Accueil > Actualités > Cookies, information et consentement à la collecte des données : des précisions apportées par la CJUE

L'actualité DDG

Cookies, information et consentement à la collecte des données : des précisions apportées par la CJUE

Depuis l’entrée en application du RGPD[i], le consentement des personnes à la collecte et au traitement de données personnelles est défini à l’article 4, 11) comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement »[ii]. Cela a été vu, parfois, comme un renforcement de l’exigence en matière de consentement, alors que sur le fondement des textes anciens, un consentement explicite était déjà requis en pratique. Il s’agissait donc plutôt d’une codification à droit constant du droit existant.

Cette question du consentement est très sensible en matière de cookies, puisqu’on sait que les modalités d’obtention de ce consentement sont particulières. 

Saisie en 2017 par la justice allemande à propos de l'obligation d'obtenir le consentement pour le placement de cookies sur les terminaux des internautes, la Cour de justice de l’Union européenne (CJUE) s’est prononcée le 1er octobre 2019 sur les questions suivantes[iii] :

  1. Le consentement d’un utilisateur est-il valablement formé au moyen d’une case cochée par défaut, que l’utilisateur doit décocher pour refuser de donner son consentement ?
  2. L’internaute doit-il être préalablement informé de la durée de fonctionnement des cookies et de l’éventuel accès à ces cookies par des tiers pour donner son consentement ?

(1.) Sur la première question la CJUE répond de manière prévisible par la négative : « le consentement (…) n’est dès lors pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet est autorisé au moyen d’une case cochée par défaut par le fournisseur du service, que l’utilisateur devrait décocher pour refuser de donner son consentement ». Selon elle, ce consentement doit être « spécifique » et « actif »[iv]. En effet, le Règlement 2016/679 prévoit que l’accord de l’internaute n’est pas valablement constitué « en cas de silence, de cases cochées par défaut ou d’inactivité ». Autrement dit, et comme l’avait soutenu l’avocat général près la CJUE dans son avis du 21 mars 2019, un tel consentement ne peut pas être présumé, il doit résulter d’un acte positif[v]. Reste à déterminer concrètement la forme de cet acte positif valant consentement explicite. Une chose est certaine, le fait de ne pas décocher une case pré-cochée n’est pas suffisant, mais pour le reste le champ des possibles reste ouvert.

(2.) Sur la deuxième question, la réponse de la CJUE est à la fois précise et pragmatique : après avoir rappelé que l’internaute doit avoir été informé de manière « claire et complète » quant aux conséquences de son consentement, elle indique que cela implique s’agissant des cookies d’informer les personnes quant à la durée de vie des cookies (elle est actuellement de 13 mois selon une recommandation de la CNIL), et sur le fait que des tiers pourront y accéder.

Cette décision tombe à point nommé, au moment où la CNIL a fait paraître une délibération portant précisément sur les modalités de recueil du consentement relatif aux Cookies, destinée à remplacer celle remontant à décembre 2013 - voir notre brève « Délibération de la CNIL : nouvelle recette pour les cookies » : https://ddg.fr/?q=fr/actualit%C3%A9/d%C3%A9lib%C3%A9ration-de-la-cnil-nouvelle-recette-pour-les-cookies

A cet égard, il n’est pas certain que les préconisations de la CNIL soient totalement conformes à l’interprétation des textes par la CJUE, telle qu’elle résulte de cet arrêt. Notamment, on remarquera que la Cour de justice n’exige pas que l’identité des destinataires du traitement, lorsqu’il s’agit de partenaires de l’éditeur du site, soit mentionnée, mais seulement que des tiers pourront accéder aux informations collectées via les cookies. Cette question est évidemment centrale pour l’économie du digital, car elle permet la monétisation par les régies des sites web des données collectées via les cookies auprès des annonceurs.

On rappelle enfin que le sujet doit être traité par le Règlement e-Privacy à venir.

Nous sommes donc loin d’en avoir terminé avec les cookies…

 

Frédéric DUMONT / Inès BOUDAOUI


[i] Règlement général sur la protection des données n°2016/679 du 27 avril 2016

[ii] Définition reprise de l’Article 2, h) de la Directive 95/46 du 24 octobre 1995 - relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données - abrogée le 25 mai 2018 lors de l’entrée en vigueur du RGPD

[iii]Affaire C‑673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV c. Planet49 GmbH : la fédération allemande de défense des consommateurs contestait le placement de cookies par l’organisateur de jeux en ligne grâce à une case cochée par défaut constituant selon lui le consentement des participants.

[iv]Jugement CJUE,  C‑673/17, pt. 56 et 58 ; Article 5 § 3 de la Directive 2002/58 du 12 juillet 2002, révisée en 2006, sur la vie privée et les communications électroniques

[v] Conclusions de l’avocat général, affaire C‑673/17, du 21 mars 2019, pt. 74