Suite à un recours en annulation de la Fédération du e-commerce et de la vente à distance et d’autres organisations professionnelles, le Conseil d’Etat a invalidé, dans une décision du 19 juin 2020,  la disposition des lignes directrices de la Cnil relatives aux cookies et aux traceurs qui prohibe de façon générale et absolue la pratique des « cookie walls », au motif qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. Les autres dispositions du texte de la Cnil sont validées par le Conseil d’Etat. Ce dernier a par ailleurs rejeté la demande de poser des questions préjudicielles à la CJUE et a condamné la Cnil à verser 3 000 € aux requérantes, au titre de l’article L. 761-1 du code de justice administrative. De son côté, la Cnil a annoncé qu’elle « ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer. ».
Le 4 juillet 2019, la Cnil avait adopté des lignes directrices sur les cookies et autres traceurs afin de préciser les règles applicables et les bonnes pratiques en la matière depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD). L’article 2 du texte de la Cnil prévoyait que le consentement aux cookies ne pouvait être valable que si la personne concernée était en mesure d’exercer valablement son choix et ne subissait pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. Elle s’était appuyée sur le CEPD, dans sa « déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques ». Le Comité européen de protection des données avait estimé que le blocage de l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (la pratique des cookie walls) n’était pas conforme au RGPD. Selon le Comité, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives, à savoir l’impossibilité d’accéder au site consulté. Le Conseil d’Etat a jugé qu’« en déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la Cnil a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité. »
Le Conseil d’Etat a rejeté les autres griefs contre la délibération invoqués par les auteurs du recours sur le consentement des personnes et ses modalités, l’information des personnes sur l’identité des responsables de traitement qui déposent des cookies, sur la liste contenant l’identité des responsables de traitement mise à leur disposition lors du recueil du consentement et sur la preuve du recueil du consentement.