Alors que le Conseil d’État s’est récemment penché sur la question de savoir si une autorité administrative était tenue de publier, par voie de prise de position, l’interprétation qu’elle entend faire de certaines notions dans la mise en œuvre de dispositions législatives dont elle est chargée (voir cette chronique), il répond aujourd’hui à la question de savoir sous quelles conditions une telle autorité peut définir les modalités de mise en œuvre de la loi.
Par communiqué du 28 juin 2019 publié sur son site internet, la CNIL a annoncé son « plan d’action 2019-2020 » afin de préciser les règles applicables en matière de ciblage publicitaire en ligne et d’accompagner les acteurs dans leur mise en conformité avec les règles issues du Règlement général sur la protection des données (Règlement n° 2016/679 du 27 avril 2016 – «RGPD »). Par délibération du 18 juillet 2019, elle a défini des « lignes directrices » relatives, pour l’essentiel, aux cookies et traceurs informatiques et aux modalités de recueil du consentement des utilisateurs.
Les requérantes, au premier rang desquelles la très active Quadrature du Net, contestaient que la CNIL puisse légalement décider de s’abstenir de prononcer des sanctions contre les opérateurs n’ayant pas organisé un mécanisme informatique de recueil expresse du consentement des utilisateurs de leurs site pour l’implantation de cookies, pendant un délai de 6 mois de « période d’adaptation » jugée par elle nécessaire pour organiser une concertation et « précis[er]les modalités pratiques de recueil du consentement annoncée ».
Par une analyse assez contestable, d’ailleurs limitée au seul contrôle de l’erreur manifeste d’appréciation, le Conseil d’État rejette le recours, s’appuyant sur un motif plus empreint d’opportunité administrative que de rigueur juridique. Il juge que
(1) « Dans ces conditions et au vu de l’ensemble des circonstances de l’espèce, la Commission nationale de l’informatique et libertés ne peut être regardée comme ayant commis une erreur manifeste d’appréciation en retenant de telles orientations pour l’exercice de ses pouvoirs. » et
(2) « le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles et méconnaîtrait l’exigence de prévisibilité doit être écarté. »
Plusieurs points méritent attention.
En premier lieu, s’agissant de la recevabilité, le Conseil d’État réitère le considérant de principe fixé par sa décision Fairvesta concerant les actes de droit souples des autorités de régulation, désormais bien ancré. Ce qui, en revanche, est relativement nouveau est que, jusqu’à présent, les recours étaient portés généralement par les opérateurs contre les actes de leur régulateur (la position relative des parties dans l’affaire ayant donné lieu la décision CE, 10 novembre 2016, req. n° 384691 est plus ambigüe).
Or, dans la décision commentée, les associations requérantes ne sont pas directement des opérateurs concernés mais ont pour objet social la défense des droits numériques des citoyens.
De sorte que le critère alternatif de recevabilité – actes revêtant le caractère de dispositions générales et impératives ou énonçant des prescriptions individuelles dont les autorités pourraient ultérieurement censurer la méconnaissance ou lorsqu’ils sont de nature à produire des effets notables, notamment de nature économique ou ont pour objet d’influer de manière significative sur les comportements des personnes auxquelles ils s’adressent – est apprécié de façon inédite.
Le Conseil d’État estime que la décision matérialisée par le communiqué et les lignes directrices « doit être regardée comme ayant pour objet d’influer sur le comportement des opérateurs auxquels elle s’adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs que sur les utilisateurs et abonnés de services électroniques ».
En admettant la recevabilité du recours présenté par les associations requérantes, le Conseil d’État apprécie souplement les conditions issues de la décision Fairvesta et renonce à ce que l’intérêt à agir soit limité par l’absence d’effet positif sur les requérants. Le Conseil adopte ainsi une position libérale sur cette question de la recevabilité.
