Conseil d'État
N° 434684
ECLI:FR:CECHR:2020:434684.20200619
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
M. Alexandre Lallet, rapporteur public
SCP GATINEAU, FATTACCINI, REBEYROL, avocats
Lecture du vendredi 19 juin 2020
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et trois mémoires en réplique, enregistrés les 18 septembre et 1 novembre 2019 et les 29 janvier, 3 avril et 13 mai 2020 au secrétariat du contentieux du Conseil d'Etat, l'association des agences-conseils en communication, la fédération du e-commerce et de la vente à distance, le groupement des éditeurs de contenus et services en ligne, l'Interactive Advertising Bureau France, la Mobile Marketing Association France, le syndicat national communication directe de la data à la logistique, le syndicat des régies internet, l'union des entreprises de conseil et d'achat media et l'union des marques, demandent au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir la délibération n° 2019-093 du 4 juillet 2019 de la Commission nationale de l'informatique et des libertés (CNIL) portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) ;
2°) à titre subsidiaire, de surseoir à statuer dans l'attente de la décision de la Cour de justice de l'Union européenne sur treize questions préjudicielles portant sur l'interprétation des dispositions combinées de la directive 2002/58/CE du 12 juillet 2002, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatives au consentement et de la directive 2019/2161 modifiant la directive 2011/83/UE, articulées de la manière suivante :
- Question n°1 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec les articles 4, sous-11 et 95 du règlement UE 2016/679, ainsi qu'avec l'article 4, point 2, sous-b) de la directive 2019/2161 modifiant la directive 2011/83/UE, doivent-ils être interprétés en ce sens que sont, par principe, prohibés des offres et des contrats portant sur l'accès à des contenus et service numériques, en vertu desquels le consommateur s'engage à fournir des données à caractère personnel au professionnel '
- Question n° 2 : en cas de réponse négative à la première question, les dispositions précitées doivent-elles être interprétées comme interdisant à l'autorité nationale de contrôle de poser, de manière générale, une prohibition des offres et des contrats portant sur l'accès à des contenus et services numériques, en vertu desquels le consommateur fournit ou s'engage à fournir des données à caractère personnel au professionnel '
- Question n° 3 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec les articles 4, sous-11, 5, point 1 sous-b) et 95, ainsi que les considérants 32 et 42 du règlement 2016/679 doivent-ils être interprétés en ce sens qu'ils exigent que l'accord des utilisateurs, pour être valable, soit exprimé par une action séparée pour chacune des finalités distinctes portée à leur connaissance en vue du stockage d'informations ou de l'accès à des informations déjà stockées dans leur équipement terminal '
- Question n°4 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec l'article 4, sous-11, l'article 95 et le considérant 4 du règlement (UE) 2016/679 doivent-ils être interprétés en ce sens qu'ils imposent, préalablement au stockage d'informations ou à l'accès à des informations stockées dans l'équipement terminal de l'utilisateur, de solliciter et de recueillir l'expression d'un éventuel refus préalable de ce dernier '
En cas de réponse positive à la quatrième question, les dispositions précitées doivent-elles être interprétées comme :
* édictant une obligation qui s'impose aussi bien à l'égard des finalités pour lesquelles le consentement de l'utilisateur est requis qu'à l'égard des finalités pour lesquelles le consentement de l'utilisateur n'est pas requis (question n° 5) '
* imposant que l'expression du refus préalable de l'utilisateur soit conservée pendant une certaine durée (question n° 6) '
En cas de réponse positive à la sixième question, les dispositions précitées doivent-elles être interprétées comme :
- laissant le choix à l'autorité nationale de contrôle de fixer elle-même la durée de conservation de l'expression du refus de l'utilisateur comme devant faire l'objet d'une fixation par prescription des Etats-membres (question n° 7) '
- interdisant de solliciter de nouveau, pendant la durée de conservation de l'expression du refus, le consentement préalable de l'utilisateur ou comme autorisant qu'il soit mis fin à la durée de conservation de l'expression du refus préalable lorsque, sollicité à nouveau, l'utilisateur exprime un consentement préalable en lieu et place de son refus (question n° 8) '
- Question n° 9: les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE lus conjointement avec les articles 4 sous-11), 6 point 1 sous-a) et 95 du règlement (UE) 2016/679 doivent-ils être interprétés en ce sens qu'ils imposent, comme condition de validité du consentement de l'utilisateur, d'informer l'utilisateur des catégories d'entités poursuivant les finalités portées à sa connaissance relatives aux opérations d'enregistrement ou de lecture d'informations stockées dans son terminal, y compris lorsque ces opérations ne constituent pas un traitement de données à caractère personnel '
