Les associations de La Quadrature du Net et CaliOpen n'auront pas obtenu ce qu'elles voulaient : le Conseil d'État a rejeté leur recours contre la stratégie de la CNIL en matière de cookies et de traceurs.

La Quadrature du Net n’aura pas réussi à transformer l’essai. Le 16 octobre, le Conseil d’État a annoncé le rejet du recours de l’association La Quadrature du Net, spécialisée dans la défense des libertés individuelles sur Internet. À travers son action, elle voulait contraindre la CNIL de se montrer plus stricte, en cessant d’aménager un régime spécial temporaire et assoupli pour les cookies et autres traceurs, dans la mesure elle estimait qu’il y avait eu assez de périodes de transition comme ça.

Seul élément de consolation : La Quadrature du Net et CaliOpen (une autre association qui travaille sur un projet de messagerie centré sur l’amélioration de la vie privée) se sont vues reconnaître par la plus haute juridiction de l’ordre administratif français le droit d’attaquer la Commission nationale de l’informatique et des libertés à propos des lignes directrices relatives aux cookies. La CNIL avait tenté de faire valoir qu’aucune des deux associations ne justifiait « d’un intérêt direct et certain » dans cette affaire.

conseil-etat
Le Conseil d’État // Source : Lino Bento

L’analyse du Conseil d’État diffère : « Compte tenu de leur objet social qui est la défense des libertés sur internet et la protection de la confidentialité des données personnelles, elle fait grief aux associations requérantes qui sont recevables à en demander l’annulation. La fin de non-recevoir opposée par la CNIL doit donc être écartée », lit-on dans la décision. À défaut de mieux, c’est un élément de satisfaction pour les deux associations, malgré une issue défavorable.

Une souplesse utile à terme

Quant à la raison qui a conduit le Conseil d’État à rejeter l’action des deux associations, elle tient au fait que la CNIL, en tant qu’autorité administrative indépendante, « dispose d’un large pouvoir d’appréciation dans l’exercice de ses missions ». Cette indépendance couplée à cette souplesse d’action lui permet dès lors « d’élaborer un tel plan d’action et le rendre public ». Même si cela entraîne un certain décalage entre l’entrée en vigueur du RGPD et la pleine application de ses dispositions.

Marie-Laure Denis cnil
Marie-Laure Denis // Source : DR-CSA

En fait, le Conseil d’État considère même que la « tolérance » de la CNIL sur les cookies et des traceurs peut être bénéfique et aboutir à « un meilleur respect effectif du droit de la protection des données personnelles ». Autrement dit, en laissant du mou dans la mise en conformité avec ces règles, il est possible d’arriver un meilleur résultat, plutôt qu’en s’arc-boutant sur le RGPD. « L’exercice du pouvoir de sanction ne serait […] pas susceptible de faire respecter plus rapidement  », écrit-il.

Sur le papier, la CNIL prévoit de faire respecter pleinement les exigences fixées par le RGPD à l’horizon de l’été 2020 — sachant que ce texte est entré en vigueur le 25 mai 2018 –, ce qui doit laisser encore un peu de temps pour que chacun s’approprie ces nouvelles règles. Jusqu’à cette date, « la poursuite de la navigation comme expression du consentement au dépôt de cookies » sera donc valide. Et si jamais il y a des abus particulièrement graves, la CNIL garde la possibilité de procéder à des sanctions même maintenant.

Partager sur les réseaux sociaux