Le Conseil d’État autorise la CNIL à ignorer le RGPD

Posted on


Hier, le Conseil d’État a rejeté notre demande contre la CNIL en matière de consentement au dépôt de cookie. En sous-titre, le Conseil d’État pourrait désavouer la CNIL dans son rôle de protectrice des libertés, réservant ce rôle aux seuls juges judiciaires.

Ce revirement historique s’inscrit dans une série de démissions opérées ces derniers mois par la CNIL. Il est urgent d’exiger collectivement que celle-ci redevienne ce pour quoi elle a été créée : pour nous défendre du fichage d’entreprises et de l’État.

La décision

En juillet 2019, la CNIL publiait (enfin !) de nouvelles lignes directrice pour rappeler que le RGPD, en application depuis mai 2018, exige que le dépôt de cookie et autres traceurs se fasse avec notre « consentement explicite ». Les bandeaux du type « En poursuivant votre navigation sur ce site, vous acceptez d’être surveillé⋅e – Ok » sont illégaux. Toutefois, la CNIL annonçait en même temps qu’elle ne sanctionnerait cette illégalité qu’après mi-2020.

Nous avons attaqué cette décision devant le Conseil d’État, qui vient de rejeter notre demande. Il considère que la décision de la CNIL n’est pas une violation excessive du RGPD : le délai d’un an ne serait pas si long, et la CNIL continuerait de sanctionner d’autres atteintes au RGPD. Certes, mais le caractère explicite du consentement a été une des rares avancées du RGPD, qui se trouve de facto privée d’effet pendant deux ans (de mai 2018 à juillet 2020).

Que dire à toutes les entreprises qui ont investi pour se mettre entièrement en conformité au RGPD dès 2018 ? Si ces règles sont systématiquement repoussées, comment faire peser une menace sérieuse contre toutes les autres entreprises qui, elles, n’ont jamais respecté le RGPD ? Rien. Le Conseil d’État ne répond même pas à ces questions.

Une autorité administrative est désormais capable de décider seule qu’une règle votée par des élu·es ne s’appliquera à personne pendant un an.

Le juge judiciaire, voie de secours

Le Conseil d’État ne détaille pas beaucoup son raisonnement dans sa décision, mais celle-ci suit fidèlement les conclusions présentées par son rapporteur public lors de l’audience du 30 septembre. Le rapporteur public est un membre du Conseil d’État qui assiste celui-ci en analysant les affaires et en lui proposant une solution, généralement suivie, comme c’est le cas ici.

À l’audience, donc, le rapporteur public a extensivement détaillé son raisonnement. Parmi les éléments qui l’ont convaincu de conclure au rejet de notre demande, et ce après de multiples hésitations clairement exprimées, il a invoqué un argument particulièrement surprenant et intéressant. Est-il vraiment si grave que la CNIL renonce à ses pouvoirs de sanction si, dans le même temps, l’autorité judiciaire peut aussi sanctionner les mêmes manquements ? Autrement dit, est-il grave qu’une autorité établie pour s’acquitter d’une tâche se donne le droit d’y renoncer si une autre autorité est compétente ?

En effet, le code pénal, par ses articles 226-16 à 226-24, sanctionne lourdement un certain nombre d’infractions qui, ensemble, couvrent une large partie des compétences de la CNIL. En plus du juge pénal, le juge civil est aussi compétent pour ordonner à une entreprise de cesser une atteinte au RGPD.

Somme toute, voilà un argument qui n’est pas si absurde : la CNIL peut bien renoncer à sa mission historique, qu’importe, nous pouvons toujours saisir la justice pour défendre nos libertés.

Mais quel abandon ! La CNIL a remis sa lettre de démission, nous l’avons contestée devant le Conseil d’État. Celui-ci l’a malheureusement acceptée, considérant que ses services n’étaient plus requis…

C’est d’ailleurs ce que vient confirmer une phrase très explicite de la décision du Conseil d’État qui considère que « l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement » le RGPD. Comprendre : selon le Conseil d’État, le pouvoir de sanction de la CNIL ne serait pas requis pour faire respecter les droits auxquels elle a pourtant la charge de veiller.

