Les entreprises doivent se conformer aux nouvelles règles énoncées par la CNIL, qui renforcent les exigences relatives au recueil du consentement. La multiplication des pop-ups constitue-t-elle une protection efficace ?
Maître Adrien Aulas est associé au sein du cabinet Lighten. Enseignant à Sciences Po Paris, à l’Université de Strasbourg et au CEIPI, ses domaines de prédilection s'articulent autour du droit du numérique, de la protection des données personnelles et de la vie privée sur Internet, ainsi que des questions de propriété intellectuelle et industrielle.
La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. Quel est l’apport de ces textes ?
Ces lignes directrices et cette recommandation ont pour objet de clarifier la manière dont la CNIL va contrôler l’application de dispositions inscrites dans la Loi Informatique et Libertés, relatives à toutes les techniques consistant à stocker ou lire de l’information sur le terminal d’un utilisateur – les cookies étant un exemple parmi d’autres de ce type de techniques. Ces dispositions dans la Loi Informatique et Libertés sont elles-mêmes la transposition d’une directive de 2002, modifiée en 2009.
Il s’agit donc d’un dispositif de droit souple, de soft law : ces lignes directrices et cette recommandation n’ont pas, en elles-mêmes, de valeur contraignante ; elles expliquent seulement comment la CNIL envisage de faire application des dispositions légales susmentionnées. Néanmoins, c’est l’autorité de contrôle qui s’exprime, de sorte que les acteurs concernés, tels que les entreprises, sont naturellement poussés à se ranger à son interprétation.
Pour retracer les antécédents, rappelons qu’il y avait déjà une recommandation de la CNIL en 2013 sur les cookies, qui avait valeur de référence jusqu’à récemment. Or le RGPD, adopté dès 2016, a renforcé les exigences pour l’obtention d’un consentement valide, tant et si bien que cette recommandation n’était plus en phase avec la dimension unioniste de la réglementation. Aussi la CNIL a abouti à l’idée qu’il fallait une mise à jour, qui s’est d’abord matérialisée par de premières lignes directrices en 2019 ; celles-ci sont passées sous les fourches caudines du Conseil d’État, qui a émis quelques réserves, sur le sujet principalement des cookie walls (c’est-à-dire la pratique consistant à conditionner l’accès à un site web à l’acceptation de certains cookies, par exemple des cookies de publicité ciblée).
Au bout du compte, la logique derrière ces nouvelles lignes directrices et cette nouvelle recommandation, publiées le 17 septembre 2020, est donc d’intégrer les conséquences nécessaires du RGPD et de ces réserves du Conseil d’État.
Sur le fond, il n’y a pas de modification substantielle de l’esprit de la réglementation : le principe, en matière de cookies et traceurs, reste le recueil du consentement de l’utilisateur, avec des exceptions d’interprétation stricte – seuls les cookies strictement « techniques » sont exemptés du consentement, et sous certaines conditions les cookies de mesure d’audience. L’apport principal des nouveaux textes de la CNIL consiste à préciser comment ce consentement, lorsqu’il est requis, doit être recueilli pour être valide au regard des critères du RGPD : sur ce sujet, les lignes directrices détaillent les exigences, et la recommandation donne des exemples de « bonnes pratiques » pour s’y conformer.
Concrètement, ces nouveaux outils de droit souple de la CNIL expliquent comment obtenir, dans l’univers des cookies et traceurs, un consentement libre, éclairé, spécifique, non ambigu, et révocable à tout moment – tout ceci renvoyant aux conditions de validité du consentement dans le RGPD. Ainsi, en particulier, le consentement déduit de la poursuite de la navigation, qui a longtemps été toléré par la CNIL (en contradiction d’ailleurs avec les autorités des autres Etats membres), n’est désormais plus admis. Il faut obligatoirement un acte positif clair pour exprimer son consentement.
LIRE AUSSI >> Les nouveaux défis de la cybersécurité
L’accent est mis sur le consentement de l’utilisateur. Ne risque-t-on pas de voir les pop-ups se multiplier, comme c’est déjà le cas d’ailleurs ?
De fait, les cookies étant devenus quasi omniprésents sur le web, les « bandeaux cookies » et autres pop-ups sont entrés de longue date dans les habitudes des internautes. L’aggravation ne va pas tant se jouer, selon moi, sur leur présence, mais sur leur complexité. Les bandeaux cookies étaient relativement légers et « discrets » jusqu’à présent, car beaucoup d’acteurs se reposaient sur la relative tolérance de la CNIL.
Le durcissement des exigences, dont en particulier celle d’obtenir un consentement spécifique, pour chaque catégorie de cookies, oblige à concevoir et utiliser des interfaces beaucoup plus lourdes, avec un niveau d’information extrêmement détaillé. Le pop-up finit souvent par recouvrir la totalité de l’écran, avec dans certains cas des listes de choix d’une longueur déconcertante.
Certes, la proposition d’une option du type « Accepter tous les cookies » reste possible, sous réserve, selon la CNIL, qu’elle s’accompagne d’une information complète sur l’ensemble des cookies concernés, et de la possibilité de « faire le tri » par catégorie de cookies. Se pose quand même la question du réalisme d’offrir de tels arbitrages aux internautes, dans des situations qui (nous en avons tous l’expérience) ne se prêtent pas à un choix mûrement réfléchi.
Pensez-vous que le recueil du consentement constitue une protection efficace des données à caractère personnel et de la vie privée ?
