Chacun a pu voir, depuis deux ans, que la navigation sur Internet se fait désormais après passage obligé par un bandeau "Cookies", destiné à … à quoi au fait ? Informer l'internaute sur l'existence de traceurs de navigation, ou bien recueillir son autorisation pour le traitement de tels traceurs ? Ce n'est pas la même chose. Et que se passe-t-il si l'internaute refuse ces traceurs, et en particulier, s'il refuse de cliquer sur la case "Ok" qui est presque systématiquement présentée sans alternative sérieuse et compréhensible ?

Chacun a pu constater qu'en pareil cas, même sans cliquer sur la case "Ok", il est possible de poursuivre la navigation sur le site. La plupart du temps, cette poursuite de navigation est considérée comme une acceptation tacite du recueil des traceurs : l'effet est donc strictement équivalent, que l'internaute clique ou pas sur la case "Ok".

Cette situation est permise par la délibération n° 2013-378 du 5 décembre 2013 portant adoption de "la recommandation cookies et autres traceurs" par laquelle la CNIL a édicté le principe du consentement tacite par poursuite de navigation, dans des termes bien connus des internautes ("En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [Cookies ou autres traceurs ]pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]").

Problème : l'article 4 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (le désormais incontournable "RGPD"), définit le "consentement" de la personne concernée comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement".

Dès le 28 novembre 2017, le groupe de travail sur la protection des données (dit "G29", ou groupe des "CNIL européennes", prédécesseur du Comité européen de la protection des données) a publié les lignes directrices du recueil du consentement et a constaté sans ambiguïté l'incompatibilité entre la définition du consentement dans le RGPD et le consentement tacite par poursuite de navigation : "Les responsables du traitement devraient élaborer des mécanismes de consentement clairs pour les personnes concernées. Ils doivent éviter toute ambiguïté et s’assurer que l’acte par lequel le consentement est accordé puisse se distinguer de tout autre acte. Aussi la simple poursuite de l’utilisation ordinaire d’un site Internet n’est-elle pas un comportement qui permet de supposer une manifestation de volonté de la part de la personne concernée visant à donner son accord à une opération de traitement envisagée".

On savait donc dès le 28 novembre 2017, que six mois plus tard, le 25 mai 2018, c’est-à-dire au terme du délai de deux ans laissé aux Etats membres pour transposer le RGPD en droit interne, cette pratique serait illégale ; mais chaque internaute peut constater qu'elle est loin d'avoir disparu depuis lors.

Pourquoi ?

Première raison : un retard étonnant de la CNIL à abroger ses lignes directrices du 5 décembre 2013. Alors que les pouvoirs publics français se sont (amplement) félicités que la France ait présidé le groupe G29 sur la protection des données de 2014 à 2018, c'est précisément sous la présidence française qu'ont été adoptées les directives du 28 novembre 2017 dénonçant le consentement tacite par poursuite de navigation.

Et pourtant la CNIL (qu'Isabelle Falque-Pierrotin présidait  en même temps que le G29 pour ses secondes mandatures dans chacune de ces deux institutions), n'aura pas été capable de publier des lignes directrices révisées pour l'échéance du 25 mai 2018, laissant se prolonger des pratiques devenues illégales depuis cette même date. Il aura fallu attendre une délibération n° 2019-093 du 4 juillet 2019 pour qu'enfin la Commission reconnaisse que la règle est applicable en France.

Deuxième fait étonnant : à partir des lignes directrices du 4 juillet 2019, un nouveau délai d'un an a été laissé par la CNIL qui, dans un communiqué publié le 28 juin 2019 sur son site Internet, déclare qu'elle "laisse aux acteurs une période transitoire de 12 mois, afin qu’ils aient le temps de se conformer aux principes qui divergent de la précédente recommandation. Durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable".

Cette remarquable mansuétude provoque le report de l'entrée en vigueur de l'un des points les plus essentiels du RGPD - le consentement comme clef de voûte du traitement des données à caractère personnel - au terme d'un délai qui est désormais de quatre ans (on a tendance à oublier que le RGPD date du 27 avril 2016, et que rien n'obligeait la France à profiter jusqu'au bout du délai de transposition de deux ans, qu'au demeurant elle a dépassé : loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles).

Troisième raison à ce retard substantiel : les réticences du Conseil d'Etat à recadrer la CNIL.