Une série du démissions

Cette démission n’a rien de surprenant. Depuis un an, l’autorité enchaîne les renoncements à sa mission.

Notre plainte collective de plus de 10 000 personnes contre Google, après avoir entraîné une première et relativement faible sanction de 50 millions d’euros, semble au point mort. La CNIL est manifestement incapable de se décider à confier ou non l’affaire à son homologue irlandaise, alors même que celle-ci croule sous les affaires visant les géants du Web en dépit de ses effectifs encore plus réduits qu’en France.

Alors que la reconnaissance faciale commence à être expérimentée et installée un peu partout en France, la CNIL s’est empressée d’exiger un débat public sur la question, comme si elle renonçait par avance à mener ici la défense de nos libertés. Son renoncement s’est depuis confirmé. Quand la ville de Nice a annoncé déployer cette technologie au cours de son carnaval, au mépris de la loi, la CNIL s’est contentée d’un simple tweet réprobateur… Quand, à Nice ou à Marseille, la reconnaissance faciale a été annoncée pour s’imposer à des lycéens, elle s’est contentée de conseiller et d’accompagner.

Quand le gouvernement a adopté son décret Alicem en dépit de l’avis négatif de la CNIL, celle-ci s’en est tenue là (voir notre article). Elle a refusé d’utiliser le pouvoir que lui confère l’article 58, §5, du RGPD de saisir la justice pour faire annuler ce décret. À la place, elle a préféré laisser partir au front une petite association de six salarié⋅es (La Quadrature du Net) pour attaquer Alicem afin, ensuite, tel que nous l’avons appris avant-hier, de venir se greffer à la procédure en tant qu’« observatrice ».

Sur tous les fronts, la CNIL semble avoir abandonné son rôle de gendarme, ce que la décision du Conseil d’État confirme.

Quel avenir pour la CNIL ?

La tentation est grande d’oublier la CNIL et de ne plus se tourner que vers la justice pour faire appliquer le RGPD. L’option est clairement envisageable au moins en matière de cookies et de traceurs en ligne. Le rapporteur public du Conseil d’État nous y a clairement invité. Nous y reviendrons sûrement bientôt.

Toutefois, faut-il définitivement enterrer la CNIL ? Nous espérons qu’elle soit encore utile dans la bataille qui s’ouvre contre la reconnaissance faciale. Qu’elle soit utile pour faire appliquer le RGPD au sein de l’Union européenne, notamment pour imposer sa vision historiquement forte des libertés (en théorie du moins…) à ses homologues européens, dont certains seraient tentées de s’offrir en forum shopping aux GAFAM et ce contre quoi la justice seule ne peut rien. Dans tous les cas et quel que soit le sujet, mettre tous nos œufs dans l’unique panier judiciaire serait un pari bien risqué.

Si enterrer la CNIL n’est pas une option idéale, l’urgence serait donc de la sortir de sa torpeur. C’est ainsi, notamment, que nous avons accepté l’invitation de la CNIL de participer depuis deux mois à l’élaboration de ses nouvelles recommandations en matière de consentement aux cookies. Oui, ces mêmes recommandations qui détermineront la fin du « blanc-seing » que nous attaquions au même moment devant le Conseil d’État. Nous exigeons que les autorités mises en places pour faire respecter nos libertés fondamentales fassent leur travail et fassent appliquer la loi.

Si notre attitude peut sembler paradoxale, elle marque surtout notre refus d’accepter les pires situations. La lâcheté récurrente des dirigeant·es de la CNIL est aussi la conséquence des manques de moyens chroniques de l’administration et de la diminution récente de ses pouvoirs par la loi. Nous serons moins lâches que ses dirigeant·es et ne démissionnerons pas de notre volonté de la rappeler à l’ordre aussi régulièrement et fermement qu’il le faudra. Nous espérons que le contentieux qui vient de s’achever devant le Conseil d’État, même si nous l’avons formellement perdu, y aura contribué.