EXTRAIT DE LA REVUE LA SEMAINE JURIDIQUE – ENTREPRISE ET AFFAIRES – N° 38 – 19 SEPTEMBRE 2019

La délibération 2019-093 du 4 juillet 2019 sur les cookies et autres traceurs

Une préface à la révolution e-privacy !

POINTS-CLÉS ➜ Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a adopté des lignes directrices sur les cookies et autres traceurs ➜ Ces lignes directrices ont pour objet de rappeler le droit applicable aux opérations de lecture ou écriture dans le terminal d’un utilisateur, et notamment l’usage des cookies et autres traceurs ➜ Elles ont été publiées au Journal officiel du 19 juillet 2019.

Matthieu Bourgeois avocat associé, KGA Avocats et Marion Moine avocat, KGA Avocats

La révolution d’une pratique bien ancrée dans le monde du digital.

Depuis l’adoption par la Commission nationale Informatique et libertés (CNIL) de sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs (CNIL, délib. n° 2013-378, 5 déc. 2013, ci-après la « délibération Cookies et Traceurs ». -V. notamment, JCP E 2014, act. 7), la plupart des acteurs concernés s’y sont conformés. Complétant de la sorte le régime de l’article 32, II, ancien de la loi Informatique et libertés n° 78-17 (L. n° 78-17, 6 janv. 1978, art. 82 nouv. issu de Ord. n° 2018-1125, 12 déc. 2018, art. 1er : JO 13 déc. 2018, texte n° 5 ; JCP E 2018, act. 949 ; JCP G 2018, 1371 ; JCP E 2019, 1042, M. Bourgeois et M. Moine, ci-après la « LIL »), la CNIL recommandait d’informer et recueillir le consentement de ces derniers en procédant en deux étapes :

• tout d’abord, par l’apparition du désormais illustre bandeau d’information, lequel avait pour objectif essentiel d’informer les utilisateurs (i) des finalités des accès et/ou inscriptions sur leurs terminaux de communications électroniques, (ii) mais également du fait que la poursuite de leur navigation vaut consentement au dépôt des cookies et autres traceurs qui le requièrent (seul deux types de cookies et traceurs sont exemptés de consentement préalable, à savoir ceux – L. n° 78- 17, 6 janv. 1978, art. 82, al. 1 nouv. – qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ceux qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur),
• puis par l’information des moyens dont ils disposent pour s’y opposer, en paramétrant leurs préférences accessibles via un lien hypertexte (seconde étape). Cette dernière étape avait d’ailleurs fait l’objet de récents éclaircissements par le Conseil d’État dans une décision en date du 6 juin 2018, confirmant ainsi une sanction pécuniaire de la CNIL à l’encontre de la société Éditions Croque Futur qui édite le site (CE, 10e et 9e ch. réunies, 6 juin 2018, n° 412589 : JurisData n° 2018-009651). Les juges administratifs ont effectivement confirmé que les seules informations relatives au paramétrage des navigateurs ne constituent pas un mécanisme d’opposition valable.
  

Un encadrement qui s’est révélé insuffisant avec le temps. – Ces dispositions issues d’une transposition de l’article 5, 3 de la directive 2002/58/CE Vie privée et communications électroniques (PE et Cons. CE, dir. 2002/58/CE, 12 juill. 2002 : JOUE n° L 201, 31 juill. 2002, p. 37 ; JCP E 2002, act. 199, ci-après la « directive e-Privacy »), qui, bien que débordant le seul champ d’application des « données à caractère personnel » (et s’appliquant également aux données non couvertes par la directive 95/46 devenue le RGPD), sont toutefois essentiellement appliquées à ce type de données, en pratique. Celles-ci complètent désormais depuis son entrée en application le 25 mai 2018, le règlement européen n° 2016/678 sur la protection des données à caractère personnel (PE et Cons. UE, règl. (UE) n° 2016/678, 27 avr. 2016 : JOUE n° L 119, 4 mai 2016, p. 1 ; JCP E 2016, act. 422 ; JCP E 2016, dossier 1323 à 1329, ci-après le RGPD), dont l’objectif était en particulier d’uniformiser les règles en la matière au sein de l’ensemble des États membres de l’Union. Poursuivant cette impulsion, il avait été souhaité que les règles en matière de vie privée et de communications électroniques soient renforcées et harmonisées sur tout le territoire de l’Union en faisant, en conséquence, le choix du règlement. C’est ainsi que la Commission européenne a adopté en janvier 2017, une proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/ CE (ci-après le « règlement e-Privacy »). Ce dernier texte fait, depuis, l’objet d’intenses discussions, et pour cause : son adoption, en l’état, bouleverserait les règles et la pratique jusqu’alors en vigueur…

La Semaine Juridique – Entreprise et Affaires

L’hebdomadaire des juristes d’affaires.

Inclus dans votre abonnement : l’accès sur tablette, smartphone et en version web

AUTEUR(S) : Julie Klein, Tristan Azzi,Martine Behar-Touchais, Florence Deboissy, Bruno Dondero, Antoine Gaudemet, Dominique Legeais, François-Xavier Lucas, Vincent Malassigné, Philippe Pétel, Christophe Roquilly, Christophe Seraglini, Frédéric Stasiak et Bernard Teys