[mise à jour le 5 octobre 2020] Quoi qu’en laisse à penser la campagne de presse (déjà) orchestrée par les professionnels du « marketing digital », l’Arret du Conseil d’Etat « cookie traceur » vient de valider à 99 % a délibération CNIL « cookies traceurs » du 4 juillet 2019.
Pour vous en convaincre, allez lire (avec un peu d’objectivité) l’arrêt n°434684 du 19 juin 2020.
Si les mots ont encore un sens, non, ce n’est pas un « revers » pour la CNIL qui n’a pas été « mise en difficulté » (« La Cnil doit revoir sa copie sur les cookie walls »… bla bla bla).
Au contraire ! Cet arrêt du Conseil d’Etat est une éclatante victoire juridique pour la CNIL !
Plutôt que de vous proposer un commentaire ligne à ligne de cet arrêt du Conseil d’Etat « cookie traceur » (qui n’apporte pas grand chose au fond du débat), je vous propose de revisiter, traceur par traceur, les contraintes légales de la matière.
Pour savoir – concrètement – ce que doit faire, aujourd’hui, un professionnel qui utilise un « réseau de communications électroniques » pour collecter des datas sur ses users ?
[mise à jour du 5 octobre 2020 : la délibération de la CNIL du 4 juillet 2019 a été remplacée par une délibération « lignes directrices » le 17 septembre 2020]
Si vous cherchez plus de jurisprudence applicable à la matière, allez lire ma présentation en ligne RGPD et jurisprudence 2011-2020.
Conseil d'Etat cookies traceurs : quel est le problème ?
Le problème, ce sont les géants du web qui utilisent « les capacités de traitement ou de stockage« , sans nous le dire (et depuis 1998), de nos terminaux (téléphone, tablette, ordinateur, montre connectée, que sais-je encore…).
Sans nous le dire ? ça signifie juridiquement (i) sans notre consentement et le plus souvent (ii) sans nous en informer.
Et si vous preniez la peine d’aller inspecter vos répertoires « techniques », vous seriez certainement surpris(es) par l’incroyable quantité de cookies stockés dans votre terminal.
A quoi servent les traceurs ?
Pour comprendre l’arrêt Conseil d’Etat « cookie traceur », il faut faire un peu de technique.
langage de programmation JavaScript (nécessaire à l’interrogation des « cookies ») ne date que de 1995.
Au départ, JavaScript et cookies permettaient d’analyser des paramètres techniques pour personnaliser l’affichage d’une page web selon la nature du terminal de consultation.
Vous comprendrez facilement qu’une même page web ne peut techniquement s’afficher de la même manière sur l’écran d’un laptop et sur celui d’un téléphone.
Certains cookies permettent aussi de « retenir » d’autres paramètres techniques qui sont propres à la personne qui utilise son terminal pour naviguer sur le web.
Par exemple, ces paramètres concernent le choix de la langue d’affichage des menus ou des contenus d’un site web ou d’une application mobile, etc.
Techniquement, certains de ces « traceurs » simplifient donc la vie des internautes.
Ces traceurs, juridiquement, seront qualifiés de « purement techniques« .
Mais cette même technologie (géniale) (et pas chère à déployer) a rapidement été aussi utilisée à d’autres fins… par exemple, pour afficher des publicités « personnalisées » selon le profil de l’internaute.
C’est à ce moment là que le système des traceurs, au départ purement techniques, a été dévoyé par certains professionnels.
Dévoyé au point que le « système » est devenu fou et que s’est posée la question de sa nécessaire régulation.
L’Acte I de cette régulation (constamment oubliée et franchement rarement respectée…), c’est la Directive 2002/58 « e-Privacy ».
L’Acte II a été plus médiatisé : c’est le RGPD adopté en 2016, en vigueur depuis le 25 mai 2018.
C’est pourtant cet Acte I qui a donné lieu à la délibération CNIL de 2019 qui vient d’être validée le 19 juin 2020 par l’arrêt du Conseil d’Etat « cookie traceur ».
cookies, pub ciblée en ligne et profilage
Il faut le rappeler, il n’y a rien de gratuit en ce bas monde.
Dis autrement : « si c’est gratuit, c’est vous le produit« .
Alors, si un moteur de recherche (ou un réseau social) vous propose ses services gratuitement (du moins en apparence), c’est que sa rémunération vient d’ailleurs.
Cela n’a rien de choquant en soi, sauf quand les professionnels concernés cachent sciemment à leurs « users » d’ou proviennent leurs revenus.
Et c’est bien là le problème de l’industrie de la publicité ciblée en ligne (cliquez ici pour une analyse technico-juridique de ce secteur) et du « marketing digital ».