- Question n° 10 : ces mêmes dispositions doivent-elles être interprétées en ce sens que, en cas de multiplicité des entités poursuivant les finalités portées à la connaissance de l'utilisateur, elles imposent, comme condition de validité du consentement de l'utilisateur, d'informer celui-ci de l'identité de chacune des entités susceptibles d'être destinataire d'informations stockées dans son terminal dans le cadre des opérations d'enregistrement et de lecture de ces informations '
- En cas de réponse positive à la question n° 10, ces mêmes dispositions doivent-elle être interprétées en ce sens que, à finalité constante ayant fait l'objet d'un consentement valable de l'utilisateur, elles imposent de mettre constamment à jour la liste des entités destinataires et de porter cette liste à la connaissance de l'utilisateur pour solliciter de nouveau l'expression de son accord, lorsque des entités destinataires nouvelles n'avaient pas été listées lors de l'expression antérieure de son accord pour la même finalité (question n°11) '
- Question n° 12 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec les articles 4, sous-11), 7 point 1, sous-a), 13, 14 et 95 du règlement (UE) 2016/679, doivent-ils être interprétés en ce sens qu'ils exigent que l'accord de l'utilisateur, pour être valable, soit assorti de la conservation de l'information fournie à ce dernier, relative à l'identification de chacune des entités destinataires des informations stockées ou lues dans son terminal'
- En cas de réponse positive à la question n° 12, les dispositions précitées doivent-elles être interprétées en ce sens qu'elles exigent que soit mise à jour et renouvelée la liste des entités destinataires, lorsqu'elles sont modifiées, et que soit conservée 1'information donnée à ce titre à 1' utilisateur, à défaut de quoi son consentement ne serait pas valide même si la finalité à laquelle il a consenti reste inchangée (question n° 13) '
3°) de mettre à la charge de la CNIL, la somme de 15 000 euros au titre de l'article L. 761 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978;
- le décret n° 2019-536 du 29 mai 2019 ;
- l'arrêt de la Cour de justice de l'Union européenne C-673/17 Bundesverband der Verbraucherzentralen un Verbraucherverbände - Verbraucherzentrale Bundesverband eV contrePlanet49 GmbH du 1er octobre 2019 ;
- le code de justice administrative et l'ordonnance n° 2020-305 du 25 mars 2020 modifiée ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes en service extraordinaire,
- les conclusions de M. Alexandre Lallet, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Gatineau, Fattaccini, Rebeyrol, avocat de l'association des Agences-conseils en communication, de la fédération du E-commerce et de la vente à distance (fevad), du groupement des éditeurs de contenus et services en ligne (geste), de la société Interactive advertising bureau France (iab France), de la société Mobile Marketing Association France (mma France), du syndicat National communication directe de la data à la logistique (sncd), du syndicat des régies Internet (sri), de l'Union des entreprises de conseil et d'achat média (udecam) et de l'Union des marques ;
Vu la note en délibéré, enregistrée le 12 juin 2020, présentée par la CNIL ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que la Commission nationale de l'informatique et des libertés (CNIL) a, le 4 juillet 2019, adopté une délibération n° 2019-093 par laquelle elle a arrêté des " lignes directrices " relatives à l'application aux opérations de lecture et écriture dans le terminal d'un utilisateur de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ces lignes directrices s'inscrivent dans le cadre d'un plan d'action sur le ciblage publicitaire annoncé le 28 juin 2019, dont elles constituent la première étape, et ont vocation à être complétées, à l'issue d'une phase de concertation avec les professionnels du secteur et la société civile, par l'adoption d'une recommandation destinée à guider les opérateurs s'agissant des modalités pratiques de recueil du consentement prévu par l'article 82 de la loi du 6 janvier 1978 applicables aux " cookies " et autres traceurs de connexion. Cette délibération, d'une part, livre l'interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions de sa part et, d'autre part, édicte des recommandations de bonnes pratiques à destination des opérateurs concernés.
Sur la régularité de la procédure d'adoption de la délibération attaquée :
2. Contrairement à ce qui est soutenu, il ressort des visas de la délibération du 4 juillet 2019 ainsi que des pièces que la CNIL a versées au dossier que cette délibération a été adoptée au terme d'une procédure conforme aux prescriptions du décret du 19 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après une convocation des membres de la commission par sa présidente comportant l'ordre du jour de la réunion, dans le respect des règles de quorum et de majorité requises pour l'adoption des délibérations et après recueil des observations du commissaire du gouvernement.
