La détermination par la CNIL de sa ligne de conduite en matière de cookies et autres traceurs vient de trouver son aboutissement par la publication de ses lignes directrices et de sa recommandation.
Les opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal d’un abonné ou d’un utilisateur de services de communications électroniques sont couramment appelées « traceurs ». Il en existe autant que la technologie peut le permettre, comme l’identification et le suivi d’une personne en fonction de son comportement sur le web (fingerpritting).
Le traceur le plus connu reste le témoin de connexion, dit « cookie », stocké sur le terminal de l’utilisateur ou de l’abonné et consultable par une tierce personne. L’utilisation de ces traceurs est régie par l’article 5 de la directive ePrivacy (dir. 2002/58/CE, 12 juill. 2002, mod. dir. 2009/136/CE, 25 nov. 2009), transposée en droit français à l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi « Informatique et Libertés » (LIL), qui renvoie pour la définition du consentement à l’article 4, 11, du Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) lu à la lumière des lignes directrices du CEPD 05/2020 du 4 mai 2020 sur le consentement.
Auparavant, les lignes directrices de la CNIL n° 2013-378 du 5 décembre 2013 s’avéraient favorables aux exploitants des traceurs. L’entrée en vigueur du RGPD impose désormais un consentement libre, spécifique, éclairé et univoque, manifesté par un acte positif clair, rendant incompatible cette nouvelle règle avec les anciennes lignes directrices, qui se contentaient par exemple d’une simple poursuite de la navigation sur un site web pour caractériser la manifestation du consentement à l’utilisation de traceurs. La CNIL a ainsi édicté de nouvelles lignes directrices le 4 juillet 2019 (délib. n° 2019-093, v. Dalloz actualité, 11 sept. 2019, obs. C. Crichton ; D. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2019. 463, obs. C. Crichton ; ibid. 703, obs. D. Lebeau-Marianna et T. Caulier ) qui ont été partiellement censurées par le Conseil d’État le 19 juin 2020 (req. n° 434684, v. Dalloz actualité, 25 juin 2020, obs. M.-C. de Montecler ; Dalloz IP/IT 2020. 189, obs. F. Coupez et G. Péronne ; Lebon ; AJDA 2020. 1264 ; Légipresse 2020. 343 et les obs. ). En parallèle, elle a élaboré un projet de recommandation précisant ses lignes directrices et qui a été soumis à consultation publique du 14 janvier au 25 février 2020.
De nouvelles lignes directrices n° 2020-091, accompagnées de leur recommandation n° 2020-092, ont ainsi été adoptées le 17 septembre 2020 et publiées au Journal officiel le 2 octobre 2020. Conformément à l’article 8, I, 2°, b), de la LIL, ces textes n’ont pour objectif que de « faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel ».
Ils n’édictent pas de règles générales et absolues en ce qu’ils se limitent à de la soft law, ce que la CNIL rappelle par ailleurs en énonçant que sa recommandation, « et notamment les exemples qui y sont proposés, n’est ni prescriptive ni exhaustive et a pour seul objectif d’aider les professionnels concernés dans leur démarche de mise en conformité ».
L’enjeu est cependant de taille puisqu’un projet de règlement ePrivacy est actuellement en discussion et les lignes directrices de la CNIL pourraient en être une source d’inspiration.