Cookies : recette de l'indigestion
Il y a moins d’une semaine, nous vous briefions sur la position récente de la CJUE sur les cookies. A peine cette brève publiée que le Conseil d’Etat dévoile sa décision sur le sujet, en complète opposition avec la Cour de Justice.
Rappel du contexte
Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte exige des éditeurs de sites internet qu’ils s’assurent que l’internaute consente explicitement à l’installation de cookies et autres traceurs dans son appareil à des fins de publicité ciblée.
Plus d’un an après, bien des entreprises ne se sont pas mises en conformité. La CNIL a choisi de leur accorder un délai supplémentaire d’un an pour se mettre en conformité concernant l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.
La décision
Dans cette décision, le juge administratif se montre plus réservé, surtout par rapport au juge européen. Alors que ce dernier militait en faveur de la vie privée, le Conseil d’Etat se retranche derrière le « large pouvoir d’appréciation » de la CNIL.
Le Conseil d’Etat estime que les tolérances accordées aux entreprises leur permettent de s’approprier les nouvelles règles issues du RGPD et de les respecter d’ici l’été 2020. Ainsi, les pratiques de ces entreprises ne sont ni illégales, ni une violation de la vie privée des personnes physiques. Il serait possible d’y voir un délai de mise en conformité accordé jusqu’en mai 2020.
Toutefois, la décision n’empêchera pas la CNIL de contrôler et de sanctionner les manquements les plus graves, une opportunité des poursuites qu’elle pratique déjà. Mais comment justifiera-t-elle auprès des entreprises sanctionnées le choix des poursuites ?
De leur côté, les associations, dont la Quadrature du Net, pourront tout de même poursuivre les éditeurs fautifs au civil et au pénal : les lignes directrices de la CNIL n’ont aucun pouvoir contraignant sur ces juridictions.
Entre conformité actuelle et conformité future, que choisir ?
La décision du Conseil d’Etat est compliquée à mettre en œuvre à plusieurs égards.
1 - Elle entre en contradiction directe avec la décision de la CJUE dans l’arrêt « Planet49 ».
Celle-ci affirme sans ambiguïté que les simples bandeaux d’information sont inacceptables. Un geste positif de consentement de la part de l’internaute est indispensable. Si la décision a pour fondement la Directive ePrivacy de 2002 et non pas le RGPD, les deux textes sont étroitement liés. En effet, ils ont vocation à former le « Package européen Vie Privée » une fois la directive révisée. La solution a vocation à s’appliquer tout autant sur la base de RGPD.
2 - Le Conseil d’Etat ne respecte pas la hiérarchie des normes.
L’arrêt « Planet49 », rendu au titre d’une demande préjudicielle, donne l’interprétation officielle de la CJUE sur les textes concernés. Cette interprétation est, légalement, immédiatement applicable dans tous les Etats membres. En effet, les décisions de la CJUE forment un ordre juridique propre depuis les arrêts Van Gend en Loos du 5 février 1963 et Costa contre ENEL du 15 juillet 1964.
La tolérance accordée par la CNIL et la volonté de contradiction affichée par le juge administratif sont d’autant plus surprenantes que les autres autorités de contrôle européennes n’hésitent pas à sanctionner l’installation de cookies sans véritable consentement.
A titre d’exemple, l’autorité de contrôle espagnole (AEPD) a récemment sanctionné la compagnie aérienne Vueling en raison de la gestion non conforme des cookies sur son site internet. Vueling a accepté sa faute et a payé rapidement ; sa sanction a donc été réduite de 30 000€ à 18 000 €. Ces sommes n’approchent manifestement pas les plafonds de 20 Millions d’euros et 4% du Chiffre d’Affaires mondial annuel, mais la pratique a tout de même été sanctionnée.
3 - Elle crée un important facteur de risque pour les entreprises.
Ces dernières ont maintenant deux choix. Premièrement, elles peuvent suivre la position de la CJUE et se mettre en conformité maintenant. Deuxièmement, elles peuvent compter sur cette « période de tolérance » pour ne pas se mettre en conformité. Dans ce cas, elles ne sont tout de même pas à l’abri :
D’une sanction de la CNIL, celle-ci se réservant toujours le droit de sanctionner les atteintes qu’elle estime « particulièrement graves ».
De plaintes des particuliers et/ou associations, qui aura toutes les chances d’aboutir, la tolérance de la CNIL ne valant que pour elle.
En conclusion, cette décision crée plus de questions qu’elle n’en résout. Surtout, prendre la CNIL au mot crée un véritable risque pour les entreprises. En cas de doute, il nous semble plus sûr de suivre la position européenne.
Pour lire la décision, c’est par ici !