Sur la compétence de la CNIL pour prendre la délibération attaquée :
3. D'une part, conformément au I de l'article 8 de la loi du 6 janvier 1978, la CNIL est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD). Elle est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations. En vertu du 2° du I de cet article 8, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagement internationaux de la France. Elle peut, à ce titre, établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables. Le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit en outre que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ". L'article 20 de cette loi confie à son président le pouvoir de prendre les mesures correctrices en cas non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d'être prononcées.
4. D'autre part, aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ". Ces dispositions assurent la transposition en droit national de l'article 5, point 3, de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elles doivent dès lors être interprétées à la lumière des dispositions de cet article aux termes desquelles : " Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ". En vertu de l'article 94 du règlement (UE) 2016/679 du 27 avril 2016, " les références faites à la directive abrogée s'entendent comme faites au présent règlement ".
5. Il résulte de l'économie générale de la loi du 6 janvier 1978 et, en particulier, des dispositions citées aux points précédents, que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement du 27 avril 2016. Elle dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en oeuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple. Il s'ensuit que le moyen tiré de ce que la CNIL était incompétente pour adopter des " lignes directrices " applicables, de manière générale, aux " cookies " et autres traceurs de connexion doit être écarté.
Sur le régime applicable aux " cookies " et autres traceurs de connexion :
6. En premier lieu, il résulte des dispositions citées au point 4 telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019, que les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur. Il s'ensuit que la CNIL a pu, sans erreur de droit, faire application à ces traitements de données du régime du consentement requis pour les traitements de données à caractère personnel.
7. En second lieu, en se référant, pour adopter ses " lignes directrices ", sur les différents travaux du comité européen de protection des données (CEPD) qui est, en vertu des articles 68 et 70 du règlement du 27 avril 2016, chargé de garantir une application uniforme des dispositions dudit règlement entre les Etats membres et peut édicter des lignes directrices à cette fin, la CNIL, qui n'a, ce faisant, pas cherché à conférer à ces travaux une valeur contraignante dont ceux-ci sont dénués, n'a commis aucune erreur de droit.
Sur l'interdiction du recours aux " cookie walls " :
8. L'article 2 de la délibération attaquée prévoit, au titre du " caractère libre du consentement " que " la Commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement. / A ce titre, la Commission rappelle que le CEPD, dans sa " déclaration sur la révision de la directive " ePrivacy " et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques ", a considéré que la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (" cookie walls ") n'est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté) ".
9. D'une part, s'agissant des " cookie walls ", pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion, il ressort des termes de l'article 2 précité que la CNIL s'est bornée à rappeler que le CEPD la considère comme non conforme aux exigences qui découlent du RGPD. En rappelant la position du CEPD sur ce point, sans la faire sienne, la CNIL, qui ne s'est pas méprise sur la portée des recommandations du comité, n'a pas entendu leur donner force obligatoire.
10. D'autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des " cookies walls ". En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.
Sur l'indépendance, la spécificité et le caractère éclairé du consentement :
11. Il résulte des dispositions de l'article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002 citées au point 4, que les opérations de lecture et d'écriture dans le terminal d'un abonné ou d'un utilisateur doivent donner lieu à une information claire et complète de ce dernier, dans le respect des exigences du RGPD, notamment en ce qui concerne les finalités du traitement.
12. En premier lieu, aux termes de l'article 13 du RGPD, l'information claire et complète dont doit disposer la personne avant le recueil de son consentement inclut " a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable de traitement ; (...) / e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent (...) ". Il résulte des dispositions de l'article 82 de la loi du 8 janvier 1978 précitées, éclairées par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du règlement du 27 avril 2016 précitées, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Il s'ensuit que la CNIL a pu légalement, d'une part, rappeler que, parmi les informations devant être portées à la connaissance de l'utilisateur, figure notamment et à tout le moins " l'identité du ou des responsables de traitement ", et, d'autre part, préciser que l'utilisateur " doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir " dans la mesure où ces entités, au nombre desquelles ne figurent pas les destinataires de données, apparaissent comme responsables ou co-responsables du traitement de données.
13. En deuxième lieu, l'article 7, point 1, du règlement du 27 avril 2016 dispose que " dans les cas où le traitement repose sur le consentement, le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ". Il résulte clairement de ces dispositions que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs telles qu'elles sont définies au point précédent doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.
14. En troisième lieu, il découle des dispositions précitées de l'article 82 de la loi du 8 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités. Il s'ensuit qu'en rappelant que " la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte " la CNIL qui, ce faisant, n'a pas défini les modalités concrètes selon lesquelles le consentement devait être recueilli, n'a pas méconnu les dispositions applicables en la matière.
