Lors d’une audience vendredi, le rapporteur public a estimé que les sites Internet sont dans leur bon droit en refusant d’afficher leurs contenus quand l’internaute n’accepte pas le dépôt de cookies.
Le duel juridique se poursuit entre la CNIL et les professionnels de la publicité en ligne, de l’e-commerce et des médias. En conflit sur leur interprétation de la réglementation européenne sur la protection des données personnelles (RGPD), les deux camps se sont retrouvés, vendredi 12 juin, lors d’une audience au Conseil d’Etat, au cours de laquelle le rapporteur public a dévoilé son avis.
S’il a d’abord semblé fustiger la « séance de ball-trap contentieux » lancée par des associations comme le Geste, la Fevad, l’IAB ou le Syndicat des régies Internet, le rapporteur public a aussi estimé qu’une balle avait trouvé sa cible. Il a ainsi donné en partie raison aux requérants venus défendre leur modèle économique remettant en cause un raisonnement du gendarme de la vie privée sur Internet.
Au coeur du différend : les règles du jeu en matière de recueil du consentement préalable au dépôt de cookies sur l’ordinateur des internautes, ces fichiers informatiques qui tracent leur navigation en ligne afin de personnaliser la publicité qui leur est adressée.
Pas d’interdiction des « cookie walls » dans le RGPD
Tout en donnant raison à la CNIL sur de multiples points soulevés par le recours, le rapporteur public a considéré que l’éditeur d’un site Internet est dans son bon droit s’il se refuse à afficher son contenu quand l’internaute n’accepte pas le dépôt de cookies.
La question d’interdire ce procédé est notamment très discutée dans les débats sur la révision en cours à Bruxelles de la directive ePrivacy. Mais pour le rapporteur public du Conseil d’Etat, « une telle prohibition n’est posée par aucune disposition du RGPD ».
Dans ses lignes directrices sur la gestion des cookies publiée en juillet dernier, la CNIL considérait que ce type de dispositif « à prendre ou à laisser » ne pouvait garantir un consentement libre, comme l’exige le RGPD. Mais pour le rapporteur public, la CNIL ne peut raisonner de la sorte pour les sites commerciaux. Car si l’internaute refuse le dépôt de cookies par un site, il a le choix de se tourner vers un autre site qui ne lui en impose pas.
Nouveau délai à prévoir avant les sanctions
Le raisonnement de la CNIL est pourtant le même que celui endossé pas plus tard que le 4 mai dernier par le Comité européen de la protection des données, le regroupement de l’ensemble des régulateurs européens en la matière, dans un texte qui n’a, certes, pas force de loi.
«Cette décision du Conseil d’Etat est un retour à l’esprit d’équilibre du RGPD qui ne prévoit pas d’interdiction de principe, se réjouit Etienne Drouard, l’avocat des associations de publicitaires. Le rapporteur public a rappelé que le régulateur n’est pas là pour interdire mais pour faire appliquer la loi. »
Attendue pour la semaine prochaine, la décision finale du Conseil d’Etat, si elle suit l’avis du rapporteur public, comme c’est généralement le cas – mais certes pas systématiquement -, forcerait la CNIL à revoir les recommandations pratiques qu’elle avait dévoilées en janvier et qui découlaient des lignes directrices aujourd’hui partiellement remises en cause.
Prévue pour avril mais repoussée en raison de la situation sanitaire, la publication au « Journal Officiel » de ce document ne devrait pas intervenir avant septembre. Un nouveau contretemps alors que les associations de défense de libertés en ligne s’impatientent depuis des mois de voir la CNIL enfin commencer des contrôles dans la cuisine à cookies des publicitaires.
Jean-Philippe Behr
Pascal Lenoir
