Le Conseil d’État juge que la CNIL ne pouvait légalement interdire dans ses lignes directrices les « cookie walls », pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies. Le Conseil d’État confirme en revanche la légalité des autres points contestés, relatifs au recueil du consentement des internautes aux cookies et autres traceurs.
 
À la suite de l’entrée en vigueur du règlement général sur la protection des données (RGPD), la Commission nationale de l’informatique et des libertés (CNIL) a adopté en 2019 de nouvelles lignes directrices relatives aux « cookies » et autres traceurs de connexion déposés par les éditeurs de sites internet dans les ordinateurs, tablettes ou téléphones des utilisateurs à des fins, notamment, de ciblage publicitaire.
 
Diverses associations professionnelles ont saisi le Conseil d’État d’une requête tendant à l’annulation de ces lignes directrices.

A lire aussi :  En attendant e-privacy : des cookies au goût amer

 
L’interdiction des « cookie walls » ne pouvait pas figurer dans les lignes directrices
 
Les requérants contestaient en particulier l’interdiction, par les lignes directrices attaquées, de la pratique des « cookie walls » par laquelle les éditeurs de sites internet bloquent l’accès à leurs sites lorsque l’internaute ne consent pas au suivi de sa navigation au moyen du dépôt de cookies et des traceurs de connexion. 
 
Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.
 
Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités du traitement de données
 
Les requérants critiquaient également le point des lignes directrices précisant que les utilisateurs doivent « être en mesure de donner leur consentement de façon indépendante et spécifique pour chaque finalité distincte ». La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés impose que le consentement de l’utilisateur préalable au dépôt de traceurs porte sur chacune des finalités du traitement des données recueillies. Le Conseil d’État précise que cette exigence implique, lorsque que le recueil du consentement est effectué de manière globale, qu’il soit précédé d’une information spécifique à chacune des finalités. Le Conseil d’État juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.
 
Le Conseil d’État confirme par ailleurs la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.