La Commission Nationale Informatique et Libertés (CNIL) a adopté le 4 Juillet dernier (1), des lignes directrices relatives au cadre juridique applicable aux cookies et autres traceurs. Elles préfigurent l’actualisation du cadre de référence applicable aux cookies et autres traceurs pour en assurer la conformité avec les dispositions du Règlement Général sur la Protection des Données (RGPD) relatives au consentement (2). Ces lignes directrices seront suivies par une nouvelle recommandation, abrogeant celle de 2013 (3).
Le cookie informatique ou témoin de connexion (cookie HTTP, cookie internet, cookie de navigateur) désigne un paquet de données qu'un ordinateur reçoit, puis renvoie sans le modifier, ni le transformer. Il contient des informations permettant à un site web de conserver la trace des visites et activités. Existant depuis les années 1990 (4), ils permettent aux développeurs de sites web de conserver des données utilisateur afin de faciliter la navigation et de permettre certaines fonctionnalités. Les cookies ont toujours été plus ou moins controversés car ils contiennent des informations personnelles résiduelles pouvant potentiellement être exploitées par des tiers. Ces informations censées être privées ne le sont pas vraiment, puisqu'elles sont accessibles à un certain point.
Cet effort de renforcement des droits des internautes n’est pas la première du genre. Au-delà des similitudes sur le plan historique avec la tentative d’amélioration et de renforcement des droits des internautes au début des années 2010 (5). Au-delà de ces airs de déjà vu (I), il est nécessaire de s’interroger sur la valeur et la portée de ces nouvelles lignes directrices, qui peuvent laisser espérer des airs de renouveau (II).

I - Des airs de déjà vu:

Aujourd'hui, comme au lendemain de l’adoption de la directive dite “Paquet Télécoms” (6), un consentement explicite de l’internaute était réclamé, alors qu’un consentement implicite a été retenu.
Le paquet Télécoms adopté en 2009 a constitué la première salve du renforcement des droits des internautes. Elle a introduit entre autres, l’obligation pour les sites web d’obtenir l’accord des internautes avant l’installation des cookies sur leurs ordinateurs. Ledit “accord” était subordonné à une information claire et complète de l’internaute.
Le législateur européen a ainsi posé le principe selon lequel le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées, ne devaient être mises en œuvre qu'avec le consentement préalable de l'utilisateur sauf, si ces actions sont strictement nécessaires au fournisseur pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
Tardivement transposée en droit français (7), l'article 32-II de la loi du 6 janvier 1978 disposait que désormais tout abonné ou utilisateur d'un service de communications électroniques devait être informé de manière claire et complète.

Prenant en compte “la diversité des technologies utilisées et le nombre d’acteurs en présence”, la CNIL a après une concertation avec les principaux professionnels concernés, adopté la recommandation de 2013 (8). Aux termes de l’article 2 de ladite recommandation, l’information de l’internaute pouvait se faire par “l’apparition d’un bandeau”, ne devant disparaître que si ce dernier poursuivait sa navigation. Cette disposition a été qualifiée de “super opt-out" (9), prenant ainsi le contrepied de l’opt-in (10) découlant de la Directive “Paquet Télécoms”. La CNIL ayant été suivie dans ce sens par les autres autorités nationales de régulation européennes, l’œuvre de renforcement des droits des internautes a été anéantie.
Le réalisme économique a donc eu le dernier mot sur la réglementation. En effet, l’utilisation des cookies joue un rôle clé dans les actions et l’analyse marketing sur Internet. C’est notamment l’élément technique indispensable du marketing et du ciblage comportemental.
Devant l’échec de la première tentative, le retour de la CNIL sur sa délibération de 2013 et le recours à l’opt-in peuvent laisser dubitatif quant à l’effectivité des droits consacrés. Le doute est encore plus permis au regard de l’ampleur prise par le marketing ciblé et le commerce électronique ces dernières années et les projections pour les années à venir (11).

II- Des airs de renouveau (?)

Le changement des conditions pourrait aboutir à des effets différents.
L'entrée en vigueur du RGPD : l’entrée en vigueur du Règlement 2016/679 du 27 avril 2016 et les lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement rendaient obsolète la délibération n°2013-378 du 5 déc. 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

La délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 Janvier 1978 : prenant acte d’une part de l’évolution du “contexte législatif” et devançant l’adoption du Règlement e-privacy (12) et de l‘autre des scandales à répétition de protection de la vie privée sur internet (13), la CNIL a abrogé sa délibération de 2013. Son article 2 met fin au consentement valablement rendu par la poursuite de la navigation en énonçant qu'il « doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ».