Le « marketing digital » ? C’est tout simplement l’industrie de la collecte et de la revente de données personnelles (les « data brokers ») pour faire (notamment) de l’emailing…
Car le drame (expliqué par ces professionnels) doit se comprendre aujourd’hui de la manière suivante : « on fait ça (le tracking sauvage) depuis des années et on (l’UE et/ou la CNIL) nous règlemente ?! on va tous mourir !« .
La décision du Conseil d’Etat « cookie traceur » est une des batailles que mènent ces professionnels pour tenter de s’affranchir de cette règlementation qui gène (franchement) leurs business as usual…
INTERLUDE (fort instructif)
Allez vous documenter à propos du lobbying des constructeurs automobiles au début du XX° siècle en France contre la menace du Gouvernement d’imposer un « permis de conduire » (vous vous rendez compte ? vous allez tuer notre industrie !).
Même histoire lorsqu’il s’est agit d’imposer la ceinture de sécurité dans les voitures dans les années (19)50.
Pour cette industrie, vous savez ce qu’il en est advenu.
(fin de l’interlude)
Ceci dit, rentrons dans le vif du sujet et voyons ce qu’il en est de la législation française sur les « traceurs ».
Conseil d'Etat cookies traceurs et délibération CNIL du 4 juillet 2019 : des surprises ?!?!
Oui, on (re)découvre quelques surprises dans la loi « CNIL V3 version 2019 », comme la refonte de la transposition en droit français de la Directive 2002/58/CE du 12 juillet 2002 (article 82 de la loi Informatique et Libertés version 2019).
Sur ce point essentiel, la délibération « cookies traceur » a été en 2019 une vraie surprise dans la mesure où nous, les juristes, étions nombreu(ses)x à guetter l’adoption du Règlement « e-privacy » dont le premier projet date de janvier 2017.
[mise à jour du 11 juin 2020 : l’Allemagne qui prend la présidence tournante de l’UE en juillet 2020 vient d’annoncer vouloir boucler la réforme du Règlement « e-Privacy » (en remplacement de la Directive éponyme n°2002/58) pour fin 2020… à suivre…]
Manifestement, la CNIL avait décidé de ne plus attendre l’arlésienne en adoptant le 4 juillet 2019 une délibération spéciale (et très détaillée) sur les « opérations de lecture ou écriture dans le terminal d’un utilisateur ».
Pour mémoire (pour les juristes les plus pointilleu(ses)x, le texte de l’actuel article 82 loi CNIL v3/2018 figurait depuis la réforme de la loi CNIL en 2004 à l’article 32 II 2° :
« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord « consentement » qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle« .
Plutôt qu’un long discours, nous vous avons préparé 1 slide pour saisir en un coup d’oeil le « parcours » législatif de l’article 32 II devenu 82 de la loi « Informatique et Libertés » version décembre 2018.
Vous noterez que l’Ordonnance du 12 décembre 2018 a remplacé « accord » par « consentement« .
« Consentement » au sens du RGPD bien sûr ! [mise à jour du 22 mai 2020 : d’ou l’importance des « guidelines » du EBDP de mai 2020].
Nous reviendrons (très) bientôt sur l’analyse spécifique de la notion de « consentement », notamment appliqué au fameux « cookie wall »).
Conseil d'Etat cookies traceurs et délibération CNIL du 4 juillet 2019 : l'intro (en BD) dans le slider ci-dessous
délibération CNIL du 4 juillet 2019 et arrêt Conseil d'Etat "cookies traceurs" 2020 : qui sont les professionnels concernés ?
Vous êtes un(e) professionnel(le) et vous ne vous sentez pas concerné(e) par l’arrêt Conseil d’Etat « cookies traceurs » ?
Checklist rapide :
1) Votre entreprise commercialise des produits/services via des applications mobiles sous iOS ou Android ?
2) Votre entreprise exploite un site web de e-commerce ?
3) Votre entreprise n’est pas « opérateur de communications électroniques » au sens de la Directive 2002/21 du 7 mars 2002 ?
Si vous avez répondu OUI au point (1) ou au point (2), et même si vous m’avez aucune idée de la réponse à la question (3), nous vous le confirmons : votre entreprise est à 100% concernée par la délibération « cookies traceurs » de la CNIL !!!
Pourquoi ? parce que, pour être accessible à votre public d’internautes/de mobinautes, l’application mobile et/ou le site web votre entreprise UTILISE un réseau de communications électroniques (2G/3G/4G/5G ou Internet) au sens du « Paquet Télécom » de 2002.
