skip to Main Content

Un site Internet peut-il bloquer l’accès à son contenu à qui ne consent pas aux cookies ?

À cette question, la Commission nationale de l’informatique et des libertés (CNIL) a répondu par la négative dans ses lignes directrices du 4 juillet 2019. Cette position vient toutefois d’être censurée par le Conseil d’Etat le 19 juin 2020. Il s’agit de la deuxième fois en moins d’un an que la validité de l’approche de la CNIL sur l’encadrement des cookies est soumise au Conseil d’Etat.

Au coeur du débat le plus récent : la pratique controversée des «cookie walls». Celle-ci consiste à interdire purement et simplement l’accès à un site web à celui qui ne consent pas à l’utilisation des cookies. Pour mémoire, les cookies sont des traceurs de connexion permettant de suivre les consultations de l’internaute, à travers des fichiers déposés sur son terminal par l’éditeur du site, voire par des tiers.

Les enjeux sont d’abord juridiques. Les opérateurs s’exposent à de lourdes sanctions administratives prononcées par la CNIL ainsi qu’à des sanctions pénales. Ils sont aussi économiques : la publicité en ligne et le marketing digital reposent très largement sur le recours aux méthodes de traçage.

Dans ses lignes directrices du 4 juillet 2019, la CNIL avait d’abord rappelé la position de principe du comité européen de protection des données (CEPD), organe chargé du respect du règlement général sur la protection des données (RGPD), hostile à pratique des cookie walls. Sur ce point toutefois, le Conseil d’Etat ne se prononce pas, considérant que ce simple rappel n’a pas de portée juridique.
Les lignes directrices, des actes normatifs

Mais la CNIL est allée plus loin, puisqu’elle a elle-même pris position et affirmé que la pratique des cookie walls était contraire au RGPD. Elle estime que le consentement aux cookies n’est pas libre lorsque la conséquence du refus est l’impossibilité d’accéder au site. Une telle menace vicie le consentement de l’utilisateur.

C’est sur ce point que la CNIL a été censurée par le Conseil d’Etat. Selon l’arrêt du 19 juin 2020, la CNIL n’a pas le pouvoir, dans de simples lignes directrices, de poser une interdiction générale et absolue des cookie wall s. Ce faisant « la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple ». Cet arrêt est d’abord intéressant sous l’angle des pouvoirs de la CNIL. Il ajoute une pierre à l’édifice de la jurisprudence qui, depuis quelques années, vient encadrer l’édiction des actes de droit souple. Les « lignes directrices », qui tendent à se développer chez les autorités de régulation, sont désormais susceptibles de recours. Cette faculté de recours vient d’ailleurs d’être élargie à tous les « documents de portée générale » (GISTI, 12 juin 2020). L’arrêt du 19 juin 2020 limite le contenu de ce type d’acte, qui ne peut être normatif.
L’importance du consentement

Cet arrêt est également riche d’enseignements sur le fond. Dire que la CNIL ne peut interdire les cookie walls, c’est aussi dire, implicitement, mais nécessairement, qu’ une telle interdiction ne figure pas dans le RGPD . Cette position du Conseil d’Etat ne peut qu’être approuvée. Elle illustre parfaitement le principe de neutralité technologique, qui irrigue le RGPD, et en vertu duquel une technologie ne saurait être interdite. La légalité d’un cookie wall dépend d’une appréciation au cas par cas de la validité du consentement.

Dans ces conditions, il est permis de s’interroger sur le point de savoir si la pratique des cookie walls pourrait donner lieu à sanction. La CNIL pourrait difficilement se fonder sur la méconnaissance d’une interdiction générale : elle se heurterait au principe de légalité des délits et des peines, puisqu’une telle interdiction ne résulte pas clairement des textes. On ne peut toutefois pas exclure que l’utilisation d’un cookie wall puisse être sanctionnée, au cas par cas, si le consentement de l’utilisateur se révèle non valide. En tout état de cause, l’état du droit pourrait bientôt évoluer, puisque cette question est actuellement sur la table des négociations dans le cadre de la préparation du règlement européen « ePrivacy ».

Cette chronique vous est proposée en partenariat avec Les Echos.

Par Yann Aguila, avocat associé, Julia Apostle, avocate counsel, Juliette Crouzet, avocate et Guillaume Léonard, avocat du cabinet Bredin Prat.

Yann Aguila

Yann Aguila

Avocat à la Cour, Bredin Prat
Back To Top
×Close search
Rechercher