Spécialistes en droit de la propriété intellectuelle
Accueil > Actualités et médias > Blog propriété intellectuelle >Cookies d’affiliation et exemption de consentement : d’une interdiction générale à une exception pour les cookies de cashback et de reward

Cookies d’affiliation et exemption de consentement : d’une interdiction générale à une exception pour les cookies de cashback et de reward

10
MAI.
Par Florian Viel - Blog propriété intellectuelle

(Questions-réponses sur les lignes directrices modificatives et la recommandation « cookies et autres traceurs » de la CNIL, 18 mars 2021, CNIL)

 

Saisi d’un recours en excès de pouvoir par le Cabinet Bouchara & Avocats, en représentation du Syndicat National du Marketing à la Performance (SNMP), ainsi que par le Collectif des acteurs du marketing digital (CPA) contestant la légalité de la question-réponse n°12 de la CNIL reproduite ci-dessus, le Conseil d’Etat a pu confirmer le 8 avril 2022 que les traceurs de connexion utilisés à des fins de facturation des opérations d’affiliation ne pouvaient en aucun cas être exemptés de consentement tout en précisant que cette obligation de recueillir le consentement préalable des internautes ne s’appliquait pas aux traceurs de connexion mis en œuvre pour les besoins de services de remboursement, dits de « cashback », ou de récompense, dits de « reward ».

 

Dans le cadre de son plan d’action sur le ciblage publicitaire et suite à l’adoption de lignes directrices et recommandations « Cookies et autres traceurs » le 17 septembre 2020, la CNIL avait en effet publié sur son site internet une série de 32 « Questions-réponses sur les lignes directrices modificatives et la recommandation « cookies et autres traceurs » de la CNIL » ayant pour objectif de répondre aux questions des acteurs concernés et des internautes portant sur l’usage de cookies et autres traceurs.

 

Par sa question-réponse n°12, la CNIL avait alors interdit l’utilisation de traceurs pour la facturation des opérations d’affiliation sans le consentement des personnes concernées, aux motifs que de tels traceurs n’auraient pas pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne seraient pas strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

 

La CNIL déclarant en conséquence que l’utilisation de ces traceurs nécessitait obligatoirement le consentement préalable des personnes concernées.

 

Considérant que cette obligation générale excède les pouvoirs de la CNIL, porte atteinte à ses intérêts et est juridiquement infondée, en particulier concernant son application aux traceurs de « cashback » et de « reward » pourtant considérés en pratique comme étant utilisés pour la facturation d’opérations d’affiliation, le Cabinet Bouchara & Avocats a saisi le Conseil d’Etat au nom du SNMP afin de solliciter l’annulation de la réponse n°12 publiée sur le site internet de la CNIL, après un recours gracieux resté sans réponse.

 

Par son arrêt du 8 avril 2022, le Conseil d’Etat a toutefois considéré non sans surprise que la CNIL n’avait pas édicté d’interdiction générale et absolue à la réponse n°12 « NON » (I-) et que cette dernière ne méconnaissait pas l’article 82 de la loi Informatique et Libertés (II-), tout en reconnaissant expressément qu’elle ne s’applique pas aux traceurs de cashback et de reward (III-).

 

I- L’incompétence de la CNIL à édicter une interdiction générale et absolue

 

Conformément aux dispositions de l’article 8 de la loi Informatique et Libertés, la CNIL dispose d’un certain nombre de pouvoir :

 

« I.-La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

 

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

 

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

 

A ce titre :

 

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

 

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ; […] »

 

La CNIL peut à ce titre, établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables, et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants.

 

Or, la CNIL ne peut déduire d’interdiction générale et absolue qui ne serait clairement prévue par les textes applicables sans excéder ce qu’elle peut légalement faire dans le cadre d’un instrument de droit souple, comme l’a récemment rappelé le Conseil d’Etat dans son arrêt du 19 juin 2020 (CE, 19 juin 2020, Association des agences-conseil en communication, n° 434684).