Sur les autres obligations formulées par la délibération attaquée :
15. En premier lieu, l'article 4, point 11, du RGPD définit le consentement de la personne concernée comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ". Aux termes de l'article 7, paragraphe 3, du même règlement : " La personne concernée a le droit de retirer son consentement à tout moment ". Il résulte clairement de ces dispositions combinées avec celles de l'article 82 de la loi du 6 janvier 1978 citées au point 3 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait " être aussi facile de refuser ou de retirer son consentement que de le donner ", s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.
16. En deuxième lieu, il résulte des dispositions précitées de l'article 82 de la loi du 6 janvier 1978 que sont dispensées du recueil du consentement les opérations de lecture ou d'écriture d'informations stockées dans le terminal d'un utilisateur qui sont strictement nécessaires au fonctionnement technique du site ou qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. Il ressort des pièces du dossier que la CNIL a, à l'article 5 de la délibération attaquée, énuméré les conditions que doivent respecter les traceurs de mesure d'audience pour bénéficier d'une telle exemption du recueil du consentement, en indiquant notamment que les traceurs utilisés par ces traitements qui relèvent d'une des deux catégories visées à ce même article 82, ne doivent pas avoir une durée de vie excédant treize mois et que les informations collectées par l'intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à vingt-cinq mois. En définissant de telles durées indicatives pour l'utilisation des traceurs et pour la conservation des informations collectées par leur biais, la CNIL, qui ne pouvait légalement pas fixer de durée limite de validité aux cookies de mesure d'audience, s'est bornée à préconiser, à travers des orientations non contraignantes des durées d'usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues aux deux derniers alinéa de l'article 82. Il s'ensuit que, contrairement à ce qui est soutenu, la délibération attaquée n'est pas entachée d'illégalité sur ce point.
17. En dernier lieu, il ressort des termes mêmes de la délibération attaquée que la CNIL a indiqué, à son article 6, qu'afin d'assurer l'objectif de transparence pleine et entière sur les cookies et autres traceurs non soumis au consentement préalable, les utilisateurs doivent être informés de leur existence et de leur finalité, par exemple par le biais d'une mention dans la politique de confidentialité des organisations y ayant recours. En fixant un tel objectif de transparence, après avoir rappelé que la loi ne soumet ces cookies à aucune obligation de recueil du consentement préalable de l'utilisateur, pas plus qu'elle n'impose d'offrir la possibilité de s'opposer à l'utilisation de tels traceurs, la CNIL n'a pas entendu imposer une nouvelle obligation d'information non prévue par la loi, mais simplement favoriser la diffusion de bonnes pratiques pour l'utilisateur des traceurs non soumis à un consentement préalable, ainsi qu'elle peut légalement le faire en application du 2° du I de l'article 8 de la loi du 6 janvier 1978 citées au point 3. Il s'ensuit que, contrairement à ce qui est soutenu, la délibération attaquée n'est pas davantage entachée d'illégalité sur ce point.
18. Il résulte de tout ce qui précède, sans qu'il soit besoin de poser des questions préjudicielles à la Cour de justice de l'Union européenne, que les requérantes ne sont fondées à demander l'annulation que du quatrième alinéa de l'article 2 de la délibération qu'elles attaquent. Il y a lieu, dans les circonstances de l'espèce, de mettre à la charge de la CNIL la somme globale de 3 000 euros à verser aux associations requérantes au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Le quatrième alinéa de l'article 2 de la délibération de la CNIL du 4 juillet 2019 est annulée.
Article 2 : La CNIL versera aux associations requérantes une somme globale de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Article 3 : Le surplus des conclusions de la requête de l'Association des agences-conseils en communication et autres est rejeté.
Article 4 : La présente décision sera notifiée à l'association des agences-conseils en communication, à la fédération du e-commerce et de la vente à distance, au groupement des éditeurs de contenus et services en ligne, à l'Interactive Advertising Bureau France, à la Mobile Marketing Association France, au syndicat national communication directe de la data à la logistique, au syndicat des régies internet, à l'union des entreprises de conseil et d'achat media, à l'union des marques et à la Commission nationale de l'informatique et des libertés.
