Conseil d'État
N° 434684
Mentionné aux tables du recueil Lebon
Lecture du vendredi 19 juin 2020
26-07-01-01-03 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Notions- Personne responsable du traitement-
Traitements de données consistant en l'utilisation de traceurs de connexion (" cookies ") - 1) a) Caractère éclairé du consentement - Conditions - Information sur l'identité des responsables de traitement - b) Identification de ces responsables dans l'hypothèse d'un traitement effectué au moyen de cookies (1) - 2) Obligation de mettre à jour la liste des responsables de traitement mise à disposition lors du recueil du consentement.
1) a) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. b) En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. 2) Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.
26-07-01-02-05 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Conditions de légalité du traitement- Consentement de la personne concernée-
Traitements de données consistant en l'utilisation de traceurs de connexion (" cookies ") - 1) Liberté du consentement - Possibilité pour la CNIL d'interdire le blocage d'accès à un site en cas de refus des cookies (" cookie walls ") par un acte de droit souple - Absence - 2) Caractère éclairé du consentement - Conditions - a) Information sur l'identité des responsables de traitement et de leurs destinataires - Portée (1) - b) Consentement à chaque finalité poursuivie par le traitement (art. 82 de la loi du 6 janvier 1978) - Modalités d'application (3) - 3) Conditions d'expression du refus de consentement.
1) La Commission nationale de l'informatique et des libertés (CNIL) affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des " cookies walls ", qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978. 2) a) Il résulte de l'article 82 de la loi du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co-responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement. b) Il découle des dispositions de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités. 3) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n° 78-17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait " être aussi facile de refuser ou de retirer son consentement que de le donner ", s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.
26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-
Traitements de données consistant en l'utilisation de traceurs de connexion (" cookies ") - 1) Information sur l'identité des responsables de traitement et de leurs destinataires - Portée (1) - 2) Consentement à chaque finalité poursuivie par le traitement (art. 82 de la loi du 6 janvier 1978) - Modalités d'application (3) - 3) Conditions d'expression du refus de consentement.
1) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement. 2) Il découle des dispositions de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités 3) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n° 78-17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait " être aussi facile de refuser ou de retirer son consentement que de le donner ", s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Compétence - 1) Champ - a) Tout traitement de données, à caractère personnel ou non, relevant du champ d'application de la loi du 7 janvier 1978 (6) - 2) Modalités d'exercice - a) Possibilité de recourir à un instrument de droit souple - b) Illustrations.
1) a) Il résulte de l'économie générale de la loi n° 78-17 du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la Commission nationale de l'informatique et des libertés (CNIL) est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD). 2) a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en oeuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple. b) Par suite, la CNIL était compétente pour adopter des " lignes directrices " applicables, de manière générale, aux cookies et autres traceurs de connexion. La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des " cookies walls ", qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.
(6) Rappr., s'agissant du champ d'application de la directive " ePrivacy " 2002/58/CE du 12 juillet 2002, CJUE, Gd. ch., 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände c/ Planet49 GmbH, C-673/17. (1) Cf., sur l'identité des responsables des traitements effectués au moyen de " cookies ", CE, 6 juin 2018, Société Editions Croque Futur, n° 412589, p. 252. (3) Cf., sur l'exigence d'une information préalable spécifique à chaque finalité, CE, décision du même jour, Société Google LLC, n° 430810, p. 229 ; Comp., s'agissant de l'exigence du recueil du consentement à un traitement de données distinct de celui du consentement à des obligations ayant un objet différent, CJUE, Gd. ch., 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände c/ Planet49 GmbH, aff. C-673/17.
N° 434684
Mentionné aux tables du recueil Lebon
Lecture du vendredi 19 juin 2020
26-07-01-01-03 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Notions- Personne responsable du traitement-
Traitements de données consistant en l'utilisation de traceurs de connexion (" cookies ") - 1) a) Caractère éclairé du consentement - Conditions - Information sur l'identité des responsables de traitement - b) Identification de ces responsables dans l'hypothèse d'un traitement effectué au moyen de cookies (1) - 2) Obligation de mettre à jour la liste des responsables de traitement mise à disposition lors du recueil du consentement.
1) a) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. b) En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. 2) Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.
26-07-01-02-05 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales- Conditions de légalité du traitement- Consentement de la personne concernée-
Traitements de données consistant en l'utilisation de traceurs de connexion (" cookies ") - 1) Liberté du consentement - Possibilité pour la CNIL d'interdire le blocage d'accès à un site en cas de refus des cookies (" cookie walls ") par un acte de droit souple - Absence - 2) Caractère éclairé du consentement - Conditions - a) Information sur l'identité des responsables de traitement et de leurs destinataires - Portée (1) - b) Consentement à chaque finalité poursuivie par le traitement (art. 82 de la loi du 6 janvier 1978) - Modalités d'application (3) - 3) Conditions d'expression du refus de consentement.
1) La Commission nationale de l'informatique et des libertés (CNIL) affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des " cookies walls ", qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi n° 78-17 du 6 janvier 1978. 2) a) Il résulte de l'article 82 de la loi du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co-responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement. b) Il découle des dispositions de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités. 3) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n° 78-17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait " être aussi facile de refuser ou de retirer son consentement que de le donner ", s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.
26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-
Traitements de données consistant en l'utilisation de traceurs de connexion (" cookies ") - 1) Information sur l'identité des responsables de traitement et de leurs destinataires - Portée (1) - 2) Consentement à chaque finalité poursuivie par le traitement (art. 82 de la loi du 6 janvier 1978) - Modalités d'application (3) - 3) Conditions d'expression du refus de consentement.
1) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978, éclairée par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement. 2) Il découle des dispositions de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités 3) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n° 78-17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait " être aussi facile de refuser ou de retirer son consentement que de le donner ", s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Compétence - 1) Champ - a) Tout traitement de données, à caractère personnel ou non, relevant du champ d'application de la loi du 7 janvier 1978 (6) - 2) Modalités d'exercice - a) Possibilité de recourir à un instrument de droit souple - b) Illustrations.
1) a) Il résulte de l'économie générale de la loi n° 78-17 du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la Commission nationale de l'informatique et des libertés (CNIL) est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD). 2) a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en oeuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple. b) Par suite, la CNIL était compétente pour adopter des " lignes directrices " applicables, de manière générale, aux cookies et autres traceurs de connexion. La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des " cookies walls ", qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi. En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.
(6) Rappr., s'agissant du champ d'application de la directive " ePrivacy " 2002/58/CE du 12 juillet 2002, CJUE, Gd. ch., 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände c/ Planet49 GmbH, C-673/17. (1) Cf., sur l'identité des responsables des traitements effectués au moyen de " cookies ", CE, 6 juin 2018, Société Editions Croque Futur, n° 412589, p. 252. (3) Cf., sur l'exigence d'une information préalable spécifique à chaque finalité, CE, décision du même jour, Société Google LLC, n° 430810, p. 229 ; Comp., s'agissant de l'exigence du recueil du consentement à un traitement de données distinct de celui du consentement à des obligations ayant un objet différent, CJUE, Gd. ch., 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände c/ Planet49 GmbH, aff. C-673/17.