 

En indiquant à sa réponse n°12 « Non », la CNIL semble manifestement interpréter l’article 82 de la loi Informatique et Libertés qui n’interdit pas de manière générale et absolue le dépôt de traceurs utilisés pour la facturation des opérations d’affiliation, sans le consentement préalable des personnes concernées, mais dispose que « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

 

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur » 

 

Le Conseil d’Etat considère cependant que la réponse de la CNIL « Non », à la question « Les traceurs utilisés pour la facturation des opérations d’affiliation sont-ils exemptés de consentement ? » constitue une interprétation du droit applicable visant à informer toute personne intéressée et aider à la mise en conformité des pratiques, et ne relève pas de l’édiction d’une interdiction générale et absolue du dépôt de tels traceurs.

                      

Or l’article 82 ne consacre pas cette interdiction générale et absolue au dépôt de traceurs utilisés pour la facturation des opérations d’affiliation, sans le consentement préalable des personnes concernées, comme il ne prévoit pas non plus l’interdiction générale et absolue des Cookies Walls.

 

Il en résulte de facto que l’interprétation faite par la CNIL de cet article édicte nécessairement une interdiction générale et absolue, et excède en conséquence ce qu’elle peut légalement faire dans le cadre d’un instrument de droit souple, ce que ne reconnaît pas le Conseil d’Etat qui l’a pourtant fait dans son arrêt du 19 juin 2020 (CE, 19 juin 2020, Association des agences-conseil en communication, n° 434684).

 

II- La non-méconnaissance de l’article 82 de la loi Informatique et Libertés

 

L’article 82 de la loi Informatique et Libertés, assure la transposition en droit français de l’article 5, point 3, de la directive européenne 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive e-privacy), qui dispose que :

 

« Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soient munis, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès technique visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. » [nous soulignons].

 

La notion de « service de la société de l’information » couvre tout service fourni, normalement contre rémunération, à distance au moyen d’équipement électronique de traitement et de stockage des données, à la demande individuelle d’un destinataire de services (Considérant 17 de la Directive 2002/58/CE).

 

Par ailleurs, le considérant 18 de cette même directive 2002/58/CE précise que « les services de la société de l’information […], dans la mesure où ils représentent une activité économique, s’étendent à des services qui ne sont pas rémunérés par ceux qui les reçoivent, tels que les services qui fournissent des informations en ligne ou des communications commerciales, ou ceux qui fournissent des outils permettant la recherche, l’accès et la récupération des données. Les services de la société de l’information comportent également des services qui consistent à transmettre des informations par le biais d’un réseau de communication, à fournir un accès à un réseau de communication ou à héberger des informations fournies par un destinataire de services. […] » [nous soulignons].

 

Les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés doivent ainsi être interprétées à lumière des dispositions de la directive 2002/58/CE.

 

L’exigence de consentement ne s’applique donc pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne / d’un service de la société de l’information expressément demandé par l’utilisateur.

 

Les traceurs ne sortent du champ d’application de l’exigence de consentement que s’ils sont utilisés exclusivement pour une ou plusieurs finalités qui peuvent se rattacher aux exceptions précitées.

 

Dans ses lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs »), la CNIL « estime ainsi expressément que les traceurs suivants peuvent, notamment, être regardés comme exemptés :

 

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
  • les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs de mesure d’audience, sous les réserves mentionnées ci-après. »

 

La CNIL considère ainsi dans sa réponse n°12, par extension à ce qui précède, que les traceurs utilisés pour la facturation des opérations d’affiliation n’entrent pas dans les exemptions de l’article 82 de la loi Informatique et Libertés puisqu’ils ne seraient pas nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

 

Le Conseil d’Etat limite l’interprétation de la CNIL en précisant toutefois qu’elle n’est valable qu’à l’égard d’opérations par lesquelles l’éditeur d’un site marchand et celui d’un autre site conviennent que le premier rémunère le second toutes les fois qu’un internaute effectue un acte d’achat sur le site marchand après avoir cliqué sur un lien, prenant la forme d’une bannière publicitaire, d’une image, d’un texte ou toute autre forme, figurant sur le site internet de l’affilié. La mise en œuvre d’un tel partenariat impliquerait l’utilisation de traceurs de connexion afin de déterminer l’origine de la connexion au site marchand et de procéder, le cas échéant, à la facturation de l’opération.