N° 434684
ECLI:FR:CECHR:2020:434684.20200619
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
Mme Christelle Thomas, rapporteur
M. Alexandre Lallet, rapporteur public
SCP GATINEAU, FATTACCINI, REBEYROL, avocats
Lecture du vendredi 19 juin 2020
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire et trois mémoires en réplique, enregistrés les 18 septembre et 1 novembre 2019 et les 29 janvier, 3 avril et 13 mai 2020 au secrétariat du contentieux du Conseil d'Etat, l'association des agences-conseils en communication, la fédération du e-commerce et de la vente à distance, le groupement des éditeurs de contenus et services en ligne, l'Interactive Advertising Bureau France, la Mobile Marketing Association France, le syndicat national communication directe de la data à la logistique, le syndicat des régies internet, l'union des entreprises de conseil et d'achat media et l'union des marques, demandent au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir la délibération n° 2019-093 du 4 juillet 2019 de la Commission nationale de l'informatique et des libertés (CNIL) portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) ;
2°) à titre subsidiaire, de surseoir à statuer dans l'attente de la décision de la Cour de justice de l'Union européenne sur treize questions préjudicielles portant sur l'interprétation des dispositions combinées de la directive 2002/58/CE du 12 juillet 2002, du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatives au consentement et de la directive 2019/2161 modifiant la directive 2011/83/UE, articulées de la manière suivante :
- Question n°1 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec les articles 4, sous-11 et 95 du règlement UE 2016/679, ainsi qu'avec l'article 4, point 2, sous-b) de la directive 2019/2161 modifiant la directive 2011/83/UE, doivent-ils être interprétés en ce sens que sont, par principe, prohibés des offres et des contrats portant sur l'accès à des contenus et service numériques, en vertu desquels le consommateur s'engage à fournir des données à caractère personnel au professionnel '
- Question n° 2 : en cas de réponse négative à la première question, les dispositions précitées doivent-elles être interprétées comme interdisant à l'autorité nationale de contrôle de poser, de manière générale, une prohibition des offres et des contrats portant sur l'accès à des contenus et services numériques, en vertu desquels le consommateur fournit ou s'engage à fournir des données à caractère personnel au professionnel '
- Question n° 3 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec les articles 4, sous-11, 5, point 1 sous-b) et 95, ainsi que les considérants 32 et 42 du règlement 2016/679 doivent-ils être interprétés en ce sens qu'ils exigent que l'accord des utilisateurs, pour être valable, soit exprimé par une action séparée pour chacune des finalités distinctes portée à leur connaissance en vue du stockage d'informations ou de l'accès à des informations déjà stockées dans leur équipement terminal '
- Question n°4 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec l'article 4, sous-11, l'article 95 et le considérant 4 du règlement (UE) 2016/679 doivent-ils être interprétés en ce sens qu'ils imposent, préalablement au stockage d'informations ou à l'accès à des informations stockées dans l'équipement terminal de l'utilisateur, de solliciter et de recueillir l'expression d'un éventuel refus préalable de ce dernier '
En cas de réponse positive à la quatrième question, les dispositions précitées doivent-elles être interprétées comme :
* édictant une obligation qui s'impose aussi bien à l'égard des finalités pour lesquelles le consentement de l'utilisateur est requis qu'à l'égard des finalités pour lesquelles le consentement de l'utilisateur n'est pas requis (question n° 5) '
* imposant que l'expression du refus préalable de l'utilisateur soit conservée pendant une certaine durée (question n° 6) '
En cas de réponse positive à la sixième question, les dispositions précitées doivent-elles être interprétées comme :
- laissant le choix à l'autorité nationale de contrôle de fixer elle-même la durée de conservation de l'expression du refus de l'utilisateur comme devant faire l'objet d'une fixation par prescription des Etats-membres (question n° 7) '
- interdisant de solliciter de nouveau, pendant la durée de conservation de l'expression du refus, le consentement préalable de l'utilisateur ou comme autorisant qu'il soit mis fin à la durée de conservation de l'expression du refus préalable lorsque, sollicité à nouveau, l'utilisateur exprime un consentement préalable en lieu et place de son refus (question n° 8) '
- Question n° 9: les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE lus conjointement avec les articles 4 sous-11), 6 point 1 sous-a) et 95 du règlement (UE) 2016/679 doivent-ils être interprétés en ce sens qu'ils imposent, comme condition de validité du consentement de l'utilisateur, d'informer l'utilisateur des catégories d'entités poursuivant les finalités portées à sa connaissance relatives aux opérations d'enregistrement ou de lecture d'informations stockées dans son terminal, y compris lorsque ces opérations ne constituent pas un traitement de données à caractère personnel '