Et grâce à l’un de ces réseaux de communications, votre entreprise peut déposer des « traceurs » dans le terminal des internantes/mobinautes, puis interroger/analyser/etc. ces mêmes traceurs par la suite.
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : des traceurs dans un "terminal"
Nombre de professionnel(le)s nous ont posé la question (et d’autres nous la poseront…) : un « terminal » ?
C’est défini dans la Directive 2008/63 du 20 juin 2008.
Si, pour vous, cette définition est du charabia, remerciez la CNIL qui a pris le temps de vous traduire concrètement ce qu’il faut comprendre par « terminal« .
[A la question d’un juriste « contrat », je réponds que] Non, hélas, cette définition ne peut pas être modifiée contractuellement… [nous aussi, on y avait pensé, mais c’est pas possible…].
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : un message clair de la CNIL ?
Oui, le message de la CNIL est clair, très très clair, même : vous, professisonnel(le)s qui utilisez des cookies / traceurs / pixels invisibles / web bug / canvas fingerprinting / etc. pour identifier (les terminaux de) vos « users », oubliez la délibération du 5 décembre 2013 « cookies et autres traceurs » qui est officiellement abrogée par la délibération du 4 juillet 2019.
La CNIL avait officiellement fait passer le message le 28 juin 2019 qu’un délai supplémentaire de douze mois de « mise en conformité RGPD » était laissé aux professionnels de la pub ciblée en ligne (« lignes directrices » de la CNIL accessible depuis ce lien).
Ce message de tolérance n’a pas plu à la Quadrature du Net (on se demande bien pourquoi…) qui a attaqué en référé la délibération de la CNIL (voir l’article de NextINpact du 2 aout 2019).
Le référé a été rejeté par le Conseil d’Etat (voir encore Next INpact par Marc Rees du 19 aout 2019), ainsi que le rejet du recours pour excès de pouvoir par l’arrêt du Conseil d’Etat du du 19 octobre 2019 (lire ici le communiqué du Conseil d’Etat)
Toujours est-il que l’industrie de la pub ciblée en ligne est – évidemment – également visée par cette délibération CNIL du 4 juillet 2019 sur les « traceurs ».
Mais ce n’est pas la seule « industrie » du numérique qui soit impactée : TOUS les traceurs sont concernés, même les « cookies de mesure d’audience ».
Les traceurs de TOUS les éditeurs de site web et d’application mobile (même les cabinets d’avocats !!!).
TOUS les « traceurs » sont concernés.
PS : dans les slides ci-dessous, lorsque vous lirez « logiciel », pensez qu’une application mobile est – sans doute possible – un « logiciel ».
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : "traceur" ? Vous avez dit "traceur" ?
Oubliez la litanie (technique, donc pénible) des différents traceurs permettant d’identifier directement un terminal, donc indirectement une personne physique.
Cette définition ne prend les cookies en compte que comme une technique d’identification possible parmi d’autres.
Comme dans les projets successifs de Règlement « e-Privacy », la notion de « traceur » est volontairement voulue la plus large possible par cette législation.
Et le Conseil d’Etat a validé le 19 juin 2020 cette approche de la CNIL sans restriction ni réserve !
Comprenez-le bien, chères lectrices, chers lecteurs : c’est une volonté politique de l’UE, suivie par la Cour de Justice de l’UE qui, elle aussi, ne fait qu’appliquer les Directives et les Règlements adoptés à Bruxelles.
Bref, pour le dire en mots simples, est un « traceur » tout procédé technique (logiciel et/ou matériel) permettant d’identifier un terminal en ligne.
Nous vous avons préparé 1 slide pour résumer l’inventaire à la Prévert des exemples que donne la CNIL de ce que peut être un traceur :
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : les "opérations de lecture ou écriture dans le terminal d'un utilisateur" ?
Si les « traceurs » sont les moyens techniques permettant d’identifier un terminal en ligne, le vocabulaire utilisé par la CNIL est plus précis encore.
Il s’agit d’encadrer les « opérations de lecture ou écriture dans le terminal d’un utilisateur » par les professionnels.
Fort logiquement, la CNIL distingue :
– « l’inscription d’informations… dans l’équipement terminal d’un utilisateur » (on pense ici tout particulièrement aux [désormais célèbres] cookies ou « témoins de connexion« )
– « l’accès » « à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur » (on pense ici par exemple à la technique dite du « canvas fingerprinting« ).
Pour mémoire, dans le projet v2 de Règlement e-Privacy (octobre 2017), les termes utilisés étaient « utilisation des capacités de traitement ou de stockage d’un terminal« . On parle donc bien d eta même chose !
