Me Etienne Drouard : « il faudrait s'interroger sur l’impossibilité de contester les mises en demeure publiques de la CNIL »


A l’occasion des deux ans du RGPD, entré en vigueur le 25 mai 2018, Me Etienne Drouard, partenaire au sein du cabinet Hogan Lovells, revient sur l’articulation entre ce texte et la directive E-privacy, sur les questions qui nécessitent encore une clarification, et sur l’action de la CNIL, une autorité administrative indépendante dont le rôle dépasse de plus en plus celui de simple régulateur.



Dans les années 2010, l’interprofession surveillait l’évolution de la directive E-privacy mais est-ce finalement le RGPD qui est devenu le texte de référence pour la gestion des données électroniques ?
 
ED - Non, le RGPD est l’un des deux textes de référence, avec la directive E-Privacy, mais nous souffrons encore d’un flou d’articulation entre eux, par manque de recul sur les questions concrètes à faire trancher par les régulateurs. 
 
Il n’existe pas de hiérarchie théorique entre les deux textes. Selon la question qu'on se pose, la réponse se trouve dans le RGPD (principes, définitions, bases légales,) ou dans ePrivacy (activités poursuivies, données concernées, information des personnes et nature du droit garanti aux personnes). La volonté du législateur se trouve à l’article 95 du RGPD, qui prévoit clairement que le RGPD ne change rien à l'application de la Directive e-Privacy tant qu'elle ne sera pas réformée.
 
Si le RGPD et les régulateurs européens (réunis au sein de l'EDPB – le European Data Protection Board) ont clarifié la question du consentement, en précisant le sens des termes de « libre, spécifique, univoque et informé », le champ d’application de ce fameux consentement porte sur un traitement des données personnelles.
 
La directive E-privacy garantit des droits aux personnes lors de la collecte de données générées ou accédées à l'occasion de leur navigation ou de leur utilisation d'un service en ligne. Ces droits existent sans avoir besoin de qualifier les données en données personnelles ou non. C'est le cas pour le traitement de la géolocalisation ou pour l'utilisation de traceurs (cookies), comme pour les données de trafic ou de facturation. Par exemple, l’obtention d’un consentement « libre, spécifique, univoque et informé » pour les données de géolocalisation ou les traceurs, s'applique même en l'absence de données personnelles, car il s'agit de préserver aussi d’autres libertés (d'aller et venir ou le droit à la vie privée), sans se limiter au seul champ des données personnelles.
 
Avec ses lignes directrices sur les cookies et traceurs publiées en juillet 2019, la CNIL intervient sur le terrain de la Directive ePrivacy, mais elle "pense" uniquement avec une approche "RGPD et données personnelles". Cela implique des conséquences très concrètes : en exigeant l’affichage de la liste des destinataires ou une preuve du consentement donné par chaque utilisateur pour chaque finalité de traceur et pour chaque acteur économique et technologique, la CNIL vise des "destinataires" (de données personnelles) et le consentement (à un traitement de données personnelles) par un responsable (d'un tel traitement) qui doit prouver (par des traces) ce consentement.
 
La CNIL applique ainsi des conséquences du RGPD à des situations qui ne s'y prêtent pas et que la Directive ePrivacy n'a jamais envisagées en 2002, ni en 2009 (sa dernière modification). Par exemple, un identifiant peut être qualifié de donnée personnelle pendant quelques heures ou quelques jours, en permettant d’individualiser un terminal, puis perdre cette qualification lorsque cet identifiant devient caduc ou qu'il est dissocié de toute donnée permettant de le qualifier de "donnée personnelle". 
 
Comment respecter des règles d'information et de preuve du consentement qui restent pertinentes dans le temps, alors qu'aucune d'entre elles n'a été envisagée dans la Directive e-Privacy, pour les raisons que j'évoquais précédemment ? Les divergences d'interprétations entre régulateurs européens sont telles qu'ils viennent de réaffirmer le 4 mai 2020 (Opinion 05/2020 de l'EDPB) leurs points de consensus sur la notion de consentement, notamment sur la liberté du consentement, qui consiste à devoir offrir une alternative équilibrée aux personnes. Cette mise à jour européenne ne retient pas toutes les exigences de la CNIL issues de ses lignes directrices de juillet 2019. Par exemple, l'exigence française d'un droit en refus en même temps que le consentement, ne figure pas dans la doctrine européenne mise à jour. 
 
RGPD ou E-privacy, on a toutefois assisté à un durcissement des règles du consentement. Cela pouvait-il être évité ?
 
ED - Il y a eu un long débat sémantique autour des mots « indubitable », « spécifique », « univoque » ou « libre », avec une interprétation assez libérale des autorités anglaise et irlandaise, qui avait conduit à un consensus européen autour du « soft opt-in » au début des années 2010.
 
Mais les travaux préparatoires du RGPD ont permis aux différentes autorités de régulation de faire converger leur doctrine et, depuis l’été 2018, tout le monde comprend, même les britanniques, qu’il faut une manifestation explicite ou univoque de la volonté, à travers une action de l'utilisateur exprimant son consentement dans un contexte où il doit avoir un choix effectif. 
 
Et ce consentement ne doit pas être caché dans les clauses d’un contrat ou par un téléchargement. Il doit être spécifique, c’est-à-dire distinct de toute autre action : l'utilisateur qui consent ne fait pas autre chose en même temps (accepter un contrat, etc.).
 
Pourquoi le marché n’a t’il pas été solidaire des acteurs du marketing mobile qui se faisaient étriller par la CNIL dès 2018 ? 
 
ED - Certains se sont désolidarisés parce qu’ils prétendaient que ces questions se cantonnaient à l’univers in-app ou aux problématiques de géolocalisation, mais d’autres avaient bien compris qu’ils seraient à leur tour impactés par ces décisions et qu’il leur fallait gagner du temps pour protéger leur business et ne pas affoler leurs investisseurs tant que des règles générales nouvelles n'étaient pas publiées définitivement.
 
Ces derniers années, la presse économique ou spécialisée sur les sujets numériques a d’ailleurs fait preuve d’une certaine schizophrénie, avec des journalistes publiant des articles réclamant toujours plus de protection de la vie privée, et des éditeurs de presse - leurs employeurs - ayant besoin d'un plus grand pragmatisme pour que la publicité digitale continue de contribuer au paiement des salaires de ces mêmes journalistes !
 
Le temps gagné a permis à l’IAB Europe de travailler sur une nouvelle version du «  Transparency & Consent Framework » (TCF V2), et à la majorité des acteurs intermédiaires et des publishers de faire évoluer leurs projets de Consent Management Platform ainsi que leur approche des bases légales applicables. Cette dernière a par ailleurs tenu compte de la pression exercée sur le TCF v2 par l'adhésion de Google, qui avait exigé de ne retenir que l'exigence du consentement sur toute la chaîne publicitaire – y compris pour les acteurs intervenant post-collecte des données-, lors de la mise en oeuvre du RGPD, en juin 2018.
 
Avez vous le sentiment que ces dernières années la CNIL est allée au delà de son rôle de régulateur ? 
 
ED - D’abord rappelons que la CNIL est une « autorité administrative indépendante », c’est à dire une administration qui ne dépend d’aucun ministre et ne reçoit d'instructions d'aucune autorité. Ce statut, inventé lors de sa création en 1978, était une première dont n’ont jamais bénéficié d’autres administrations gouvernementales, pourtant très puissantes, telles que la DGCCRF, les Impôts ou les Douanes.
 
Ce statut garantit à la CNIL son indépendance vis à vis du pouvoir politique. La CNIL ne peut être contestée que sur le plan de la légalité théorique, par une procédure de cassation devant le Conseil d’état, qui se borne à vérifier si la CNIL ne viole pas la loi. Le Conseil d'Etat, pour ne pas recevoir des vagues de contestation des décisions de la CNIL, limite son analyse à un exercice d'analyse purement juridique, sans examen d'opportunité ou de nécessité, ni sans apprécier les impacts économiques, concurrentiels ou intra-européens, des positions réglementaires de la CNIL.
 