- Question n° 10 : ces mêmes dispositions doivent-elles être interprétées en ce sens que, en cas de multiplicité des entités poursuivant les finalités portées à la connaissance de l'utilisateur, elles imposent, comme condition de validité du consentement de l'utilisateur, d'informer celui-ci de l'identité de chacune des entités susceptibles d'être destinataire d'informations stockées dans son terminal dans le cadre des opérations d'enregistrement et de lecture de ces informations '
- En cas de réponse positive à la question n° 10, ces mêmes dispositions doivent-elle être interprétées en ce sens que, à finalité constante ayant fait l'objet d'un consentement valable de l'utilisateur, elles imposent de mettre constamment à jour la liste des entités destinataires et de porter cette liste à la connaissance de l'utilisateur pour solliciter de nouveau l'expression de son accord, lorsque des entités destinataires nouvelles n'avaient pas été listées lors de l'expression antérieure de son accord pour la même finalité (question n°11) '
- Question n° 12 : les articles 2 sous-f) et 5, paragraphe 3 de la directive 2002/58CE, lus conjointement avec les articles 4, sous-11), 7 point 1, sous-a), 13, 14 et 95 du règlement (UE) 2016/679, doivent-ils être interprétés en ce sens qu'ils exigent que l'accord de l'utilisateur, pour être valable, soit assorti de la conservation de l'information fournie à ce dernier, relative à l'identification de chacune des entités destinataires des informations stockées ou lues dans son terminal'
- En cas de réponse positive à la question n° 12, les dispositions précitées doivent-elles être interprétées en ce sens qu'elles exigent que soit mise à jour et renouvelée la liste des entités destinataires, lorsqu'elles sont modifiées, et que soit conservée 1'information donnée à ce titre à 1' utilisateur, à défaut de quoi son consentement ne serait pas valide même si la finalité à laquelle il a consenti reste inchangée (question n° 13) '
3°) de mettre à la charge de la CNIL, la somme de 15 000 euros au titre de l'article L. 761 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son Préambule ;
- la directive n° 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 ;
- le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978;
- le décret n° 2019-536 du 29 mai 2019 ;
- l'arrêt de la Cour de justice de l'Union européenne C-673/17 Bundesverband der Verbraucherzentralen un Verbraucherverbände - Verbraucherzentrale Bundesverband eV contrePlanet49 GmbH du 1er octobre 2019 ;
- le code de justice administrative et l'ordonnance n° 2020-305 du 25 mars 2020 modifiée ;
Après avoir entendu en séance publique :
- le rapport de Mme Christelle Thomas, maître des requêtes en service extraordinaire,
- les conclusions de M. Alexandre Lallet, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Gatineau, Fattaccini, Rebeyrol, avocat de l'association des Agences-conseils en communication, de la fédération du E-commerce et de la vente à distance (fevad), du groupement des éditeurs de contenus et services en ligne (geste), de la société Interactive advertising bureau France (iab France), de la société Mobile Marketing Association France (mma France), du syndicat National communication directe de la data à la logistique (sncd), du syndicat des régies Internet (sri), de l'Union des entreprises de conseil et d'achat média (udecam) et de l'Union des marques ;
Vu la note en délibéré, enregistrée le 12 juin 2020, présentée par la CNIL ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier que la Commission nationale de l'informatique et des libertés (CNIL) a, le 4 juillet 2019, adopté une délibération n° 2019-093 par laquelle elle a arrêté des " lignes directrices " relatives à l'application aux opérations de lecture et écriture dans le terminal d'un utilisateur de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ces lignes directrices s'inscrivent dans le cadre d'un plan d'action sur le ciblage publicitaire annoncé le 28 juin 2019, dont elles constituent la première étape, et ont vocation à être complétées, à l'issue d'une phase de concertation avec les professionnels du secteur et la société civile, par l'adoption d'une recommandation destinée à guider les opérateurs s'agissant des modalités pratiques de recueil du consentement prévu par l'article 82 de la loi du 6 janvier 1978 applicables aux " cookies " et autres traceurs de connexion. Cette délibération, d'une part, livre l'interprétation que retient la CNIL de la réglementation applicable en la matière, en rappelant que sa méconnaissance pourra donner lieu à des sanctions de sa part et, d'autre part, édicte des recommandations de bonnes pratiques à destination des opérateurs concernés.
Sur la régularité de la procédure d'adoption de la délibération attaquée :
2. Contrairement à ce qui est soutenu, il ressort des visas de la délibération du 4 juillet 2019 ainsi que des pièces que la CNIL a versées au dossier que cette délibération a été adoptée au terme d'une procédure conforme aux prescriptions du décret du 19 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, après une convocation des membres de la commission par sa présidente comportant l'ordre du jour de la réunion, dans le respect des règles de quorum et de majorité requises pour l'adoption des délibérations et après recueil des observations du commissaire du gouvernement.