Pour les archéologues du droit, vous pouvez vous référer à notre présentation en ligne en support d’une conférence faite à Paris II en février 2018 sur ce sujet précis…
Pour le dire en termes « cookie », il s’agit de la règlementation du dépôt des cookies dans le terminal d’un internaute (smartphone, tablette, ordinateur, etc.) comme de son interrogation par les professionnels via un site web ou une APP mobile, comme le fait d’être « flashé(e) » en géolocalisation dans un magasin (par une puce RFID ou un « beacon » via la Wi-Fi de votre smartphone…).
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : les professionnels concernés et les définitions dans le slider ci-dessous !
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : traitement AVEC ou SANS consentement ?
Retenez un principe simple : tout traitement de données personnelles à partir d’un « traceur », quel qu’il soit, est par principe un traitement de données AVEC consentement préalable, éclairé, etc.
A ce principe est ajouté en France une « exemption » sous conditions: les traceurs de mesure d’audience, nous y reviendrons ci-dessous.
Après le principe et son exemption, la CNIL prévoit deux (2) dérogations, strictes, pour utiliser des traceurs SANS consentement (mais toujours avec information préalable). Nous y reviendrons ci-dessous aussi.
Si vous souhaitez réviser ce qu’est un traitement de données AVEC consentement (préalable, éclairé, etc.) au sens du RGPD, ou comment doivent fonctionner le consentement et le « droit à l’oubli », nous vous préparons une prochaine présentation dédiée à jour des « guidelines » du EBDP de mai 2020.
Nous y évoquerons alors le problème du « cookies wall » (allons… un peu de patience… ce n’est en réalité qu’un épiphénomène du problème).
l'exemption [de consentement] sous conditions pour les (seuls) traceurs de mesure d'audience
2° étape de notre voyage au pays des merveilles Traceurs.
Pour les traceurs de « mesure d’audience », le principe reste le « consentement préalable » sauf… si ce traceur remplit l’ensemble des conditions posées par la CNIL.
Et ces conditions sont nombreuses et cumulatives (ça veut dire qu’il faut toutes les respecter en même temps)
Il y en a 6, qui évoquent toutes les principes RGPD que doit respecter un traitement de données à caractère personnel (finalité, minimisation, durée de conservation, etc.).
Nous n’évoquerons dans cette synthèse qu’une de ces 6 conditions : celle relative à la durée de conservation.
Vous trouverez le détail complet de ces conditions dans la présentation en BD en fin de ce post.
Nous vous rappelons juste que si l’une des 6 conditions manque, le traceur de mesure d’audience doit être soumis au régime « AVEC consentement préalable« .
C’est la loi qui le dit.
Et ce régime spécifique d’exemption sous conditions est validé à 100 % par l’arrêt du 19 juin 2020 du Conseil d’Etat « cookie traceur ».
délibération CNIL et arrêt Conseil d'Etat "cookies traceurs" : des traceurs SANS consentement (article 6 délib. du 4 juillet 2019) ?
3° et dernière étage de ce voyage numérique au pays des Traceurs.
Oui, les traceurs SANS consentement existent depuis 2002. Heureusement !
Car le régime dérogatoire de l’article 6 rappelé par la CNIL dans sa délibération du 4 juillet 2019 était déjà prévu (sous forme discrète) dans la réforme de 2004 de la loi « Informatique et Libertés ».
Ce régime dérogatoire, lui aussi, vient d’être validé à 100 % par l’arrêt du 19 juin 2020 du Conseil d’Etat.
Nous en profitons pour vous rappeler que, depuis le 25 mai 2018, les traitements de données personnelles à des fins de sécurité des systèmes d’information (considérants n°47 et n°49 du RGPD) ou de détection de la fraude en ligne, ne requirent pas de demande de consentement préalable.
La CNIL rappelle simplement que les traceurs SANS consentement (mais toujours avec information préalable) sont cantonnés à deux hypothèses (d’interprétation restrictive, évidemment) :
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : des "cookies traceurs" pour "permettre ou faciliter la communication par voie électronique" ?
Ne cherchez plus : ce sont les traceurs « purement techniques » qui permettent de faciliter le fonctionnement technique (la performance/l’efficacité/la bonne langue d’affichage/etc.) de la « communication électronique » pour connecter un « user » au site web ou à l’APP mobile.
Sauf – bien entendu – les traceurs permettant de personnaliser l’affichage de publicité qui ne sont pas « purement techniques » depuis l’arrêt « Croque futur » du Conseil d’Etat du 6 juin 2018.
Rien de neuf sous le soleil en juin 2020 : c’est juste le rappel de la Directive 2002/58 « e-Privacy ».
des "cookies traceurs" "strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur" ???
