Le 12 mars 2025, le Conseil d’État a définitivement donné raison à La Poste, dans un litige portant sur l’utilisation de cookies techniques et le transfert de données vers les États-Unis depuis son service Digiposte. À l’origine, un utilisateur (désigné comme « Monsieur BA ») avait saisi la Commission nationale de l’informatique et des libertés (CNIL), contestant deux points précis : d’une part, la circulation de données personnelles vers des serveurs américains, et d’autre part, le recours à certains cookies sans consentement explicite.
Après enquête, la CNIL avait d’abord clos le dossier en jugeant la situation conforme à la réglementation. Face à la persistance de « Monsieur BA », l’affaire s’est alors portée devant la plus haute juridiction administrative. Dans sa décision, le Conseil d’État entérine l’analyse de la CNIL, établissant que les cookies de La Poste n’étaient pas de nature à tracer la navigation, mais s’inscrivaient dans un usage purement technique ou statistique.
Le rôle de la CNIL comme premier régulateur
Depuis l’invalidation du Privacy Shield en 2020, tout transfert de données hors Union européenne cristallise les inquiétudes quant à la protection de la vie privée. Dans ce dossier, la CNIL s’est d’abord intéressée au volet international : La Poste a pu démontrer qu’elle avait mis en œuvre des garanties adaptées, notamment des clauses contractuelles standard et des mesures supplémentaires destinées à préserver la confidentialité des informations transférées.
Le second volet, plus technique, portait sur la nature même des cookies déposés par La Poste lors de l’utilisation de Digiposte. Ici, la CNIL a jugé que ces cookies n’entraient pas dans la catégorie des traceurs publicitaires, et qu’ils relevaient d’une finalité statistique ou de maintien des performances. En effet, la législation européenne distingue les cookies dits « nécessaires » (exempts de consentement) de ceux qui poursuivent un objectif de ciblage ou de suivi marketing.
Cookies techniques vs. cookies publicitaires : un rappel fondamental
Pour le consommateur ou l’utilisateur final, la question peut sembler ardue. Pourtant, le Règlement général sur la protection des données (RGPD) et les lignes directrices européennes imposent une règle relativement simple :
- Les cookies essentiels, garantissant par exemple la sécurité d’un site ou son bon fonctionnement, n’exigent pas un accord explicite de l’utilisateur.
- Les cookies de suivi (ou de publicité), qui permettent de tracer la navigation, doivent être acceptés ou refusés via une interface claire et un consentement libre.
Le Conseil d’État a validé la lecture selon laquelle La Poste, via Digiposte, exploitait des cookies purement « fonctionnels » et utiles à la mesure d’audience et au confort d’usage, ne relevant pas du consentement obligatoire. En outre, les pages d’information du site La Poste répondaient apparemment aux exigences légales, offrant un éclairage suffisant sur ces cookies.
Le filtre de la justice administrative
Lorsque la CNIL clôt un dossier, un plaignant peut toujours saisir la justice administrative s’il estime que l’autorité n’a pas correctement apprécié les faits. C’est ce qu’a entrepris « Monsieur BA », convaincu que La Poste n’agissait pas en accord avec la législation sur les données personnelles. Mais, dans ce cas, la juridiction a suivi la CNIL, validant sa démarche d’instruction et ses conclusions.
Cette affaire illustre également la complexité des contentieux liés aux données. L’internaute qui se sent lésé doit prouver que l’opérateur (ici, La Poste) a réellement commis une faute, qu’il s’agisse du non-respect des conditions de consentement ou d’un transfert international mal sécurisé. Les tribunaux s’en remettent souvent à l’analyse experte de la CNIL, qui dispose des compétences techniques pour démêler ce qui relève du cookie purement fonctionnel ou publicitaire.
Un signal pour les utilisateurs et les entreprises
De cette affaire, on peut tirer deux enseignements. D’abord, elle rappelle que tous les cookies ne sont pas logés à la même enseigne : ceux dédiés à la stabilité ou à la performance du site ne sont pas soumis au consentement, contrairement aux traceurs plus intrusifs. Ensuite, elle confirme que les entreprises peuvent s’appuyer sur la CNIL pour valider les mécanismes de transfert de données extra-UE, sous réserve de mesures de sécurité avérées.
Pour les utilisateurs soucieux de la confidentialité, l’enjeu demeure la lisibilité de l’information : il est essentiel de vérifier si une bannière de cookies mentionne bien la distinction entre les cookies dits « techniques » et ceux qui requièrent un accord explicite. Les grands groupes comme La Poste ont un devoir de transparence vis-à-vis de leurs pratiques, notamment dans la gestion d’outils de mesure d’audience ou de scripts tiers.
La prudence reste de mise
La décision du Conseil d’État ne signifie pas que les transferts de données sont à l’abri de toute critique, ni que l’utilisation de cookies sera toujours validée aussi facilement. D’autres affaires pourraient émerger, surtout si des utilisateurs estiment que les finalités réelles de certains traceurs dépassent le cadre purement fonctionnel. Mais ce jugement consolide une jurisprudence sur la légitimité de certains cookies techniques.
Les internautes, quant à eux, doivent maintenir une vigilance, d’autant que la maturité numérique progresse et que les plaintes auprès de la CNIL se multiplient. Même si les juges administratifs confirment parfois l’innocuité de certains cookies, la porte reste ouverte à la contestation lorsque des pratiques plus douteuses apparaissent.
La « victorie » de La Poste dans cette affaire est en quelque sorte un rappel : le droit des données personnelles comporte des nuances finement établies, et tous les cookies ne poursuivent pas un objectif de traçage publicitaire. Le Conseil d’État se positionne ainsi pour conforter la CNIL dans son rôle d’arbitre technique et juridique, tout en veillant à ce que les entreprises respectent la transparence due aux internautes.