 

L’utilisation de traceurs pour une telle finalité exclusive ne permettrait ou ne faciliterait pas la communication par voie électronique et ne serait pas strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

 

En effet, ces traceurs ne seraient pas strictement nécessaires à la connexion de l’internaute sur le site marchand à parti d’un site édité par un tiers et y effectue un achat. Ils ne seraient pas non plus strictement nécessaires à la fourniture d’un service dans la mesure où la rémunération de l’affilié par l’éditeur du site marchand ne répondrait pas à une demande l’utilisateur.

 

A ce titre, le Conseil d’Etat considère que la circonstance que ces traceurs soient nécessaires à la viabilité économique d’un site ou d’un partenariat ne permettrait pas de les rendre strictement nécessaires à l’internaute et donc exemptés de consentement.

 

III- L’exemption des traceurs de « cashback » et de « reward » au recueil du consentement

 

A l’origine du recours, le SNMP considère que dans le cadre des services de cashback et de reward à la demande expresse de l’utilisateur inscrit à ces services, le recours à des traceurs pour la facturation des opérations d’affiliation est strictement nécessaire à la fourniture desdits services de la société de l’information.

 

Les services de cashbacks et de rewards s’entendent en effet de prestations visant à rétrocéder à leurs inscrits une partie de la commission que les sites marchands leur versent. Ces commissions sont versées en contrepartie des ventes générées par les inscrits envoyés par les sites de cashback sur les sites marchands. Les inscrits aux sites de cashbacks et de rewards souhaitent donc que leur parcours soit tracé, depuis le site de cashbacks et de rewards jusqu'à leur achat sur le site marchand, afin de se voir attribuer leur commission.

 

Il en résulterait ainsi que la réponse n°12 de la CNIL méconnaitrait à la fois sa compétence mais constituerait également une interprétation manifestement extensive et incorrecte de l’article 82 de la loi Informatique et Libertés.

 

Or, tout en considérant que la CNIL n’a pas méconnu sa compétence et l’article 82 de la loi Informatique et Libertés, le Conseil d’Etat est venu exclure expressément de la réponse n°12 les traceurs de connexion mis en œuvre pour les besoins de services de cashbacks et de rewards « quand bien même ces mêmes traceurs peuvent également servir à la facturation d’opérations assimilables à l’affiliation entre ces éditeurs ».

 

La réponse n°12 n’aurait alors pour effet d’exiger que le dépôt et l’utilisation de tels traceurs soient précédés du recueil du consentement de l’internaute, dans la mesure où ils seraient strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

 

En conséquence, le Conseil d’Etat reconnaît implicitement que le caractère général et absolu de la réponse n°12 n’est pas adapté.

 

Ainsi, indépendamment du rejet des recours du SNMP et du CPA sollicitant l’annulation de la réponse n°12, une reformulation de cette dernière – en particulier en y excluant expressément les traceurs de cashback et de reward – s’avérerait d’intérêt général afin de réellement préciser les règles applicables et d’accompagner les acteurs concernés dans leur mise en conformité.  

 

Soucieuse de la défense des intérêts de son collectif, le SNMP a alors fait parvenir à la CNIL un nouveau recours gracieux en date du 27 avril 2022, sollicitant la modification de la question-réponse n°12 afin d’en exclure expressément les traceurs de cashbacks et de rewards tel qu’indiqué par le Conseil d’Etat.

 

Suite à ce recours et dans l’intérêt général des professionnels du secteur, la CNIL a alors finalement accepté de publier une nouvelle question-réponse n°13 excluant expressément et spécifiquement les traceurs de cashbacks et de rewards de l’obligation de recueillir le consentement des internautes préalablement à leur dépôt et à leur utilisation, rappelant les termes du Conseil d’Etat :

    Aucun commentaire
styloLaisser un commentaire