Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

NOR : CNIL2026187X
JORF n°0240 du 2 octobre 2020
Texte n° 85

Version initiale

Article 2


Sur les modalités de recueil du consentement.
En application des dispositions combinées des articles 82 de la loi « Informatique et Libertés » et 4 du RGPD, les traceurs nécessitant un recueil du consentement ne peuvent, sous réserve des exceptions prévues par ces dispositions, être utilisés en écriture ou en lecture qu'à condition que l'utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.
S'agissant du caractère libre du consentement
Afin de déterminer si le consentement est donné librement, le RGPD impose de « tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat ». Aux termes du considérant 42 du RGPD, qui éclaire l'exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Dans ces conditions, la Commission estime que le fait de subordonner la fourniture d'un service ou l'accès à un site web à l'acceptation d'opérations d'écriture ou de lecture sur le terminal de l'utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement.
En cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l'information fournie à l'utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l'impossibilité d'accéder au contenu ou au service en l'absence de consentement.
Enfin aux termes du considérant 43 du RGPD, « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce ». A cet égard, la Commission estime que le fait de recueillir de manière simultanée un consentement unique pour plusieurs opérations de traitement répondant à des finalités distinctes (le couplage de finalités), sans possibilité d'accepter ou de refuser finalité par finalité, est également susceptible d'affecter, dans certains cas, la liberté de choix de l'utilisateur et donc la validité de son consentement.
S'agissant du caractère spécifique du consentement
La Commission rappelle que le consentement aux opérations de lecture et écriture doit être spécifique. A ce titre, le consentement à ces opérations ne peut être valablement recueilli via une acceptation globale de conditions générales d'utilisation.
S'agissant du caractère éclairé du consentement
La Commission rappelle que le consentement des personnes doit être éclairé conformément, d'une part, aux dispositions des articles 4(11), 7, 13 du RGPD et, d'autre part, aux dispositions de l'article 82 de la loi « Informatique et Libertés ».
La Commission rappelle que l'information doit être rédigée en des termes simples et compréhensibles par tous et qu'elle doit permettre aux utilisateurs d'être dûment informés des différentes finalités des traceurs utilisés. Elle considère que l'utilisation d'une terminologie juridique ou technique trop complexe est susceptible de rendre incompréhensible cette information par les utilisateurs.
La Commission rappelle que l'information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d'utilisation ne saurait suffire.
A minima, la fourniture des informations suivantes aux utilisateurs, préalablement au recueil de leur consentement, est nécessaire pour assurer le caractère éclairé de ce dernier :


- l'identité du ou des responsables de traitement des opérations de lecture ou écriture ;
- la finalité des opérations de lecture ou écriture des données ;
- la manière d'accepter ou de refuser les traceurs ;
- les conséquences qui s'attachent à un refus ou une acceptation des traceurs ;
- l'existence du droit de retirer son consentement.


La Commission rappelle qu'afin que le consentement soit éclairé, l'utilisateur doit pouvoir identifier le ou les responsables ainsi que l'ensemble des responsables conjoints des traitements, avant d'être mis en mesure d'exprimer son choix. Ainsi, la liste exhaustive et à jour de ces entités doit être rendue accessible de façon simple aux utilisateurs.
S'agissant du caractère univoque du consentement
La Commission souligne que, conformément à l'article 4(11) du RGPD, le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exprimer.
Elle considère donc que continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. La Commission rappelle que la Cour de justice de l'Union européenne (CJUE) a jugé dans sa décision Planet 49 du 1er octobre 2019 (CJUE, 1er oct. 2019, C-673/17) que l'utilisation de cases pré-cochées ne peut être considérée comme un acte positif clair visant à donner son consentement. En l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier.
Des systèmes adaptés devraient être mis en place pour recueillir le consentement selon des modalités pratiques permettant aux utilisateurs de bénéficier de solutions simples d'usage. La Commission renvoie sur ce point à sa recommandation n° 2020-092 du 17 septembre 2020.
Sur la preuve du consentement
L'article 7.1 du RGPD impose que les organismes exploitant des traceurs, responsables du ou des traitements, soient en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l'utilisateur.
Sur le refus et le retrait du consentement
La Commission observe que si le consentement doit se traduire par une action positive de l'utilisateur, le refus de ce dernier peut se déduire de son silence. L'expression du refus de l'utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d'exprimer son consentement.
De plus, la Commission rappelle que, conformément à l'article 7.3 du RGPD, il doit être aussi simple de retirer son consentement que de le donner. Les utilisateurs ayant donné leur consentement à l'utilisation de traceurs doivent être mis en mesure de le retirer simplement et à tout moment.

Retourner en haut de la page