Ce critère n’est pas nouveau (non plus), puisqu’il figurait à l’article 5.3 de la Directive 2002/58.
Un « service de communication en ligne au public » ?
C’est par exemple un site web ou une application mobile.
« à la demande expresse de l’utilisateur » ?
La visite de votre site web / l’utilisation de votre application mobile est OBLIGATOIRE parce que la loi le veut ?
non ?
Alors, l’internaute utilise votre application mobile / site web à sa « demande expresse ». Parce que l’internaute le décide librement (volontairement, sans contrainte légale, etc.).
délibération CNIL et Conseil d'ETAT "cookies traceurs" : "strictement nécessaire à la fourniture d'un service" web ?
Haaaaaaa… c’est là que ça coince souvent : « strictement nécessaire » ?
Un professionnel peut décider de vous proposer un accès à son « service de communications au public en ligne » avec un traceur de personnalisation pour l’affichage de son site web (ou de son application mobile) sur votre terminal.
Sans utiliser les données de tiers mais juste faire la promotion de ses produits ou services à lui (détecter des fraudes à l’achat / assurer la sécurité contre les nombreuses tentatives d’intrusion / etc.).
Non, ce professionnel n’est pas tenu de vous demander votre consentement. La loi ne dit justement pas ça.
Ce professionnel doit juste vous en informer au préalable (et s’en tenir strictement à ce qu’il vous dit ce qu’il fait de vos données personnelles).
Ce point, lui encore, vient d’être validé à 100 % par l’arrêt du 19 juin 2020 du Conseil d’Etat « cookie traceur ».
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : un traceur SANS consentement ? oui, mais un traceur "avec information préalable" !!!
Ici encore, il ne s’agit pour la CNIL que d’un rappel des principes du RGPD.
C’est dire si, depuis juillet 2019 (depuis 2002 en réalité), les professionnels ont du mal à accepter les règles à mettre en oeuvre en la matière.
C’est en cela que l’arrêt du 19 juin 2020 du Conseil d’Etat est en réalité une victoire éclatante de la CNIL sur la résistance des « professionnels » de la pub en ligne et du « marketing digital » dont l’argumentation juridique ne pouvait pas tenir…
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : "cookies traceurs" : traitement AVEC ou SANS consentement ? C'est expliqué dans le slider ci-dessous
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : quelle(s) sanction(s) ?
Finie la rigolade… Il est temps de parler des sanctions en cas de non-respect de cette délibération, puisque le Conseil d’Etat vient d’en valider 99 % des dispositions.
Ce régime de sanctions potentielles est donc aujourd’hui – sans doute possible – du droit positif !
Avec le OK du Conseil d’Etat, la CNIL aurait tort de se priver… d’autant plus que ce même 19 juin 2019 (Conseil d’Etat n°430810), le recours de Google contre les sanctions CNIL du 21 janvier 2019 vient d’être rejeté !
Le risque ? L’interdiction temporaire ou définitive du traitement opéré à partir des traceurs… (ou directement une injonction de la CNIL de cesser le traitement).
RAPPEL : le non-respect d’une injonction CNIL = sanction pécuniaire jusqu’à 4 % du CA de l’entreprise….
Ce n’est pas moi qui le dit, mais la CNIL dans sa délibération n°2019-093 et la loi CNIL v3 rectifiée en décembre 2018.
Sur ce point – hé oui, encore – le Conseil d’Etat valide à 100 % la position de la CNIL (alors, il est où, ce « revers » infligé par le Conseil d’Etat à la CNIL ???).
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : sanctions pécuniaires + sanctions pénales ???
Je crains qu’il ne faille le rappeler, EN PLUS DES SANCTIONS PECUNIAIRES RGPD, il existe les dispositions pénales en cas de manquement à la loi CNIL v3 (sanctions entièrement ré-écrites par l’Ordonnance du 12 décembre 2018).
Nous vous invitons à vous référer aux slides ci-dessous ou à aller lire les articles 226-16 à 226-24 du Code pénal « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques« .
D’expérience, je peux vous affirmer que l’entreprise qui laisse son nom attaché à une première jurisprudence publiquement infamante n’apprécie que modestement ce privilège…
délibération CNIL 2019 et arrêt du Conseil d'Etat "cookies traceurs" 2020 : les sanctions (pour se motiver à lire le reste de cette présentation...) ? dans le slider ci-dessous
le générique des BD (merci les Editions Delcourt / Soleil !!!)
C’est dans le slider ci-dessous ! (message personnel : merci @Sebastien Le Foll !)