Conseil d'Etat, 16 octobre 2019, Plan d'action de la CNIL en matière de publicité ciblée

Décision N°433069

> Lire le communiqué

N° 433069

__________

LA QUADRATURE DU NET
CALIOPEN
__________

Mme Christelle Thomas
Rapporteur
__________

M. Alexandre Lallet
Rapporteur public
__________

Séance du 30 septembre 2019
Lecture du 16 octobre 2019
__________

REPUBLIQUE FRANÇAISE
AU NOM DU PEUPLE FRANÇAIS

Le Conseil d'Etat statuant au contentieux
(Section du contentieux, 10ème et 9ème chambres réunies)

Sur le rapport de la 10ème chambre
 de la Section du contentieux

Vu la procédure suivante :

Par une requête et un mémoire en réplique, enregistrés les 29 juillet et 24  septembre 2019 au secrétariat du contentieux du Conseil d’Etat, les associations « La Quadrature du net » et « Caliopen » demandent au Conseil d’Etat, statuant sur le fondement de l’article L. 521-1 du code de justice administrative :

1°) d’annuler pour excès de pouvoir la décision de la Commission nationale de l’informatique et des libertés (CNIL), révélée par des communiqués de presse des 28 juin et 18 juillet 2019 ;

2°) d’enjoindre à la CNIL de publier, tant sur la page d’accueil de son site internet que sur les pages de ses communiqués des 28 juin et 18 juillet, un encart faisant référence à la décision du Conseil d’Etat et indiquant que « la poursuite de la navigation » ne constitue pas un mode d’expression valable du consentement en matière de cookies et de traceurs en ligne, sous astreinte de 500 euros par jour de retard ;

3°) de mettre à la charge de l’Etat la somme de 1 024 euros au titre de l’article L. 761-1 du code de justice administrative.

            …………………………………………………………………………

Vu les autres pièces du dossier ;

Vu :
- la Constitution, notamment son Préambule ;
- la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
- la charte des droits fondamentaux de l’Union européenne ;
- la directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le code de justice administrative ;


Après avoir entendu en séance publique :

- le rapport de Mme Christelle Thomas, maître des requêtes en service extraordinaire,  
    
- les conclusions de M. Alexandre Lallet, rapporteur public ;

Vu la note en délibéré, enregistrée le 3 octobre 2019, présentée par les associations « La Quadrature du net » et « Caliopen » ;

Considérant ce qui suit :

1. Il ressort des pièces du dossier que, par un communiqué du 28 juin 2019 publié sur son site internet, la Commission nationale de l’informatique et des libertés (CNIL) a annoncé avoir élaboré un plan d’actions pour l’année 2019-2020 afin de préciser les règles applicables en matière de ciblage publicitaire en ligne et d’accompagner les acteurs dans leur mise en conformité avec ces règles. Par une délibération n° 2019-093 du 4 juillet 2019, elle a adopté des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur, notamment aux cookies et autres traceurs, et abrogé sa recommandation du 5 décembre 2013 relative aux cookies et autres traceurs. Par un communiqué également publié sur son site internet le 18 juillet 2019, la Commission a précisé que cette délibération constitue le socle de son plan d’action et a annoncé engager une concertation permettant d’adopter, au premier trimestre 2020, une recommandation précisant les modalités pratiques du recueil du consentement au dépôt de cookies et de traceurs de connexion. Elle a enfin indiqué qu’une période d’adaptation, s’achevant six mois après la publication de cette recommandation, sera laissée aux opérateurs afin de leur donner le temps d’intégrer les nouvelles règles en précisant que ce délai vise à « garantir une mise en conformité aux règles protégeant la vie privée des utilisateurs selon un standard robuste et durable fixé par le régulateur ».

2. Les associations requérantes demandent au Conseil d’Etat d’annuler la décision, révélée par les deux communiqués des 28 juin et 18 juillet 2019, par laquelle la Commission aurait regardé comme acceptable, pendant une période de transition d’environ douze mois, la poursuite de la navigation comme expression du consentement au dépôt de cookies et aurait renoncé à utiliser les pouvoirs dont elle dispose pour réprimer, pendant cette période, les manquements aux règles applicables en la matière.

Sur la fin de non-recevoir opposée par la CNIL :

3. Les avis, recommandations, mises en garde et prises de position adoptés par les autorités de régulation dans l’exercice des missions dont elles sont investies, peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu’ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d’un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d’influer de manière significative sur les comportements des personnes auxquelles ils s’adressent.

4. L’acte révélé par les communiqués des 28 juin et 18 juillet 2019 qui présentent le plan d’action élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d’influer sur le comportement des opérateurs auxquels elle s’adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs que sur les utilisateurs et abonnés de services électroniques. Compte tenu de leur objet social qui est la défense des libertés sur internet et la protection de la confidentialité des données personnelles, elle fait grief aux associations requérantes qui sont recevables à en demander l’annulation. La fin de non-recevoir opposée par la CNIL doit donc être écartée.