J’opère ici une distinction entre le cas général et le cas particulier des cookies : dans l’absolu, oui, il est envisageable, et même souhaitable, d’utiliser le consentement comme moyen de protection des données à caractère personnel et de la vie privée – c’est-à-dire de donner aux individus le pouvoir de décider de ce qu’ils acceptent ou non. Cela fonctionne très bien dans bon nombre de cas, ceux en fait où les individus sont pris dans des enjeux suffisamment importants pour qu’ils prennent le temps de s’intéresser véritablement aux conditions dans lesquelles leurs données seront traitées – disons, par exemple, les essais cliniques.
En revanche, il existe des situations - comme les cookies - pour lesquelles j’ai tendance à penser que la situation ne permet pas, par hypothèse, le recueil d’un consentement juridiquement valide, ni même « intellectuellement » pertinent.
La réalité de la navigation sur le web implique une fluidité et une rapidité peu compatibles avec la lecture de notices explicatives hautement détaillées, qui serait cependant nécessaire pour parler d’un consentement spécifique, univoque et éclairé !
Lorsqu’on souhaite lire un article qui correspond à deux minutes de lecture, on ne va pas consacrer cinq minutes pour vérifier quel cookie l’éditeur du site souhaiterait utiliser. Dans un tel cas de figure, les exigences de consentement éclairé me paraissent être un vœu pieux : le choix sera souvent fait « par défaut », sans prendre le temps d’étudier les pratiques réelles du site, pour aller au plus vite. Peu importe, de ce point de vue, que l’utilisateur accepte ou refuse : la décision n’en sera pas vraiment une, pas du moins au sens où le voudrait la réglementation.
Cette situation m’interroge, car dans bien d’autres situations de la vie quotidienne, les autorités de contrôle n’ont pas hésité à poser comme un principe qu’il n'est pas possible de recueillir un consentement valable : c’est le cas par exemple entre un salarié et son employeur, en raison de l’asymétrie des pouvoirs. Je m’étonne donc que dans le cas des cookies, les autorités (et le législateur unioniste) s’obstinent à centrer la réglementation sur la notion de consentement.
Existe-t-il des solutions alternatives pour protéger la vie privée ?
Il en existe en effet. Ces solutions alternatives existent d’ailleurs déjà dans la réglementation.
Il faut rappeler que dans la majorité des cas, la réglementation sur les cookies se surajoute au RGPD, dans la mesure où les cookies ont comme finalité, ou du moins pour effet, la collecte de données personnelles. Dans ces conditions, d’autres mécanismes prévus par le RGPD viennent s’appliquer pour protéger la vie privée des internautes.
Dans un article, je fais la distinction entre les mécanismes de contrôle « objectifs » et les mécanismes de contrôle « subjectifs » : les seconds recouvrent tous les outils juridiques placés entre les mains des personnes concernées pour contrôler leurs propres données – il s’agit en somme du consentement, mais aussi de tous les droits prévus par le RGPD et la loi française : droit d’accès, droit d’opposition, droit à l’effacement, etc. Les mécanismes de contrôle que je qualifie d’objectifs sont ceux, à l’inverse, dont l’activation ne dépend pas de la personne concernée : le principe de minimisation des données, les principes d’exactitude, de conservation limitée, de limitation de la réutilisation, etc. ; il s’agit d’impératifs auxquels tout traitement de données doit se conformer, indépendamment de toute action des personnes concernées.
Il serait selon moi judicieux de mettre davantage l’accent sur ces mécanismes objectifs, quitte à les fortifier et en contrôler l’application de façon plus rigoureuse, plutôt que sur le consentement. C’est toute la question de reconnaître l’intérêt légitime de l’éditeur du site comme une « base légale » à part entière pour l’utilisation de cookies : l’éditeur en question pourrait se passer du consentement s’il démontre avoir mis en œuvre des garanties « objectives » suffisantes pour protéger les droits et intérêts de ses utilisateurs. Cela a été envisagé dans le cadre de la réforme de l’actuelle « directive cookies » (destinée à être bientôt remplacée par un règlement), mais ce n’est plus le cas dans la dernière version du projet de réforme.
À ce jour, le législateur continue donc de penser le consentement comme le principe, assorti à la marge de quelques fines exceptions. Le courant « consento-sceptique » reste une position doctrinale – et encore, assez minoritaire à ma connaissance, malgré des analyses stimulantes dans la littérature anglo-saxonne.
Au-delà de ces considérations doctrinales, pour en revenir au droit positif, il existe quand même une manière de « revaloriser » le consentement en matière de cookies, qui est envisagée de longue date par la réglementation : organiser le recueil du consentement au niveau des logiciels de navigation. Le point d’entrée du consentement serait ainsi centralisé sur une seule interface, qui se devrait d’être intuitive et facile d’utilisation. Malheureusement, la CNIL continue d’estimer, dans ces dernières lignes directrices, qu’en l’état actuel des logiciels proposés sur le marché, cette possibilité n’est pas acquise ; les éditeurs de sites et d’application restent donc contraints de passer par les fameux bandeaux et pop-ups, avec toutes les limites et difficultés précédemment évoquées.
Avec l’annonce par la CNIL d’un contrôle de l’application des nouvelles lignes directrices à compter du 1er avril, les acteurs concernés sont plus que jamais incités à se pencher sur cette question du consentement de leurs utilisateurs, qui appelle, au-delà du juridique, une forte réflexion sur le design et l’user experience. Au sein du cabinet Lighten, nous nous efforçons d’intégrer ces dimensions à travers la pratique désormais incontournable du legal design, pour proposer à nos clients des solutions véritablement adaptées.
LIRE AUSSI >> Transferts des données : quelles protections pour les Européens ?
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.
Appelez au 