Sur la compétence de la CNIL pour prendre la délibération attaquée :
3. D'une part, conformément au I de l'article 8 de la loi du 6 janvier 1978, la CNIL est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE du 24 octobre 1995, dit règlement général sur la protection des données (RGPD). Elle est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations. En vertu du 2° du I de cet article 8, la CNIL veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagement internationaux de la France. Elle peut, à ce titre, établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables. Le premier alinéa de l'article 16 de la loi du 6 janvier 1978 prévoit en outre que la formation restreinte de la CNIL " prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre ". L'article 20 de cette loi confie à son président le pouvoir de prendre les mesures correctrices en cas non-respect des obligations résultant du règlement (UE) 2016/279 ou de ses propres dispositions, ainsi que la possibilité de saisir la formation restreinte en vue du prononcé des sanctions susceptibles d'être prononcées.
4. D'autre part, aux termes de l'article 82 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s'y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. / Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : / 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; / 2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ". Ces dispositions assurent la transposition en droit national de l'article 5, point 3, de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Elles doivent dès lors être interprétées à la lumière des dispositions de cet article aux termes desquelles : " Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ". En vertu de l'article 94 du règlement (UE) 2016/679 du 27 avril 2016, " les références faites à la directive abrogée s'entendent comme faites au présent règlement ".
5. Il résulte de l'économie générale de la loi du 6 janvier 1978 et, en particulier, des dispositions citées aux points précédents, que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement du 27 avril 2016. Elle dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en oeuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple. Il s'ensuit que le moyen tiré de ce que la CNIL était incompétente pour adopter des " lignes directrices " applicables, de manière générale, aux " cookies " et autres traceurs de connexion doit être écarté.
Sur le régime applicable aux " cookies " et autres traceurs de connexion :
6. En premier lieu, il résulte des dispositions citées au point 4 telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019, que les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur. Il s'ensuit que la CNIL a pu, sans erreur de droit, faire application à ces traitements de données du régime du consentement requis pour les traitements de données à caractère personnel.
7. En second lieu, en se référant, pour adopter ses " lignes directrices ", sur les différents travaux du comité européen de protection des données (CEPD) qui est, en vertu des articles 68 et 70 du règlement du 27 avril 2016, chargé de garantir une application uniforme des dispositions dudit règlement entre les Etats membres et peut édicter des lignes directrices à cette fin, la CNIL, qui n'a, ce faisant, pas cherché à conférer à ces travaux une valeur contraignante dont ceux-ci sont dénués, n'a commis aucune erreur de droit.
Sur l'interdiction du recours aux " cookie walls " :
8. L'article 2 de la délibération attaquée prévoit, au titre du " caractère libre du consentement " que " la Commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement. / A ce titre, la Commission rappelle que le CEPD, dans sa " déclaration sur la révision de la directive " ePrivacy " et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques ", a considéré que la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (" cookie walls ") n'est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté) ".
9. D'une part, s'agissant des " cookie walls ", pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion, il ressort des termes de l'article 2 précité que la CNIL s'est bornée à rappeler que le CEPD la considère comme non conforme aux exigences qui découlent du RGPD. En rappelant la position du CEPD sur ce point, sans la faire sienne, la CNIL, qui ne s'est pas méprise sur la portée des recommandations du comité, n'a pas entendu leur donner force obligatoire.
10. D'autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des " cookies walls ". En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.
Sur l'indépendance, la spécificité et le caractère éclairé du consentement :
11. Il résulte des dispositions de l'article 5, paragraphe 3, de la directive 2002/58/CE du 12 juillet 2002 citées au point 4, que les opérations de lecture et d'écriture dans le terminal d'un abonné ou d'un utilisateur doivent donner lieu à une information claire et complète de ce dernier, dans le respect des exigences du RGPD, notamment en ce qui concerne les finalités du traitement.
12. En premier lieu, aux termes de l'article 13 du RGPD, l'information claire et complète dont doit disposer la personne avant le recueil de son consentement inclut " a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable de traitement ; (...) / e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent (...) ". Il résulte des dispositions de l'article 82 de la loi du 8 janvier 1978 précitées, éclairées par les dispositions respectives de la directive 2002/58/CE telles qu'interprétées par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 et du règlement du 27 avril 2016 précitées, que pour que le consentement préalable puisse être regardé comme éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des " cookies " doit être considéré comme un responsable de traitement, y compris lorsqu'il sous-traite à des tiers la gestion de " cookies " mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour leur compte propre. Il s'ensuit que la CNIL a pu légalement, d'une part, rappeler que, parmi les informations devant être portées à la connaissance de l'utilisateur, figure notamment et à tout le moins " l'identité du ou des responsables de traitement ", et, d'autre part, préciser que l'utilisateur " doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir " dans la mesure où ces entités, au nombre desquelles ne figurent pas les destinataires de données, apparaissent comme responsables ou co-responsables du traitement de données.
13. En deuxième lieu, l'article 7, point 1, du règlement du 27 avril 2016 dispose que " dans les cas où le traitement repose sur le consentement, le responsable de traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ". Il résulte clairement de ces dispositions que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs telles qu'elles sont définies au point précédent doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.