Saisi par la Quadrature du net (l'ONG qui "lutte pour qu'Internet reste un outil d'émancipation"), d'une requête en référé tendant à la suspension de la délibération CNIL du 4 juillet 2019 et du communiqué du 28 juin 2019, invoquant, au titre de la condition d'urgence, une grave violation de la protection des droits fondamentaux dans l'environnement numérique et, notamment, du droit au respect de la vie privée et à la protection des données personnelles, le juge des référés du Conseil d'Etat a rejeté la requête par une ordonnance n° 433.070 du 14 août 2019, au motif que, "l'examen de la requête tendant à l'annulation de la décision attaquée sera inscrit au rôle d'une séance de jugement du Conseil d'Etat le 30 septembre 2019", et qu'il ne lui apparaissait pas que d'ici là (c’est-à-dire entre le 14 août et le 30 septembre 2019), les droits des internautes seraient gravement lésés par le maintien du consentement tacite par poursuite de navigation et l'impossibilité concomitante de recueillir la preuve du consentement…

C'est ensuite par une décision n° 433.069 du 16 octobre 2019, adoptée en chambres réunies et qui sera publiée au Recueil Lebon, que le Conseil d'Etat a jugé de la requête au fond, tendant à l'annulation de la délibération CNIL du 4 juillet 2019 et du communiqué du 28 juin 2019.

Le Conseil d'Etat admet la recevabilité de la requête dirigée contre le communiqué du 28 juin 2019 publié sur le site Internet de la CNIL, qu'il assimile à une véritable décision administrative, décrite comme une "prise de position publique de la CNIL sur le maniement de ses pouvoirs, notamment de sanction, pour veiller au respect des règles relatives à la protection des données à caractère personnel".

Mais il rejette ensuite la requête en considérant que la CNIL doit, au titre de son statut d'autorité administrative indépendante, se voir reconnaître un "large pouvoir d'appréciation", lui permettant, au besoin, de fixer un délai de report des sanctions des violations du RGPD.

Sur le fond, le Conseil d'Etat considère ensuite que le choix de la CNIL de ne pas sanctionner les opérations illégales de recueil de traceurs sans consentement dans ce délai, qui "permet à l'autorité de régulation d'accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d'apporter, sur le plan technique, les garanties qu'exige l'état du droit en vigueur, dans la réalisation de l'objectif d'une complète mise en conformité de l'ensemble des acteurs à l'horizon de l'été 2020", n'est pas susceptible d'être censuré au prisme du contrôle de l'erreur manifeste d'appréciation, c’est-à-dire le contrôle restreint.

Et pour considérer que les droits fondamentaux des citoyens (le droit au respect de la vie privée protégé par l'article 7 de la Charte des droits fondamentaux de l'Union européenne et l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales, ainsi qu'au droit à la protection des données personnelles garanti par l'article 8 de la même Charte) ne seraient pas violés dans cette situation, le Conseil d'Etat choisit d'écrire que la CNIL reste libre de "faire usage de son pouvoir répressif en cas d'atteinte particulièrement grave", et choisit de croire que "l'exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement les exigences posées par l'article 4 du RGPD et l'article 82 de la loi du 6 janvier 1978".

Le malaise est palpable dans ce raisonnement dogmatique, qui a évidemment scandalisé l'association  requérante, laquelle se demande désormais s'il est encore utile de confier à la CNIL la mission de faire appliquer le RGPD, puisque le Conseil d'Etat tolère que la Commission "décide seule qu'une règle votée par des élu.e.s ne s'appliquera à personne pendant un an".

Il y a en tout cas un message envoyé par le Conseil d'Etat, qu'il faut entendre, qui est qu'il n'a pas l'intention de s'immiscer dans le champ d'activité de la CNIL ; plus qu'en toute autre domaine de son contrôle juridictionnel, le Conseil d'Etat ne se donnera pas ici de rôle d'administrateur-juge. Ce que choisit de faire la CNIL, dans son statut sanctuarisé d'autorité indépendante, le Conseil d'Etat ne le défera pas, ou ne le défera qu'en cas d'erreur grossière (l' "erreur manifeste d'appréciation"). Le Conseil d'Etat semble ce faisant refuser d'endosser le rôle que la Quadrature du Net voudrait qu'il assume : par procuration, c’est-à-dire par annulation des absences de sanction de la CNIL, un rôle de juge des violations directes du RGPD.

Ceux qui voudront poursuivre ou faire sanctionner les violations de leurs droits individuels devront se tourner vers le juge judiciaire, dont l'arsenal législatif a été récemment augmenté de deux outils essentiels : la réforme des articles 226-16 et suivants du Code pénal relatifs aux atteintes aux droits de la personne résultant des fichiers ou traitements informatiques, et l'introduction en droit français de l'action de groupe, dans le cadre de laquelle le TGI de Paris est, semble-t-il, d'ores et déjà saisi des violations du droit au consentement  du RGPD dénoncées contre Google par l'UFC Que Choisir, ou encore contre Facebook par l'association Internet Society France.