait donné son consentement et de procéder à certaines vérifications à cette fin.

En effet, la seule clause issue de conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convenait à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.

En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis-à-vis de ce traitement. En l'espèce, le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée** avait donné son consentement et de procéder à certaines vérifications à cette fin. En effet, la seule clause issue de conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convenait à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.

1 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à ce qu'une juridiction nationale rejette, en tant que moyen de preuve d'une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle‑ci, dans l'hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu'un tel rejet soit prévu par la législation nationale et qu'il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité. Ainsi, afin d'apprécier la proportionnalité d'un rejet de la liste litigeuse en tant que moyen de preuve, la juridiction de renvoi doit examiner si sa législation nationale limite ou non, par rapport aux données figurant sur cette liste, les droits d'information et d'accès énoncés aux articles 10 à 12 de la directive 95/46 et si une telle limitation est, le cas échéant, justifiée. En outre, même lorsque tel est le cas et qu'il existe des éléments plaidant en faveur d'un intérêt légitime à l'éventuelle confidentialité de la liste en cause, les juridictions nationales doivent vérifier au cas par cas si ceux‑ci prévalent sur l'intérêt à la protection des droits du particulier et s'il existe, dans le cadre de la procédure devant cette juridiction, d'autres moyens pour assurer cette confidentialité, notamment en ce qui concerne les données à caractère personnel des autres personnes physiques figurant sur cette liste.

2 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il ne s'oppose pas à une législation nationale qui subordonne l'exercice d'un recours juridictionnel par une personne affirmant qu'il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE à l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d'exercice desdites voies de recours n'affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n'entraîne pas de retard substantiel pour l'introduction d'un recours juridictionnel, qu'il entraîne la suspension de la prescription des droits concernés et qu'il n'occasionne pas de frais excessifs.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème