La autoridad francesa de protección de datos no tiene derecho a prohibir los "muros de cookies"

El Conseil D’Etat francés declara que la CNIL no puede prohibir legalmente en sus directrices las "paredes de cookies", práctica que consiste en bloquear el acceso a un sitio web en caso de rechazo de cookies. Por otro lado, confirma la legalidad de los otros puntos en disputa, en relación con la recopilación del consentimiento de los usuarios de Internet a las cookies y otros rastreadores.

Tras la entrada en vigor de la regulación general de protección de datos (GDPR), la Comisión Nacional de Protección de Datos (CNIL) adoptó en 2019 nuevas pautas relacionadas con las "cookies" y otros trazadores de conexión depositada por los publishers de sitios de Internet en ordenadores, tablets o teléfonos móviles de los usuarios para fines, en particular, de publicidad dirigida.

Los solicitantes impugnaron en particular la prohibición, según las pruebas presentadas, de la práctica de "muros de cookies" por la cual los publishers de sitios web bloquean el acceso a sus sitios cuando el usuario de Internet no consiente la monitorización de su navegación. mediante el depósito de cookies y rastreadores de conexión.  

Mediante la decisión del 19 de junio de 2020, el Conseil D’Etat dicta que al deducir dicha prohibición del único requisito del libre consentimiento del usuario para el depósito de rastreadores, establecido por las regulaciones generales de protección de datos ( GDPR), la CNIL excedió lo que podía hacer legalmente en el contexto de un acto conocido como "ley flexible". Los actos de “ley blanda” se refieren a instrumentos, como las directrices de las autoridades reguladoras, que no crean derechos u obligaciones legales para nadie, pero que influyen fuertemente en las prácticas de los operadores económicos en la práctica. Sin pronunciarse sobre el fondo de la cuestión, el Conseil D’Etat considera que la CNIL no podría, al amparo de un acto de ley flexible, promulgar una prohibición tan general y absoluta.

El consentimiento del usuario debe ir precedido de información específica para cada uno de los fines del procesamiento de datos

Los solicitantes también criticaron el punto en las directrices que establecen que los usuarios deben "poder dar su consentimiento de forma independiente y específica para cada propósito por separado".
La ley del 6 de enero de 1978 relativa al procesamiento de datos, archivos y libertades requiere que el consentimiento del usuario antes del depósito de rastreadores se relacione con cada uno de los propósitos del procesamiento de los datos recopilados. El Consejo de Estado especifica que este requisito implica, cuando se obtiene el consentimiento de manera global, que esté precedido por información específica para cada uno de los propósitos. El Conseil D’Etat dicta que la aprobación controvertida de las directrices se limita a recordar este requisito, sin imponer a los operadores términos técnicos específicos (consentimiento global o finalidad por finalidad) para la recopilación del consentimiento.

El Conseil D’Etat también confirma la legalidad de los otros puntos en disputa de las directrices, en particular en relación con la facilidad de rechazo o retirada del consentimiento a las cookies, la duración recomendada del almacenamiento de cookies o la información de los usuarios sobre las cookies no enviadas con consentimiento previo.

Se puede leer todo aquí (en francés)