Actualités octobre 2019: en attendant la recette (finale) des Cookies
Rappel:
Le bandeau d’information indiquant que la poursuite de la navigation sur le site Internet vaut consentement au dépôt de Cookies sur le terminal de l’internaute et la case pré-cochée valant consentement par défaut ont fait leur temps.
Désormais, il est clair que le consentement au dépôt de Cookies sur le terminal de l’internaute ne peut plus être tacite ou implicite : aux termes de l’article 4 du Règlement n°2016-679 du 27 avril 2016 (RGPD), le consentement s’entend de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que les données à caractère personnel la concernant fassent l’objet d’un traitement »
Ce qu’il faut retenir : Résumé de l’actualité récente en la matière :
- Plan d’action de la CNIL du 28 juin 2019 : la CNIL a considéré, le 28 juin 2019, que l’entrée en vigueur du RGPD rendait obsolète sa précédente délibération n°2013-378 du 5 décembre 2013 sur les Cookies et autres traceurs. Dans cette communication, la CNIL considérait que le simple fait de poursuivre la navigation sur un site Internet constituait une expression valable du consentement au dépôt des cookies sur le terminal de l’internaute.
- Délibération de la CNIL n°2019-093 du 4 juillet 2019 : aux termes de l’article 2 de sa délibération, la CNIL considère que le consentement au dépôt de Cookies « doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou de faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». Dans sa délibération, la CNIL considère qu’à titre transitoire, une période d’adaptation s’achevant 6 mois après la publication de sa future recommandation (prévue au cours du premier trimestre 2020) devra être laissée aux opérateurs « afin de leur donner le temps d’intégrer les nouvelles règles »
- Ordonnance du Conseil d’Etat du 14 août 2019 : la délibération du 4 juillet 2019 de la CNIL (et particulièrement la période transitoire qu’elle aménage) a fait d’objet d’une requête en référé devant le Conseil d’Etat. Toutefois cette requête en référé-suspension faisait doublon avec une requête en annulation de la même délibération de la CNIL, inscrite au rôle d’une séance de jugement du Conseil d’Etat du 30 septembre 2019 et a donc été rejetée, faute de remplir la condition d’urgence.
- CJUE 1er octobre 2019 Planet49, aff. C-673/17 : en application du RGPD et de l’article 5§3 de la Directive 2002/58/CE du 12 juillet 2002 « vie privée et communications électroniques » telle que modifiée par la Directive 2009/136/CE du 25 novembre, la CJUE considère que le consentement, donné au moyen d’une case pré-cochée par défaut, à l’autorisation du stockage ou de l’accès à des informations sur l’équipement terminal de l’utilisateur d’un site Internet n’est pas valable, que ces informations constituent des données à caractère personnel ou non.
« il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite » (considérant 55 de l’arrêt précité)
- Décision n°433069 du Conseil d’Etat du 16 octobre 2019 : dans cette décision, le Conseil d’Etat valide la période transitoire accordée par la CNIL dans sa délibération n°2019-093, considérant que la tolérance de la CNIL poursuit un objectif légitime qui est de permettre aux acteurs concernés de s’approprier ces nouvelles règles et ainsi de respecter pleinement les exigences fixées par le RGPD à l’horizon de l’été 2020.
Quels enseignements, en pratique ?
Suite au rejet de la requête en référé-suspension et de la requête au fond de certaines associations par le Conseil d’Etat, la période transitoire prévue par la délibération n°2019-093 de la CNIL est donc validée : les éditeurs et exploitants de site Internet ont donc jusqu’à mi-2020 pour changer leurs modalités de recueil du consentement des internautes au dépôt de Cookies et autres traceurs sur leur terminal, lequel devra notamment remplir les conditions définies à l’article 4 du RGPD.
La recommandation de la CNIL, prévue pour le premier trimestre 2020, devrait à cet égard fournir des précisions intéressantes sur les modalités pratiques de recueil du consentement attendues par la CNIL.
Jusqu’à mi-2020, la délibération n°2013-378 permettant le recueil « tacite » du consentement par la simple navigation s’applique encore. Toutefois, il ne saurait être totalement exclu, à l’aulne de l’arrêt de la CJUE du 1er octobre 2019 (qui invalide clairement tous les modes de recueil implicites du consentement) que la CNIL avance l’adoption de sa recommandation, ce qui pourrait, de manière glissante, avancer également la date à laquelle les opérateurs devront se conformer aux nouvelles règles.
Plus les opérateurs auront anticipé la mise en conformité de leur « politique Cookies », mieux ce sera, à n’en point douter.
par Sarah Temple-Boyer, Avocat