Le 4 mars dernier, le Conseil d'Etat a rejeté la requête des sociétés Google LLC et Google Ireland Limited (Google), lui demandant de suspendre l'exécution de la sanction de la CNIL prononcée à son encontre le 7 décembre 2020. Cette décision, au-delà d'imposer à Google une sanction pécuniaire de 100 millions d'euros, l'enjoignait également de se conformer aux règles applicables aux cookies, notamment en renforçant l'information et les modalités de recueil du consentement des personnes, sous peine d'une astreinte de 100.000 euros par jour.

Cette décision, qui clarifie la compétence de la CNIL pour la sanction des règles sur les cookies, a un impact fort. En effet la CNIL, qui a adopté de nouvelles lignes directrices sur le sujet, de manière complètement indépendante, et sans attendre le résultats des négociations finales sur le règlement "e-privacy", est ainsi confortée de pouvoir sanctionner toutes les entreprises procédant au dépôt de cookies dans le cadre des activités d'un établissement sur le territoire français, sur la base de ses propres règles.

Règle du "guichet unique" pour les entreprises dans l'UE

Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD), un mécanisme de guichet unique a été mis en place. Il permet aux entreprises établies dans plusieurs Etats membres, ou bien aux entreprises qui traitent les données personnelles de résidents de différents Etats membres (par exemple un réseau social), d'avoir un interlocuteur unique en matière de protection des données.

Cette "autorité chef de file", est l'autorité de protection des données du pays où l'entreprise à son établissement principal dans l'UE, et est seule compétente pour initier une procédure de sanction pour violation des règles sur la protection des données, le cas échéant, en coopération avec les autorités des autres Etats membres concernés.

Ce préalable est important pour comprendre les arguments de Google devant le Conseil d'Etat contre la décision de sanction de la CNIL, qui était fondée sur la violation des dispositions de la Loi Informatique et Libertés en matière de cookies (qui sont une transposition de la directive européenne "e-privacy"). Google mettait en avant le défaut de compétence de la CNIL, compte tenu de la règle du guichet unique, et mettait en avant la seule compétence de l'autorité de protection des données irlandaise, où son établissement principal est situé.

La CNIL, puis le Conseil d'Etat, refusent l'argument et confirment la compétence de la CNIL, qui a été désignée par le législateur français pour veiller à l'application des règles sur les cookies, en conformité avec la directive "e-privacy".

Lenteur européenne

La CNIL avait publié en 2013 une recommandation interprétant les dispositions de la Loi informatique et Libertés sur les cookies, en prenant notamment position sur la manière dont le consentement pouvait être recueilli. Elle validait ainsi la méthode du "soft opt-in", consistant à informer l'utilisateur, par l'affichage d'un bandeau d'information, qu'en continuant sa navigation, celui-ci accepte l'utilisation de cookies.

Compte tenu de la lenteur des discussions sur l'adoption d'un nouveau règlement "e-privacy" (qui aurait dû être adopté en 2016 avec le RGPD), la CNIL a souhaité devancer le droit européen, en adoptant en 2020 une version finale de nouvelles lignes directrices, pour abroger et remplacer sa recommandation de 2013. La CNIL a également publié des recommandations pratiques, et une FAQ sur le sujet après concertation avec les acteurs du secteur.

Le changement majeur apporté par ces lignes directrices réside dans le rejet du "soft opt-in" et de l'approche prise en 2013. Ceci est dû au renforcement de la notion du consentement opéré par le RGPD, mais aussi au constat qu'à l'usage, le mécanisme du bandeau d'information n'avait jamais pu permettre aux utilisateurs d'exprimer véritablement leur choix sur les cookies, ni de recevoir une information compréhensible.

La CNIL considère désormais qu'un acte positif clair est nécessaire (clic sur un bouton "j'accepte"), et pose certains principes : une information claire sur les finalités des cookies, et sur l'identité des différents acteurs pouvant les déposer, doit être fournie à l'utilisateur, qui doit avoir la possibilité de donner son consentement de manière granulaire. La CNIL précise que refuser les cookies doit être aussi facile que les accepter (en présence d'un bouton "tout accepter", un bouton "tout refuser" doit être tout aussi visible).

Anticiper la réglementation européenne

Les lignes directrices sur les cookies adoptées par la CNIL sont applicables, depuis avril 2021, à toutes les entreprises procédant au dépôt de cookies, françaises ou non, dès que ce dépôt est effectué dans le cadre des activités d'un établissement en France de l'entreprise en question.

Ce n'est pas la première fois que la France anticipe le droit européen en matière de protection des données, c'était notamment le cas de la Loi pour une République numérique (dite "Loi Lemaire", du nom de la secrétaire d'Etat au Numérique de l'époque Axelle Lemaire), adoptée en 2016, qui avait prévu certaines obligations en prévision du RGPD, telle que la nécessité d'informer les individus des durées de conservation de leurs données. Si cette obligation a bien été mise en œuvre dans le cadre du RGPD, ce n'est pas le cas de la disposition concernant la communication d'instructions sur le traitement des données en cas de décès, devenue une étrange exception française.

Si les nouvelles règles adoptées par la CNIL se veulent protectrices des droits des utilisateurs, on peut s'interroger, en pratique, sur le bénéfice qu'ils pourront tirer des mécanismes prévus. Des "CMP" (consent management platform) ont ainsi déjà été mises en place par de nombreux acteurs, et l'on voit que certaines affichent un choix parmi des dizaines de finalités, et parfois des centaines de partenaires pouvant déposer des cookies. Il est peu probable que l'utilisateur sélectionne un à un les acteurs auxquels il accepte de donner son consentement, mais on peut supposer qu'il acceptera ou refusera en bloc tous les cookies d'un coup pour accéder plus rapidement au site internet. Ceci peut avoir deux effets : une protection moindre, ou au contraire, l'exclusion de facto de cookies peu intrusifs, tels que ceux destinés à la mesure d'audience, qui sont pourtant très utiles aux acteurs du marketing digital.

En ce qui concerne le futur règlement "e-privacy", les Etats membres se sont récemment mis d'accord sur le texte au sein du Conseil Européen, qui doit maintenant entrer en négociations avec le Parlement Européen. Il faut ainsi espérer que ces règles seront alignées sur celles adoptées par la CNIL, les entreprises devant d'ores et déjà déployer les mesures afin de s'y conformer.