Il paraît donc souhaitable que la CNIL, comme tout autre organe doté de pouvoirs aussi exorbitants, se livre à une étude de l'impact de ses décisions à caractère réglementaire. Une telle analyse pourrait d'ailleurs être conduite en collaboration avec d'autres autorités indépendantes elles aussi, telles que l'autorité de la Concurrence, par exemple, pour éclairer chacun sur l'impact économique ou sectoriel d'une régulation des droits et libertés des personnes. On saurait ainsi le prix d'une liberté supplémentaire ou d’une obligation que seule la France imposerait sans équivalent dans aucun autre pays européen. On peut être favorable à toute protection supplémentaire, mais encore faut-il en connaître l'efficacité et le coût.
 
Comme l’avait souligné le fondateur de la société Fidzup, il faudrait peut-être également s'interroger sur l’impossibilité de contester les mises en demeure publiques de la CNIL, qui s’apparentent économiquement et médiatiquement à des procès sans appel. Pour fidzup, cette mise en demeure s’est transformée en sentence de mort, sans qu'une sanction juridique n'ait été prononcée par la CNIL, sans le moindre débat contradictoire et alors même que la société concernée s’était parfaitement conformée dans les délais impartis à la mise en demeure dont elle avait fait l'objet, ce qu'a reconnu la CNIL.
 
Depuis l’été 2018 et les préparatifs du départ d’Isabelle Falque-Pierrotin, l'ancienne présidente de la Commission, j’ai le sentiment – constaté dans des circonstances qui relèvent de mon secret professionnel - que les services de la CNIL sortent d'une fonction de régulateur pour étendre leurs convictions personnelles à celles qu'aurait une association de protection des consommateurs. Ces convictions sont à peine plus nuancée que certaines associations activistes, qui estiment parfois qu'il est plus romantique ou vertueux de vouloir changer le monde que de respecter la législation. 
 
Il en résulte une sorte de surenchère permanente, qui priorise certaines préoccupations ignorées des textes et qui, bien que médiatiquement populaire, fragilise la sécurité juridique, notre tissu économique, l'harmonisation européenne et nous place même dans des impasses absurdes, où il ne serait pas suffisant de respecter la loi européenne en France comme dans les autres Etats membres, mais en France plus durement qu'ailleurs, parce la conformité aux textes ne suffirait pas. Dans cette stratégie de conformité à des idéaux, où le "nice to have" devient du jour au lendemain un "must have", on peut avoir le sentiment d'assister à l'exercice d'un pouvoir de dissuasion massive qui ne se contrôle plus. Or, sur la toile, "de grands pouvoirs impliquent de grandes responsabilités" (cf. Stan Lee, "Spiderman").
 
De nombreux confrères et autres spécialistes le ressentent comme un détournement inquiétant des missions dévolues à la CNIL et qui ne peut s'équilibrer qu'à travers la stratégie de la nouvelle présidente, Marie-Laure Denis. Comme ses prédécesseur.e.s, elle ne pourra pas satisfaire tous les membres de ses services, ni tous les commissaires, ni tous les activistes. Après une année d’observation et de travail, il est temps que la Présidente veille à ce que sa parole, toujours équilibrée, soit respectée en interne dans ce même devoir d'équilibre axé sur la loi. 
 
Nous avons tous besoin d'équilibre et non de crises ou d'originalités sans précédent. Plus que jamais, la concertation doit être une méthode de travail qui forge un résultat et non une politesse dissimulant des conclusions jouées d'avance. La crise économique dans laquelle nous plongeons ne laisse à personne de seuil de tolérance à des excès de pouvoir.

 

Pionnier de la presse en ligne avec le lancement de NetEconomie.fr en 1999, Jérôme Bouteiller est… En savoir plus sur cet auteur

Mardi 19 Mai 2020

A lire également