Le Conseil d’Etat rejette le recours contre la décision de la CNIL d’organiser une concertation pour la publicité ciblée,  et l’expression du consentement et une période d’adaptation aux acteurs du secteur

L’arrêt du 16 octobre du Conseil d’Etat

Quelques extraits de cette décision.

La mise en œuvre d’un plan d’action sur le consentement

6. …… , la Commission nationale de l’informatique et des libertés dispose, s’agissant de l’usage des prérogatives qui lui ont été conférées pour l’accomplissement de ses missions, d’un large pouvoir d’appréciation, en particulier pour ce qui concerne l’exercice de son pouvoir de sanction, que ce soit pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir. A cet égard, la Commission peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu’elle a arrêtées pour l’exercice de ses pouvoirs. Il s’ensuit que, contrairement à ce qui est soutenu, la Commission n’a pas méconnu l’étendue de sa compétence en élaborant un plan d’actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu’elle a prise quant à l’usage de ses pouvoirs, notamment de sanction, afin d’atteindre les objectifs qu’elle a définis.

Sur le consentement au sens des nouvelles lignes directrices du 4 juillet 2019 de la CNIL au regard du RGPD et de la loi de 1978 modifiée

6. En deuxième lieu, d’une part, l’article 4 (11) du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« règlement général sur la protection des données »), définit le « consentement » de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
7. D’autre part, l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que : « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s’y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle (…) ».
8. Afin de veiller, dans le cadre de la mission qui lui est dévolue par le 2° du I de l’article 8 de la loi du 6 janvier 1978, à ce que les modalités du recueil du consentement au dépôt de cookies et autres traceurs soient conformes aux dispositions citées aux points 7 et 8, la Commission nationale de l’informatique et des libertés a abrogé sa délibération n° 2013-378 du 5 décembre 2013 portant adoption de « la recommandation cookies et autres traceurs » et a fixé, par une délibération n° 2019-093 du 4 juillet 2019, de nouvelles lignes directrices.
9. Par l’article 2 de cette délibération du 4 juillet 2019, la Commission indique que : « En application de la loi “Informatique et Libertés”, du RGPD et des lignes directrices du Comité européen de la protection des données sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ». Elle souligne aussi que « le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer ». Elle précise en outre que « Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » et que « l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement ».

A propos de la période d’adaptation

12. S’il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d’action, une période d’adaptation, s’achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme expression du consentement n’entraînera pas la mise en mouvement de son pouvoir répressif, il ressort des pièces du dossier que la fixation d’un tel délai a pour objet de permettre, au plus tard à son terme, à l’ensemble des opérateurs de respecter effectivement les exigences résultant des dispositions citées aux points 7 et 8. Il ressort des pièces du dossier qu’un tel choix permet à l’autorité de régulation d’accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d’apporter, sur le plan technique, les garanties qu’exige l’état du droit en vigueur, dans la réalisation de l’objectif d’une complète mise en conformité de l’ensemble des acteurs à l’horizon de l’été 2020.En outre, ainsi que la CNIL l’a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage. Dans ces conditions et au vu de l’ensemble des circonstances de l’espèce, la Commission nationale de l’informatique et libertés ne peut être regardée comme ayant commis une erreur manifeste d’appréciation en retenant de telles orientations pour l’exercice de ses pouvoirs.
13. En troisième lieu, s’il est soutenu que, ce faisant, la Commission aurait méconnu le droit au respect de la vie privée protégé par l’article 7 de la charte des droits fondamentaux de l’Union européenne et l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, le droit à la protection des données personnelles garanti par l’article 8 de la charte des droits fondamentaux et l’exigence de prévisibilité découlant de l’article 7 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, l’acte attaqué, qui n’exclut pas que la Commission puisse en tout état de cause faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave à ces mêmes principes, contribue à remédier à des pratiques ne respectant pas les exigences posées par les dispositions citées aux points 7 et 8, en fixant pour l’ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles et méconnaîtrait l’exigence de prévisibilité doit être écarté.