Saisi par les associations professionnelles du secteur des médias, de la communication et du marketing numérique, le Conseil d’Etat a annulé la disposition des lignes directrices de la Commission nationale de l’informatique et des libertés (CNIL) relative aux « cookies walls », une pratique des éditeurs de services numériques consistant à refuser l’accès à leur site internet aux internautes qui ne consentent pas à l’installation de cookies.
Assimilant les « cookie walls » à un inconvénient majeur qui vicie la liberté de consentement des personnes, la CNIL considérait que cette pratique était illicite et devait à ce titre être prohibée mais le Conseil d’Etat a estimé qu’en énonçant ainsi une interdiction générale et absolue des « cookie walls », « la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple ».
Le Conseil d’Etat a donc annulé le quatrième alinéa de l’article 2 de la délibération de la CNIL. Les autres dispositions attaquées par les associations professionnelles ont été validées, notamment en ce qui concerne l’objectif de transparence fixé par la CNIL et la durée de détention maximale des cookies exemptés de consentement.
Cependant, cet arrêt ne statue pas sur la licéité même des « cookie walls ». Il précise simplement que la CNIL ne pouvait pas déduire de l’exigence d’un consentement libre une interdiction générale et absolue desdits « cookie walls ».
Ainsi, en l’état actuel du droit positif, les acteurs du secteur restent dans l’incertitude quant à la licéité de ces dispositifs. La directive n°2019/770 du 20 mai 2019 sur les Contenus et Services Numériques semble autoriser cette pratique puisqu’elle dispose que les services numériques peuvent être proposés en échange d’un prix ou de données. Cependant, ce texte est sans préjudice du règlement général sur la protection des données (RGPD) et les dispositions de ce dernier prévalent en cas de conflit. La question est donc de savoir si le RGPD interdit le recours aux « cookie walls ». Or, s’il ne mentionne pas explicitement les « cookie walls », le RGPD semble les interdire puisqu’il prévoit que le consentement doit être libre et qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ».
Si, à l’instar de la CNIL, certaines autorités de régulation nationales des Etats membres et le comité européen de la protection des données (CEPD) considèrent que les « cookie walls » portent atteinte à la liberté du consentement, la CJUE n’a pas encore eu à se prononcer sur cette question. En tout état de cause, le recours aux « cookie walls » lors de la fourniture de services numériques encourt la sanction de la CNIL dans le cadre de l’exercice de son pouvoir de contrôle et de sanction.
Behring, Anne-Solène Gay, Juris Initiative, données personnelles, CNIL, Cookie Walls, RGPD, CEPD, consentement, cookies