CJUE, 1er octobre 2019, aff. C-673/17
Dans un arrêt du 1er octobre 2019 de la CJUE, la Cour est revenue sur les conditions à respecter pour le dépôt de cookies lors de la navigation sur un site internet.
Si le RGPD suggère fermement que la validité du consentement d’une personne relève d’une action positive de sa part, la règlementation antérieure ne faisait nullement référence à cet acte. Dès lors et concernant spécifiquement les cookies déposés sur le terminal d’un internaute à l’occasion de sa navigation sur un site internet, de nombreux éditeurs de sites et de cookies ont profité d’un flou juridique pour mettre en place des mécanismes de consentement peu contraignant et facilitant la collecte d’information.
Ce qu’il faut retenir :
La CJUE confirme que le consentement d’un internaute au dépôt de cookies sur son équipement ne saurait être valable s’il résulte d’une case cochée par défaut qu’il convient de décocher si l’internaute refuse ces cookies.
En outre, la validité de ce consentement dépend également de l’information qui est délivrée à l’internaute et qui doit notamment inclure la durée des cookies ainsi que les tiers qui peuvent y avoir accès.
Pour approfondir :
Dans un arrêt du 1er octobre 2019 de la CJUE, la Cour est revenue sur les conditions à respecter pour le dépôt de cookies lors de la navigation sur un site internet. En l’espèce, la société allemande PLANET49 a organisé un jeu concours sur internet. Le site internet via lequel les internautes pouvaient participer prévoyait notamment une case à cocher qui prévoyait par défaut l’acceptation de l’internaute au dépôt de cookies par PLANET49 lui permettant notamment d’exploiter les navigations sur le web et les visites de l’internaute sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur leurs intérêts.
Après mise en demeure restée infructueuse, la fédération des organisations et associations de consommateurs a introduit devant le tribunal régional de Francfort-sur-le-Main un recours contre PLANET49 afin que cette dernière cesse la mise en place d’un accord par défaut au dépôt de cookies. Après que le tribunal régional ait fait droit partiellement à la demande de la fédération et que la société allemande ait interjeté appel de cette décision, l’affaire a été portée devant la Cour fédérale de justice.
La Cour fédérale de justice allemande a saisi la CJUE de plusieurs questions préjudicielles en interprétation des dispositions applicables en matière de consentement et d’information préalable au dépôt de cookies prévues par la directive 2002/58 du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et de la directive 95/46.
Il est à noter que la directive 95/46 a été abrogée par le Règlement général sur la protection des données personnelles n°216/679 (RGPD), toutefois les faits de cette affaire et la saisie de la CJUE sont antérieurs à l’abrogation de ladite directive et à l’adoption du RGPD.
La CJUE a donc notamment dû répondre aux questions préjudicielles suivantes :
- Le consentement tel que visé par ces dispositions est-il valablement donné lorsqu’il résulte d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement ?
- L’information préalable qui doit être délivrée à l’internaute doit-elle inclure la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies ?
- S’agissant de la première question préjudicielle relative au consentement
Pour répondre à cette question, la Cour a d’abord relevé que les dispositions applicables prévoient expressément que l’utilisateur doit avoir « donné son accord » au placement et à la consultation de cookies sur son équipement sans préciser de quelle manière cet accord doit être donné. La Cour a néanmoins précisé qu’il ressortait du considérant 17 de la directive 2002/58 que le consentement d’un utilisateur peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, notamment « en cochant une case lorsqu’il visite un site Internet ».
La Cour en a conclu que dès lors que le consentement, tel que prévu par la directive de 2002, avait la même définition que celle prévue par la directive 95/46, à savoir « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement », il n’est pas possible de déterminer si un internaute a véritablement donné son accord en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, la Cour avance que le fait de ne pas décocher une telle case peut résulter de l’inattention de l’internaute qui n’aurait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’aurait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite.
En conséquence, la CJUE a répondu à la question préjudicielle qui lui était posée que le consentement d’un internaute n’est pas valablement donné lorsqu’il est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.
- S’agissant de la deuxième question préjudicielle relative à l’information préalable
La Cour relève tout d’abord que l’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du règlement 2016/679 énoncent les informations qu’un responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données à caractère personnel.
Ces informations comprennent « au moins » :
- L’identité du responsable du traitement ;
- Les finalités du traitement ;
- Toute information supplémentaire (dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données) telle que :
- Les destinataires ou les catégories de destinataires des données,
- Le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,
- L’existence d’un droit d’accès aux données et de rectification de ces données.
A la lecture de cet article, l’identité des tiers qui peuvent avoir accès aux cookies est explicitement visée dans l’information devant être délivrée à l’internaute puisque les destinataires sont inclus dans la liste dudit article.
Quant à la durée du traitement des données, celle-ci ne figure pas parmi ces informations. Néanmoins, la liste figurant à l’article 10 de la directive 95/46 n’est pas exhaustive, l’expression « au moins » ayant été utilisée par le législateur européen.
La Cour a retenu que la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données dans une situation telle que celle en l’espèce puisqu’une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’internaute sur les sites des partenaires publicitaires de PLANET49.
En conséquence, qu’il s’agisse de pratiques antérieures ou postérieures à l’entrée en application du RGPD, qui pose un cadre strict et explicite en matière de consentement et d’information, le consentement nécessaire à un éditeur avant dépôt de ses cookies ne doit pas résulter d’une case cochée par défaut et être accompagné d’une information claire et complète précisant notamment la durée de validité de ces cookies et des tiers pouvant y avoir accès.
Cet arrêt s’inscrit dans un mouvement de renforcement du consentement des internautes.
En effet, alors qu’un règlement « vie privée et communications électroniques » (qui abrogera la directive 2002/58) est actuellement en discussion au niveau européen, la CNIL a publié, en juillet dernier, de nouvelles lignes directrices rappelant les règles de droit applicables en matière d’expression du consentement sur internet tenant compte des dispositions du RGPD. Ces lignes directrices remplacent sa recommandation « Cookie » de 2013. La Commission annonce également la publication prochaine d’une nouvelle recommandation durant le premier trimestre 2020 qui précisera les modalités de recueil du consentement au dépôt des cookies et qui complètera sa délibération de juillet dernier.
Pour l’heure, et en synthèse, la CNIL recommande aux éditeurs de :
- Prévoir un consentement via un acte positif qui ne peut résulter d’une case pré-cochée ou de l’acceptation globale de conditions générales d’utilisation ;
- Prévoir un consentement pour chaque finalité de traitement. Dès lors, si un éditeur a recours à plusieurs types de cookies aux finalités différentes comme par exemple, des cookies publicitaires et des cookies de mesure d’audience, il devra solliciter un accord pour chacune de ces finalités. En conséquence, l’acceptation globale de tous les cookies n’est pas envisageable, à moins que la possibilité d’accepter ou refuser chacune des finalités soit offerte aux internautes ;
- Prévoir une information complète, visible, et mise en évidence au moment du recueil du consentement, rédigée en des termes simples et accessibles. Il convient donc de bannir toute documentation trop complexe, rédigée en des termes trop juridiques. De plus, si une information complète suggère beaucoup de mentions obligatoires, a minima dans un premier niveau, les mentions suivantes devront être portées à la connaissance de l’internaute :
- L’identité du ou des responsables de traitement ;
- La finalité des opérations de lecture ou écriture des données ;
- L’existence du droit de retirer son consentement.
A rapprocher : Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) ; Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ; Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)