Saisi d'un projet de décret autorisant la création d'un moyen d'identification électroniqu e dénommé « Application de Lecture de l'Identité d'un Citoyen En Mobilité », le Conseil d'État (section de l'intérieur) lui donne un avis favorable.

Ce traitement permet aux titulaires d'un passeport comportant un composant électronique, ou d'un titre de séjour comportant un composant électronique, de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ces titres.

L'article 9 du RGPD in terdit le traitement des données biométriques aux fins d'identifier une personne physique de manière unique, sauf si l'intéressé a donné son consentement. Ces dispositions sont éclairées par son considérant 42 selon lequel « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Le Conseil d'État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres disposi tifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications él ectroniques à tout moment. Les données biométriques sont elles - mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.

Le Conseil d'État ajoute dans le projet la précision selon laquelle l'Agence nationale des titres sécurisés procèd e, au moment de la demande d'ouverture du compte, au recueil du consentement de l'usager au traitement de ses données biométriques.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer aussi simplement et à tout moment. Dès que les personnes retirent leur consentement, une société éditrice de site web, lorsqu’elle réalise techniquement le dépôt de cookies et dispose de la maîtrise des requêtes réalisant les opérations de lecture et écriture sur ces cookies, doit s’assurer qu’il n’y a plus d’action de lecture ou d’écriture des cookies réalisée en violation du retrait du consentement de l’utilisateur, par exemple en effaçant le contenu desdits cookies ou en les rendant invalides à travers leur durée de validité.

1) L'article 17 du RGPD doit être interprété en ce sens que la demande de suppression des données à caractère personnel d'un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l'effacement » au sens de cet article.

2) L'article 5, paragraphe 2, et l'article 24 du RGPD doivent être interprétés en ce sens qu'une autorité de contrôle nationale peut exiger que le fournisseur d'annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables de traitement tiers, à savoir l'opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d'annuaires auxquels il a fourni de telles données, du retrait de consentement de cet abonné.

3) L'article 17, paragraphe 2, du RGPD, doit être interprété en ce sens qu'il ne s'oppose pas à ce qu'une autorité de contrôle nationale ordonne à un fournisseur d'annuaires et de services de renseignements téléphoniques accessibles au public, auquel l'abonné d'un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d'informer les fournisseurs de moteurs de recherche de cette demande d'effacement des données.

4) L'article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l'article 2, second alinéa, sous f), de cette directive et avec l'article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l'article 4, point 11, du RGPD, de l'abonné d'un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans les annuaires et les services de renseignements téléphoniques accessibles au public publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l'un de ces fournisseurs.

1) Il résulte de l'économie générale de la loi du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD).

2) a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.

b) Par suite, la CNIL était compétente pour adopter des « lignes directrices » applicables, de manière générale, aux cookies et autres traceurs de connexion.

Ces lignes directrices ont légalement pu préconiser des durées limites d'usage de cookies de mesure d'audience afin de permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues à l'article 82 de la loi du 6 janvier 1978 ou favoriser la diffusion de bonnes pratiques mais ne sauraient imposer de nouvelles obligations non prévues par la loi ou fixer une durée limite de validité aux cookies de mesure d'audience.

c) La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookie walls », qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi.

En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.

Compétence, Champ, Limite, Liberté du consentement.