Un possible changement de cap de la CNIL vis-à-vis des cookies
Le Règlement européen général sur la protection des données (RGPD) du 27 avril 2016 entré en vigueur le 25 mai 2018 édicte de nouvelles dispositions tendant à renforcer la protection des données personnelles des citoyens de l’union européenne.
Le considérant 26 de ce Règlement dispose que « toute information pouvant être utilisée pour identifier directement ou indirectement un individu est considérée comme étant une donnée personnelle ».
Son considérant 30 dispose quant à lui que « les personnes physiques peuvent se voir associer […] des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants […]. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »
Pour rappel, un cookie est un petit fichier informatique déposé et lu, par exemple lors de la consultation d’un site internet, quel que soit le terminal utilisé (ordinateur, smartphone, etc.)
Au regard des textes précités, il apparait que les cookies, dès lors qu’ils identifient un utilisateur, doivent être considérés comme des données personnelles et doivent en conséquence être soumis aux règles fixées par le RGPD.
Selon le RGPD, pour collecter une donnée personnelle, le responsable du traitement doit trouver une raison légitime au traitement (par exemple lorsque le traitement est nécessaire à l’exécution d’un contrat – article 6 du RGPD) ou bien obtenir le consentement de l’utilisateur. En l’absence de raison légitime ou d’obtention d’un consentement en bonne et due forme, il devra arrêter de collecter les données.
Faute d’être en mesure de trouver une raison légitime, beaucoup d’entreprises s’attachent à requérir le consentement de leurs utilisateurs.
Toutefois, les modalités attachées à l’obtention du consentement ont été renforcées par le RGPD. Désormais, le consentement de la personne concernée doit être explicite : il doit s’agir d’une action affirmative claire (exemple : cocher une case d’acceptation). En outre, il doit être aussi facile de retirer son consentement que de le donner. Les entreprises doivent donc prévoir la faculté pour les personnes concernées de retirer leur consentement à tout moment.
Ces règles très strictes posées par le législateur européen ont été reprises dans la loi de transposition n°2018-493 du 20 juin 2018 relative à la protection des données personnelles venue modifier la loi informatique et liberté de 1978.
Le RGPD prévoit également des sanctions très lourdes en cas de non-respect de ses dispositions. L’article 83 du Règlement prévoit ainsi une amende administrative de 20 000 000 euros ou jusqu’à 4% du chiffre d’affaires annule mondial de l’exercice total précédent pour une entreprise.
En janvier 2019, la CNIL a d’ailleurs pris acte de ces dispositions nouvelles et a ainsi usé de son pouvoir de sanction à l’encontre de Google en lui infligeant une amende record de 50 millions d’euros pour avoir notamment violé la règle du consentement explicite posée par le RGPD.
Or le 27 juin 2019, Madame Marie- Laure Denis, la présidente de la CNIL, a annoncé en commission d’Assemblée nationale que la CNIL souhaitait attendre juillet 2020 pour commencer à sanctionner les sites internet déposant des cookies sans respecter les dispositions du RGPD relatives au consentement.
Cette déclaration fait suite à une allocution tenue par Madame la présidente deux jours plus tôt, lors de l’assemblée générale du GESTE (syndicat français des éditeurs de contenus et services en ligne). A cette occasion, la présidente a annoncé la publication de nouvelles ligne directrices en juillet 2019.
Elle entend en effet abroger la « recommandation cookies » de 2013 devenue obsolète et ouvrir une concertation avec les professionnels pour mettre en place une nouvelle recommandation qui posera les modalités du recueil du consentement. A cette fin, elle souhaite mettre en place une période transitoire de 12 mois pour laisser aux acteurs économiques le temps de s’y conformer.
Pendant cette période, comme elle le précise dans son communiqué publié sur le site de la CNIL le 28 juin 2019, « la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ».
Or le refus de sanctionner le défaut de recueil valable du consentement des personnes concernées constitue une véritable violation du RGPD, pourtant entré en vigueur le 25 mai 2018.
Un tel revirement de ligne idéologique quant à la protection des données personnelles interroge : pourquoi une telle décision ?
Le collège de la CNIL devait se réunir le 4 juillet 2019 pour entériner ou non cette décision. Nous attendons le communiqué avec impatience.