14. En troisième lieu, il découle des dispositions précitées de l'article 82 de la loi du 8 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités. Il s'ensuit qu'en rappelant que " la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte " la CNIL qui, ce faisant, n'a pas défini les modalités concrètes selon lesquelles le consentement devait être recueilli, n'a pas méconnu les dispositions applicables en la matière.
Sur les autres obligations formulées par la délibération attaquée :
15. En premier lieu, l'article 4, point 11, du RGPD définit le consentement de la personne concernée comme " toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ". Aux termes de l'article 7, paragraphe 3, du même règlement : " La personne concernée a le droit de retirer son consentement à tout moment ". Il résulte clairement de ces dispositions combinées avec celles de l'article 82 de la loi du 6 janvier 1978 citées au point 3 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait " être aussi facile de refuser ou de retirer son consentement que de le donner ", s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.
16. En deuxième lieu, il résulte des dispositions précitées de l'article 82 de la loi du 6 janvier 1978 que sont dispensées du recueil du consentement les opérations de lecture ou d'écriture d'informations stockées dans le terminal d'un utilisateur qui sont strictement nécessaires au fonctionnement technique du site ou qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. Il ressort des pièces du dossier que la CNIL a, à l'article 5 de la délibération attaquée, énuméré les conditions que doivent respecter les traceurs de mesure d'audience pour bénéficier d'une telle exemption du recueil du consentement, en indiquant notamment que les traceurs utilisés par ces traitements qui relèvent d'une des deux catégories visées à ce même article 82, ne doivent pas avoir une durée de vie excédant treize mois et que les informations collectées par l'intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à vingt-cinq mois. En définissant de telles durées indicatives pour l'utilisation des traceurs et pour la conservation des informations collectées par leur biais, la CNIL, qui ne pouvait légalement pas fixer de durée limite de validité aux cookies de mesure d'audience, s'est bornée à préconiser, à travers des orientations non contraignantes des durées d'usage de ces cookies de nature à permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues aux deux derniers alinéa de l'article 82. Il s'ensuit que, contrairement à ce qui est soutenu, la délibération attaquée n'est pas entachée d'illégalité sur ce point.
17. En dernier lieu, il ressort des termes mêmes de la délibération attaquée que la CNIL a indiqué, à son article 6, qu'afin d'assurer l'objectif de transparence pleine et entière sur les cookies et autres traceurs non soumis au consentement préalable, les utilisateurs doivent être informés de leur existence et de leur finalité, par exemple par le biais d'une mention dans la politique de confidentialité des organisations y ayant recours. En fixant un tel objectif de transparence, après avoir rappelé que la loi ne soumet ces cookies à aucune obligation de recueil du consentement préalable de l'utilisateur, pas plus qu'elle n'impose d'offrir la possibilité de s'opposer à l'utilisation de tels traceurs, la CNIL n'a pas entendu imposer une nouvelle obligation d'information non prévue par la loi, mais simplement favoriser la diffusion de bonnes pratiques pour l'utilisateur des traceurs non soumis à un consentement préalable, ainsi qu'elle peut légalement le faire en application du 2° du I de l'article 8 de la loi du 6 janvier 1978 citées au point 3. Il s'ensuit que, contrairement à ce qui est soutenu, la délibération attaquée n'est pas davantage entachée d'illégalité sur ce point.
18. Il résulte de tout ce qui précède, sans qu'il soit besoin de poser des questions préjudicielles à la Cour de justice de l'Union européenne, que les requérantes ne sont fondées à demander l'annulation que du quatrième alinéa de l'article 2 de la délibération qu'elles attaquent. Il y a lieu, dans les circonstances de l'espèce, de mettre à la charge de la CNIL la somme globale de 3 000 euros à verser aux associations requérantes au titre de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : Le quatrième alinéa de l'article 2 de la délibération de la CNIL du 4 juillet 2019 est annulée.
Article 2 : La CNIL versera aux associations requérantes une somme globale de 3 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Article 3 : Le surplus des conclusions de la requête de l'Association des agences-conseils en communication et autres est rejeté.
Article 4 : La présente décision sera notifiée à l'association des agences-conseils en communication, à la fédération du e-commerce et de la vente à distance, au groupement des éditeurs de contenus et services en ligne, à l'Interactive Advertising Bureau France, à la Mobile Marketing Association France, au syndicat national communication directe de la data à la logistique, au syndicat des régies internet, à l'union des entreprises de conseil et d'achat media, à l'union des marques et à la Commission nationale de l'informatique et des libertés.