Sur la légalité de l’acte attaqué :

5. En premier lieu, le I de l’article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que la CNIL « 1° (…) informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations (…) » ; / 2° (…) veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France. / A ce titre : / (…) b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel (…) ; d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire (…). II.- Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi ». En vertu de l’article 20 de la même loi, la CNIL peut, en cas de non-respect des obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la loi du 6 janvier 1978, prononcer une mise en demeure à l’égard du responsable de traitement ou de son sous-traitant afin qu’il mette, dans le délai qu’elle fixe, les opérations de traitement en conformité avec les dispositions applicables. Elle peut également, le cas échéant, en complément d’une mise en demeure, prononcer à son encontre une ou plusieurs mesures correctrices ou sanctions, notamment un rappel à l’ordre, une injonction de mise en conformité du traitement, le cas échéant sous astreinte, la limitation temporaire ou définitive du traitement, pouvant aller jusqu’à son interdiction, ainsi qu’une amende.

6. Pour l’application de ces dispositions, la Commission nationale de l’informatique et des libertés dispose, s’agissant de l’usage des prérogatives qui lui ont été conférées pour l’accomplissement de ses missions, d’un large pouvoir d’appréciation, en particulier pour ce qui concerne l’exercice de son pouvoir de sanction, que ce soit pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir. A cet égard, la Commission peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu’elle a arrêtées pour l’exercice de ses pouvoirs. Il s’ensuit que, contrairement à ce qui est soutenu, la Commission n’a pas méconnu l’étendue de sa compétence en élaborant un plan d’actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu’elle a prise quant à l’usage de ses pouvoirs, notamment de sanction, afin d’atteindre les objectifs qu’elle a définis.

7. En deuxième lieu, d’une part, l’article 4 (11) du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« règlement général sur la protection des données »), définit le « consentement » de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

8. D’autre part, l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que : « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle (…) ».

9. Afin de veiller, dans le cadre de la mission qui lui est dévolue par le 2° du I de l’article 8 de la loi du 6 janvier 1978, à ce que les modalités du recueil du consentement au dépôt de cookies et autres traceurs soient conformes aux dispositions citées aux points 7 et 8, la Commission nationale de l’informatique et des libertés a abrogé sa délibération n° 2013-378 du 5 décembre 2013 portant adoption de « la recommandation cookies et autres traceurs » et a fixé, par une délibération n° 2019-093 du 4 juillet 2019, de nouvelles lignes directrices.

10. Par l’article 2 de cette délibération du 4 juillet 2019, la Commission indique que : « En application de la loi “Informatique et Libertés”, du RGPD et des lignes directrices du Comité européen de la protection des données sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l'utilisateur n'a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ». Elle souligne aussi que « le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer ». Elle précise en outre que « Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » et que « l'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement ».

11. Par le communiqué du 18 juillet 2019, la CNIL a indiqué engager une concertation avec les professionnels et la société civile dans la perspective de la publication, au premier trimestre 2020, de la recommandation sectorielle précisant les modalités pratiques de recueil du consentement annoncée dans la délibération du 4 juillet 2019.

12. S’il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d’action, une période d’adaptation, s’achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme expression du consentement n’entraînera pas la mise en mouvement de son pouvoir répressif, il ressort des pièces du dossier que la fixation d’un tel délai a pour objet de permettre, au plus tard à son terme, à l’ensemble des opérateurs de respecter effectivement les exigences résultant des dispositions citées aux points 7 et 8. Il ressort des pièces du dossier qu’un tel choix permet à l’autorité de régulation d’accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d’apporter, sur le plan technique, les garanties qu’exige l’état du droit en vigueur, dans la réalisation de l’objectif d’une complète mise en conformité de l’ensemble des acteurs à l’horizon de l’été 2020. En outre, ainsi que la CNIL l’a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage. Dans ces conditions et au vu de l’ensemble des circonstances de l’espèce, la Commission nationale de l’informatique et libertés ne peut être regardée comme ayant commis une erreur manifeste d’appréciation en retenant de telles orientations pour l’exercice de ses pouvoirs.

13. En troisième lieu, s’il est soutenu que, ce faisant, la Commission aurait méconnu le droit au respect de la vie privée protégé par l’article 7 de la charte des droits fondamentaux de l’Union européenne et l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, le droit à la protection des données personnelles garanti par l’article 8 de la charte des droits fondamentaux et l’exigence de prévisibilité découlant de l’article 7 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, l’acte attaqué, qui n’exclut pas que la Commission puisse en tout état de cause faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave à ces mêmes principes, contribue à remédier à des pratiques ne respectant pas les exigences posées par les dispositions citées aux points 7 et 8, en fixant pour l’ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles et méconnaîtrait l’exigence de prévisibilité doit être écarté.

14. Il résulte de ce qui précède que les associations requérantes ne sont pas fondées à demander l’annulation de la décision qu’elles attaquent. Leur requête doit donc être rejetée, y compris les conclusions présentées à fin d’injonction et au titre de l’article L. 761-1 du code de justice administrative.

D E C I D E :
--------------

Article 1er : La requête des associations « La Quadrature du Net » et « Caliopen » est rejetée.

Article 2 : La présente décision sera notifiée aux associations « La Quadrature du net » et « Caliopen » et à la Commission nationale de l’informatique et des libertés.