Hugo Ruggieri
@HugoRuggieri
Mon Sep 30 13:08:13 +0000 2019

[Thread] Quasi-live tweet de l'audience @laquadrature @caliopen vs @CNIL au @Conseil_Etat sur le plan d'action de la CNIL à propos des #cookies : impossible de live tweet debout dans le couloir, la salle étant trop petite pour accueillir la foule qui s'était pressée

@laquadrature @CaliOpen @CNIL @Conseil_Etat Les associations attaquent la décision de la CNIL de ne pas sanctionner les sites se basant sur la poursuite de la navigation pour recueillir le consentement préalable au dépôt de cookies imposé par #eprivacy et le code des postes

@laquadrature @CaliOpen @CNIL @Conseil_Etat Une délibération de 2013 de la CNIL autorise en effet les sites à recueillir ce consentement #ePrivacy en le déduisant d'une poursuite de la navigation sur le site, à condition que l'internaute soit correctement informé et puisse revenir sur sa décision https://t.co/NDM284png5

@laquadrature @CaliOpen @CNIL @Conseil_Etat Le #RGPD prive cette délibération de sa substance puisque le consentement ainsi recueilli ne répond à aucun des caractères du consentement RGPD ; or, le consentement ePrivacy doit s'interpréter comme un consentement RGPD.

@laquadrature @CaliOpen @CNIL @Conseil_Etat Sur la relation entre ces différents consentements, lire l'excellente étude de Mathias le Masne pour @aeon_law https://t.co/jjhRQJodV2

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Il fallait donc mettre à jour la délibération de la CNIL de 2013, chose faite en juillet. Mais la CNIL a accompagné cette nouvelle délibération d'un plan d'action : tolérance pour la poursuite de la navigation pendant un an et concertation des acteurs... https://t.co/uNtaRwGfvy

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law ... pour définir un nouveau cadre et des recommandations sur le recueil du consentement https://t.co/drxlC7FGJV

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Du coup aujourd'hui, 2 grandes questions de droit : 1. est-ce que ces "décisions" (articles web de la CNIL) sont attaquables et si oui, 2. est-ce qu'elles portent une atteinte démesurée à la vie privée des internautes ?
https://t.co/xe7VSJIJRF
https://t.co/drxlC7FGJV

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law La première question fait appel à la notion de droit souple : les autorités administratives comme la CNIL pratiquent leur régulation grâce aux sanctions, mais aussi par le biais de lignes directrices, articles et autres communiqués de presse...

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law ...qui, sans être directement des sources de loi, ont pour autant souvent un effet juridique.

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Le rapporteur public Alexandre Lallet a fait un brillant exposé de la jurisprudence à ce sujet - en rappelant notamment l'arrêt Fairvesta par lequel le CE a ouvert les recours en excès de pouvoir contre des actes de nature à produire des effets notables https://t.co/pWBCLpAate

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Eu egard à cette jurisprudence, les décisions de la CNIL sont attaquables. Leur nature est cependant particulière : plutôt que d'interdire ou de restreindre, elles ferment les yeux sur une pratique pourtant contraire au RGPD - la quadrature parle ainsi "d'autorisation"

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Le rapporteur public rappelle que l'administration dispose du choix des moyens et du moment d'une éventuelle poursuite : principe d'opportunité des poursuites. L'administration peut ainsi ne pas poursuivre des infractions

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law À condition notamment que cela ne prive pas d'effet la règle : le rapporteur distingue entre ne pas appliquer temporairement une norme (le cas présent) et l'écarter totalement

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Or, ici c'est bien une tolérance sur la seule modalité de recueil du consentement, et non sur son principe : les acteurs doivent toujours respecter l'ensemble des règles (information, pas de dépôt avant la poursuite de navigation, opposition simple etc)

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Pour autant, le rapporteur n'adhère pas non plus à l'ensemble de l'argumentation de la CNIL. Il rappelle que le RGPD a été adopté en 2016 et qu'il est entré en vigueur en mai 2018 : les arguments sur le terrain de la prévisibilité de la loi ne sont pas recevables

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law La CNIL se justifiait également par une impossibilité pratique de tout sanctionner, également écartée d'un revers de la main : dans ce cas on ne sanctionnerait plus aucun excès de vitesse

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law C'est ce qui est intéressant dans ce cas : @CNIL et @laquadrature sont d'accord sur le fond, que le RGPD rend impropre le recueil du consentement aux #cookies par poursuite de la navigation. La question est donc plus, à quel moment est-il légitime de sanctionner le non-respect ?

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law La position finale du rapporteur est une de compromis et de balance : vu que la CNIL est dans une optique de discussion sectorielle en vue d'adopter des standards, et que cela fait partie de ses prérogatives, on ne peut pas considérer qu'elle ne remplit pas son rôle

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Or, "on ne discute pas avec le pistoler sur la tempe" : on peut comprendre que la CNIL ne sanctionne pas immédiatement vu les discussions en cours.

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law L'impact sur la vie privée des internautes est jugé acceptable, la situation n'étant pas sans garanties (citées ci-dessus) et restant à l'identique (pas pire qu'avant)

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Le rapporteur public rappelle que le futur #règlement #eprivacy est censé impacter fortement la situation, mais qu'il est loin d'être adopté...

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law En conclusion, pour le rapporteur public, les décisions de la CNIL sont bien attaquables, mais elles ne constituent pas une erreur d'appréciation et la tolérance de la CNIL peut perdurer

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Une note cependant : il parait clair pour le rapporteur que cette tolérance n'est pas absolue et que la CNIL pourrait parfaitement sanctionner des manquements manifestement graves durant cette période

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Tout comme le rapporteur semble regretter une forme d'absence de nuance dans le plan d'action de la CNIL : plutôt que de "ne pas sanctionner", on aurait pu dire, ô dieu, bien des choses en somme, en variant le ton :

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law contrôles allégés, pas de sanction pécuniaire et uniquement mises en demeure, pas une thématique prioritaire sur les prochains mois, etc...

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law Je n'ai pas la date de délibéré en tête. Affaire à suivre puisque la délibération de juillet de la CNIL fait elle-même l'objet d'un recours par l'interprofession des médias. Les #cookies, un sujet de débat de haute volée https://t.co/0TIQknoVaF

@laquadrature @CaliOpen @CNIL @Conseil_Etat @aeon_law C'est tombé toute à l'heure : @Conseil_Etat suit intégralement le rapporteur dans ses conclusions sur les #cookies dans le dossier opposant @caliopen_org @laquadrature contre la @CNIL. Recours recevable, mais rejeté, les acteurs ont donc bien jusqu'en 2020
https://t.co/J5SxPNd59i

Wed Oct 16 15:03:15 +0000 2019