La CNIL attaquée pour son manque de fermeté dans l’application du RGPD

La CNIL attaquée pour son manque de fermeté dans l’application du RGPD
Réglementaire

Toujours à la pointe de la défense des libertés individuelles sur Internet, la Quadrature du Net a assigné la CNIL devant le Conseil d’Etat. En cause : la trop longue période d’adaptation prévue par l’autorité sur la question de l’installation de cookies par les sites Internet, afin de satisfaire aux règles du RGPD.

La menace planait depuis plusieurs semaines, elle est devenue effective le 29 juillet 2019. La Quadrature du Net, association leader sur le front de la défense des libertés numériques en France, a assigné la Commission nationale de l’informatique et des libertés (CNIL) devant le Conseil d’Etat. L’audience devrait se tenir cette semaine, le 14 août 2019.

Le RGPD interdit l’installation de cookie sans un consentement explicite

En cause : la récente décision de la CNIL concernant l’usage des cookies publicitaires par les sites Internet – qui viole, selon la Quadrature, les principes édictés par le Règlement Général sur la Protection des Données (RGPD).

Selon ce RGPD, rentré en vigueur voici un peu plus d’un an, un accord explicite et éclairé de l’internaute est indispensable à l’installation de cookies sur l’ordinateur de ce dernier. Ces cookies sont au cœur de la politique commerciale et des profits d’une majorité de sites Internet, qui se montrent particulièrement réticents à accepter cette contrainte.

La CNIL accorde aux sites une nouvelle période d’adaptation

Or, la CNIL vient de leur accorder un nouveau délai avant de sortir le bâton. Les sites pourront donc continuer de considérer que la poursuite de navigation vaut consentement de l’utilisateur – politique en vigueur jusqu’à l’application du RPGD. Et ce, pour encore de longs mois : « Une période d’adaptation, s’achevant 6 mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles » détaille la CNIl dans un document paru le 18 juillet 2019.

La nouvelle recommandation devrait être publiée dans le premier trimestre 2019. Il faudra donc attendre le second semestre 2020 pour que la CNIL applique pleinement le RGPD sur cette question cruciale. Ce règlement a pourtant été adopté en mai 2016, et appliqué depuis mai 2018 (après deux années de transition destinées à laisser le temps aux sites de se mettre en conformité).

Mais les contours du RGPD sont connus depuis plus de trois ans

A l’entrée en vigueur du RGPD, la CNIL a accepté le principe d’une année de transition supplémentaire sous son contrôle, où l’autorité ne sanctionnerait pas, notamment, les sites qui continuent d’installer des cookies sans consentement explicite et éclairé.

A l’annonce de ce nouveau délai, d’au moins un an, la Quadrature du Net a réclamé à la CNIL de revoir ses positions et d’appliquer pleinement le RGPD dès cet automne 2019. Sans succès.

L’association n’ayant rien obtenu par la médiation, elle a décidé d’emprunter la voix judiciaire. Estimant que la CNIL refuse d’appliquer une directive européenne, la Quadrature du Net l’a donc assignée devant le Conseil d’Etat. La Quadrature est accompagné dans cette action par Caliopen, une autre association défendant les libertés, qui travaille à la création d’un système de messagerie inviolable.

« La protection de nos libertés fondamentales ne peut connaître aucun nouveau sursis »

« La justification avancée par la CNIL d’ « exigence juridique de prévisibilité » ne tient aucunement : les acteurs de l’Internet ont eu plus de deux ans pour se conformer à ces nouvelles obligations. La lettre du RGPD est parfaitement claire, déjà expliquée en long, en large et en travers : la protection de nos libertés fondamentales ne peut connaître aucun nouveau sursis », déclare la Quadrature du Net.

La décision des sages est attendue d’ici quelques semaines.