La CNIL dans une délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) vient d’estimer que le blocage de l’accès à un site internet est interdit en cas de refus des cookies, technologie pour laquelle la CNIL utilise volontiers le terme de « traceur ». La CNIL entend ainsi combattre la technique dite du « cookie walls », expression que l’on peut traduire par « pas de permission, pas d’accès ».
Table des matières
1) La position de la CNIL sur le refus des cookies et le blocage de l’accès au site internet
Dans cette délibération la CNIL indique qu’en application de la loi « Informatique et Libertés », du RGPD et des lignes directrices du Comité européen de protection des données (CEPD) sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.
La CNIL s’attache ensuite à apporter des précisions sur le caractère libre du consentement en affirmant qu’elle considère que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement.
La CNIL poursuit en rappelant que le CEPD, dans sa « déclaration sur la révision de la directive « ePrivacy » et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques » https://edpb.europa.eu/our-work-tools/our-documents/drugi/statement-edpb-revision-eprivacy-regulation-and-its-impact_fr , a considéré que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. Le CEPD, indique la CNIL, considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté).
Bien que le raisonnement du CEPD soit critiquable la CNIL s’aligne sur celui-ci. Il résulte tant de la position du CEPD que de la CNIL que bloquer l’accès à un site internet en raison du refus des cookies est interdit. Il semble dès lors que chaque site internet au lieu de bloquer l’accès à un utilisateur qui refuse les cookies doit être en mesure de lui proposer une navigation sans cookies, ou, plus exactement, sans cookies pour lequel le recueil d’un consentement est nécessaire.
La navigation résultant du refus des cookies pourrait ainsi se faire selon un mode dégradé. Or cette dégradation entraîne une certaine incertitude car selon sa nature et son étendue il pourrait être estimé que l’utilisateur subit des conséquences négatives, ou des inconvénients majeurs, suite à son refus des cookies.
2) Une position similaire à celle de l’autorité néerlandaise
La CNIL n’est pas la première autorité d’un pays auquel le RGPD s’applique à aller dans le sens de l’interdiction du blocage de l’accès à un site internet en cas de refus des cookies. Son homologue néerlandaise avait pris une décision similaire.
Au sujet de la position qu’avait adopté l’homologue néerlandaise de notre CNIL, l’International Advertising Bureau avait estimé qu’il y avait une atteinte au droit de propriété des propriétaires des sites internet et que cette interdiction n’était en réalité posée par aucun texte.
3) Une position à venir de l’autorité de contrôle irlandaise sur les cookies et le blocage de l’accès au site internet
En conformité avec ses déclarations l’International Advertising Bureau dispose d’un site internet qui bloque l’accès aux utilisateurs qui refusent ses cookies.
C’est d’ailleurs en raison de la présence de ce cookies wall qu’une action a été engagée contre l’International Advertising Bureau devant l’autorité de contrôle irlandaise. Cette action a été engagée par le chief privacy officer du navigateur Brave. Dans le cadre de sa défense l’International Advertising Bureau maintien que ni le RGPD ni la directive ePrivacy n’empêchent un propriétaire d’un site internet de subordonner l’accès à son site Web à un consentement préalable en ce qui concerne les cookies et / ou tout traitement de données qui lui est associé. Il sera intéressant de prendre connaissance ultérieurement de la décision qu’adoptera l’autorité de contrôle irlandaise.