Base de jurisprudence

Ariane Web: Conseil d'État 449209, lecture du 28 janvier 2022
Analyse n° 449209
Conseil d'État

N° 449209
Publié au recueil Lebon

Lecture du vendredi 28 janvier 2022



15-05 : Communautés européennes et Union européenne- Règles applicables-

RGPD - "Guichet unique" applicable aux traitements transfrontaliers (art. 56) - 1) Champ d'application - Exclusion - Mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE - Conséquence - 2) Compétence de la CNIL pour le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques.




1) Il résulte des paragraphes 1 des articles 55 et 56 du règlement (UE) 2016/679 du 27 avril 2016 (dit "RGPD") et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du "guichet unique" applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive. 2) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l'informatique et des libertés (CNIL) par la loi n° 78-17 du 6 janvier 1978.





26-07-01-02-05 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Conditions de légalité du traitement- Consentement de la personne concernée-

Exigence du recueil du consentement (art. 82 de la loi du 6 janvier 1978) - Traitements de données consistant en l'utilisation de traceurs de connexion ("cookies") - Ediction, par la CNIL, de nouvelles lignes directrices à la suite de l'entrée en vigueur du RGPD, accompagnée de l'annonce d'une période de tolérance (1) - Circonstance sans incidence sur la légalité de la sanction, relative au respect des règles antérieures.




Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer. CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.





26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-

Exigence du recueil du consentement (art. 82 de la loi du 6 janvier 1978) - Traitements de données consistant en l'utilisation de traceurs de connexion ("cookies") - Ediction, par la CNIL, de nouvelles lignes directrices à la suite de l'entrée en vigueur du RGPD, accompagnée de l'annonce d'une période de tolérance (1) - Circonstance sans incidence sur la légalité de la sanction, relative au respect des règles antérieures.




Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer. CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière. Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition. Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.





26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-

Compétence de la CNIL pour le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques (directive 2002/58/CE) - Existence.




Il résulte des paragraphes 1 des articles 55 et 56 du règlement (UE) 2016/679 du 27 avril 2016 (dit "RGPD") et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du "guichet unique" applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en oeuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive. Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l'informatique et des libertés (CNIL) par la loi n° 78-17 du 6 janvier 1978.


(1) Rappr., s'agissant de cette prise de position publique sur le maniement par la CNIL de ces pouvoirs de sanction, CE, 16 octobre 2019, La Quadrature du net et Caliopen, n° 433069, p. 358.

Voir aussi