La “confirmation” par la CJUE : dans sa décision du 1er Octobre 2019 (14), elle a jugé que le placement de cookies requérait le consentement actif des internautes. Une case cochée par défaut est donc insuffisante. Selon la Cour, le consentement de l'utilisateur d'un site Internet, pour le placement et la consultation de cookies sur son équipement, n'est pas valable lorsqu'il doit décocher une case cochée par défaut, pour refuser de donner son consentement. En effet, l'exigence d'une « manifestation » de volonté évoque clairement un comportement actif et non pas passif. Or, un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'internaute.
Seule ombre au tableau, les nouvelles lignes directrices, n’entreront en vigueur qu’à la mi 2020. La CNIL a en effet affirmé qu'une « période d'adaptation, s'achevant six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d'intégrer les nouvelles règles ».
Cette décision a fait l’objet d’une requête en référé par deux associations de protection des données à caractère personnel demandant au Conseil d'État la suspension de son exécution. Par une ordonnance rendue le 14 août 2019 (15), le juge des référés du Conseil d'État a rejeté la requête au motif que les conditions tenant au référé n'étaient pas réunies (16). Par la décision n°433069 (17), prise en sa séance du 30 Septembre 2019, le Conseil d’État a jugé légale la décision de la CNIL d’engager une concertation pour définir les nouvelles modalités pratiques d’expression du consentement en matière de publicité ciblée, et de laisser aux acteurs du secteur une période d’adaptation pour s’y conformer (18).
Tout a-t-il changé pour que rien ne change ? Il serait aventureux de trancher dans un sens ou l’autre avant le terme des concertations et la publication de la nouvelle recommandation. Pour le moment cependant, et jusqu’à mi 2020, le statu quo règne.


1- Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif).
2- Le Règlement 2016/679 du 27 avril 2016 lu ensemble avec les Lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement.
3- Délib. n° 2013-378, 5 déc. 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.
4- Inventés et déployés par la société NETSCAPE dans les années 90 dans le but « de pallier certaines faiblesses du protocole http » mais aussi afin d'améliorer la relation entre le client et le site prestataire. Ils ont fait par la suite l'objet d'une normalisation mondiale par l' Internet Engineering Task Force (IEFTF) en 1994, normalisation qui s’impose à tous les éditeurs de logiciel de navigation.
5- Directive 2009/136/CE du Parlement Européen et du Conseil du 25 novembre 2009.
6- Directives « Paquet Télécoms », modifiant PE et Cons. UE, dir.2002/58/CE, 12 juill. 2002 : PE et Cons. UE, dir. 2009/140/CE, 25 nov. 2009 ; PE et Cons. UE, dir 2009/136/CE, 25 nov. 2009).
7- Ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE.
8- Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978.
9- Nouvelles lignes directrices de la CNIL sur les cookies et autres traceurs Un coup d'épée dans l'eau ? - Libres propos par Guillaume Desgens-Pasanau, in La Semaine Juridique Edition Générale n° 40, 30 Septembre 2019, 968.
10- L'opt-in, c'est obtenir l'accord du destinataire de la publicité : s'il n'a pas dit "oui", c'est "non": cet accord s'obtient le plus souvent par une mention comme celle-ci: "Si vous souhaitez recevoir des propositions commerciales de nos partenaires par voie électronique, merci de cocher cette case".
L'opt-out, c'est lorsque le destinataire de la publicité ne s'est pas opposé : s'il n'a pas dit "non", c'est "oui": Cette fois, la mention prend le plus souvent cette forme : "Si vous ne souhaitez pas recevoir des propositions commerciales de nos partenaires par courrier postal, merci de cocher cette case".
https://www.cnil.fr/fr/cnil-direct/question/opt-opt-out-ca-veut-dire-quoi Consulté le 01/01/2020.
11- ”108 milliards de dollars (90 milliards d'euros) ont été dépensés sur les marchés du e-commerce en France en 2018, selon une étude de Market Insight...Selon l'étude, ce chiffre devrait atteindre 185 milliards de dollars d'ici 2024, ce qui correspond à un taux de croissance annuel moyen de 10,4 %“ : https://klikandpay.com/blog/les-prochaines-tendances-du-e-commerce/ Consulté le 01/01/2020.
12- https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52017PC0010
13- Prism, Cambridge Analytica entre autres.
14- http://curia.europa.eu/juris/document/document.jsf?docid=218462&doclang=FR
15- https://www.legifrance.gouv.fr/affichJuriAdmin.do?idTexte=CETATEXT000039017824&fastReqId=1170523972&fastPos=3&oldAction=rechJuriAdmin
16- https://www.laquadrature.net/2019/08/21/surveillance-publicitaire-compte-rendu-du-refere-contre-la-cnil/ Consultées le 01/01/2020
17- https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-16-octobre-2019-plan-d-action-de-la-cnil-en-matiere-de-publicite-ciblee
18- https://www.laquadrature.net/2019/10/17/le-conseil-detat-autorise-la-cnil-a-ignorer-le-rgpd/