En deuxième lieu, il faut noter le soin réel que porte la juge à la définition de « l’opportunité des poursuites » dont jouit la CNIL. Le Conseil d’État place au cœur de cette opportunité la conciliation entre intérêts divergents. Ce point n’est pas tout à fait nouveau. Le Conseil avait déjà reconnu l’existence d’un principe d’opportunité des poursuites au profit de la CNIL (19 juin 2017, req. n° 398442). Dans la décision ici commentée, ce principe s’exprime comme suit :
A cet égard, la Commission peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge
Ce considérant reprend la formulation exacte du principe d’opportunité des poursuites tel que le Conseil l’a reconnu pour de façon générale pour toutes les autorités administratives dotées d’un pouvoir de sanction :
Considérant qu’il appartient à une autorité administrative indépendante qui dispose en vertu de la loi d’un pouvoir de sanction qu’elle exerce de sa propre initiative et dont l’objet ne se borne pas à punir certains comportements mais consiste, eu égard notamment à la nature des mesures susceptibles d’être prononcées, à assurer la sécurité d’un marché, de décider, lorsqu’elle est saisie par un tiers de faits de nature à motiver la mise en oeuvre de ce pouvoir, et après avoir procédé à leur examen, des suites à donner à la plainte ; qu’elle dispose, à cet effet, d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge ; que la décision qu’elle prend, lorsqu’elle refuse de donner suite à la plainte, a le caractère d’une décision administrative qui peut être déférée au juge de l’excès de pouvoir ; que les personnes qui interviennent sur le marché soumis au contrôle de l’autorité justifient d’un intérêt leur donnant qualité pour contester cette décision ; qu’il appartient au juge de censurer celle-ci en cas d’erreur de fait ou de droit, d’erreur manifeste d’appréciation ou de détournement de pouvoir
CE, Sect., 30 novembre 2007, Michel Tinez et a., req. n° 293952
Mais cette formulation est trompeuse. En réalité, la CNIL doit – ce n’est pas qu’une simple possibilité – tenir compte de l’ensemble des éléments que le Conseil d’État liste. Agir autrement, c’est-à-dire par automaticité des sanctions, mettrait la CNIL en position de violer le principe principe de proportionnalité des peines, au respect duquel elle est tenue par l’article 49 de la Charte des droits fondamentaux, la CNIL agissant ici en tant qu’administration indirecte de l’Union (CJUE, 4 octobre 2018, Link Logistik N&N, aff. C-384/17, pts. 40-42). En outre, l’article 6§1 Conv. EDH impose que les « peines » – ici, les sanctions administratives – puissent être faire l’objet d’un contrôle, y compris de proportionnalité, par un juge (CEDH, 27 septembre 2011, Menarini Diagnostices S.R.L. c. Italie, req. n° 43509/08, pt. 64). En réalité, cette exigence de contrôle par le juge, qui implique le contrôle de proportionnalité, ne s’applique que si l’autorité administrative ne satisfait pas aux critères de la notion de « tribunal offrant les garanties de l’article 6 », ce qui revient in fine à faire supporter à l’autorité administrative l’obligation d’agir avec proportion.
En troisième et dernier lieu, il faut souligner que l’immunité temporaire vaut également alors même que la CNIL s’est dotée le 4 juillet 2019, soit antérieurement à sa délibération du 18 juillet 2019 attaquée, de lignes directrices aux termes desquelles elle estime que :
les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair
et que :
Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable
Autrement dit, sur le fond, les positions respectives de la CNIL et des associations requérantes convergent : la collecte de données personnelles par le biais de cookies et traceurs n’est pas autorisée sans consentement exprès des utilisateurs. On aurait ainsi pu penser que le Conseil d’État fasse une application nette de l’adage : patere legem quam ipse fecisti. Or, là encore, le Conseil note que la CNIL n’a commis aucune « erreur manifeste d’appréciation » dès lors « qu’un tel choix permet à l’autorité de régulation d’accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d’apporter, sur le plan technique, les garanties qu’exige l’état du droit en vigueur, dans la réalisation de l’objectif d’une complète mise en conformité de l’ensemble des acteurs à l’horizon de l’été 2020 ».
On peut s’interroger quant à l’atteinte portée par une telle solution à l’effectivité du droit de l’Union. En s’abstenant, même temporairement, d’exercer son pouvoir de sanction, la CNIL prive de factoles justiciables des garanties et protections conférées par le droit de l’Union, en l’espèce, par le RGPD. Si on peut entendre les problématiques spécifiques d’adaptation technique, il ne faut pas négliger le fait que le RGPD a été adopté le 27 avril 2016 et que son entrée en vigueur a été différée au 25 mai 2018 précisément pour permettre cette adaptation. Le 171econsidérant du RGPD expose en effet que le report de la date d’applicabilité du RGPD est prévue pour adapter les traitements en cours : « Les traitements déjà en cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. ». En d’autres termes, le Conseil d’État admet que la CNIL décide de sa propre initiative d’étendre le délai prévu par le législateur européen.
Le débat contentieux ne semble pas s’être placé sur ce terrain. Le Conseil apprécie uniquement la légalité européenne de la décision de la CNIL au regard des articles 7 de la Charte des droits fondamentaux de l’Union et 8 de la Conv. EDH. Il juge que :
l’acte attaqué, qui n’exclut pas que la Commission puisse en tout état de cause faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave à ces mêmes principes, contribue à remédier à des pratiques ne respectant pas les exigences posées par les dispositions citées aux points 7 et 8, en fixant pour l’ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles et méconnaîtrait l’exigence de prévisibilité doit être écarté.
Ainsi, le « retard au démarrage » a rendu impossible la mise en conformité des opérateurs, de sorte que l’exercice du pouvoir de sanction n’est « en tout état de cause, pas susceptible de faire respecter plus rapidement » les règles du RGPD.
On peut légitimement s’interroger sur le fait de savoir s’il ne s’agit pas là du nième avatar des retards français non pas dans la transposition – le RGPD étant un règlement, aucune mesure de transposition nationale n’est requise, les règlements étant directement applicables et obligatoires dans tous leurs éléments, aux termes de l’article 288 TFUE – mais, plus généralement, dans la mise en œuvre du droit de l’Union. Retard en l’espèce immunisé par le Conseil d’État de toute sanction… Toute référence à des faits existants serait purement fortuite.