Depuis l’entrée en application du RGPD1, le consentement des personnes à la collecte et au traitement de données personnelles est défini à l’article 4, 11) comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »2. Cela a été vu, parfois, comme un renforcement de l’exigence en matière de consentement, alors que sur le fondement des textes anciens, un consentement explicite était déjà requis en pratique. Il s’agissait donc plutôt d’une codification à droit constant du droit existant.
Cette question du consentement est très sensible en matière de cookies, puisqu’on sait que les modalités d’obtention de ce consentement sont particulières.
Saisie en 2017 par la justice allemande à propos de l’obligation d’obtenir le consentement pour le placement de cookies sur les terminaux des internautes, la Cour de justice de l’Union européenne (CJUE) s’est prononcée le 1er octobre 2019 sur les questions suivantes3 :
Sur la première question la CJUE répond de manière prévisible par la négative :
« le consentement (…) n’est dès lors pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet est autorisé au moyen d’une case cochée par défaut par le fournisseur du service, que l’utilisateur devrait décocher pour refuser de donner son consentement ».
Selon elle, ce consentement doit être « spécifique » et « actif »4. En effet, le Règlement 2016/679 prévoit que l’accord de l’internaute n’est pas valablement constitué « en cas de silence, de cases cochées par défaut ou d’inactivité ». Autrement dit, et comme l’avait soutenu l’avocat général près la CJUE dans son avis du 21 mars 2019, un tel consentement ne peut pas être présumé, il doit résulter d’un acte positif5. Reste à déterminer concrètement la forme de cet acte positif valant consentement explicite.
Une chose est certaine, le fait de ne pas décocher une case pré-cochée n’est pas suffisant, mais pour le reste le champ des possibles reste ouvert.
Sur la deuxième question, la réponse de la CJUE est à la fois précise et pragmatique : après avoir rappelé que l’internaute doit avoir été informé de manière « claire et complète » quant aux conséquences de son consentement, elle indique que cela implique s’agissant des cookies d’informer les personnes quant à la durée de vie des cookies (elle est actuellement de 13 mois selon une recommandation de la CNIL), et sur le fait que des tiers pourront y accéder.
Cette décision tombe à point nommé, au moment où la CNIL a fait paraître une délibération portant précisément sur les modalités de recueil du consentement relatif aux Cookies, destinée à remplacer celle remontant à décembre 2013.
À cet égard, il n’est pas certain que les préconisations de la CNIL soient totalement conformes à l’interprétation des textes par la CJUE, telle qu’elle résulte de cet arrêt. Notamment, on remarquera que la Cour de justice n’exige pas que l’identité des destinataires du traitement, lorsqu’il s’agit de partenaires de l’éditeur du site, soit mentionnée, mais seulement que des tiers pourront accéder aux informations collectées via les cookies. Cette question est évidemment centrale pour l’économie du digital, car elle permet la monétisation par les régies des sites web des données collectées via les cookies auprès des annonceurs.
On rappelle enfin que le sujet doit être traité par le Règlement e-Privacy à venir.
Nous sommes donc loin d’en avoir terminé avec les cookies…
1 CJUE, 3 octobre 2019, n°C-18/18, Eva G.-P. c. Facebook Ireland Ltd.
2 Ces commentaires étaient les suivants : « sale traîtresse du peuple », « idiote corrompue », membre d’un « parti de fascistes ».
3 « L’interdiction pour les États membres d’imposer aux prestataires de services une obligation de surveillance ne vaut que pour les obligations à caractère général. Elle ne concerne pas les obligations de surveillance applicables à un cas spécifique et, notamment, elle ne fait pas obstacle aux décisions des autorités nationales prises conformément à la législation nationale ».
4 Arrêt CJUE du 14 septembre 2019, C-507-17, Google LLC c. CNIL
5 Conclusions de l’avocat général, C-18/18, du 4 juin 2019, pt. 100
