Placement de cookies et consentement

Le 1er octobre 2019[1], la Cour de justice de l’Union européenne s’est prononcée sur la question du consentement des internautes au placement de cookies sur leurs équipements terminaux, dans un arrêt aussi attendu que sans surprise.

Dans les faits, une société organisait un jeu promotionnel sur un site internet, dont la participation nécessitait pour les internautes de consentir au partage de leurs données avec des « sponsors et partenaires », ce en cochant une case. Une seconde mention, autorisant l’organisateur du jeu promotionnel à installer des cookies sur le disque dur des utilisateurs, était suivie d’une case cette fois cochée par défaut.

Après une mise en demeure restée sans suite, la fédération allemande des organisations de consommateurs (Bundesverband der Verbraucherzentralen und Verbraucherverbände) a introduit, devant le tribunal régional de Francfort (Landgericht Frankfurt am Main), un recours tendant à ce que la société organisatrice cesse de solliciter les déclarations d’accord susmentionnées. Il y a été partiellement fait droit. La société a interjeté appel devant le tribunal régional supérieur de Francfort (Oberlandesgericht Frankfurt am Main), qui a estimé la demande de la fédération infondée, dans la mesure où l’utilisateur avait connaissance de la possibilité de décocher cette case, qui était par ailleurs suffisamment claire et donnait des informations sur les modalités d’utilisation des cookies, sans qu’il fut nécessaire de divulguer l’identité des tiers susceptibles d’avoir accès aux informations recueillies.

Saisie par la fédération d’un recours en révision, la Cour fédérale de justice allemande (Bundesgerichtshof) a considéré que l’issue du litige dépendait de l’interprétation des dispositions combinées des textes applicables[2], et a décidé de surseoir à statuer et de poser deux questions préjudicielles à la CJUE.

Il s’agissait de déterminer si, d’une part, le consentement d’un utilisateur est valablement formé au moyen d’une case cochée par défaut, que l’utilisateur doit décocher pour refuser de donner son consentement ; et si, d’autre part, l’internaute doit être préalablement informé de la durée de fonctionnement des cookies et de l’éventuel accès à ces cookies par des tiers pour donner son consentement.

La CJUE considère que le consentement visé « n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement ».

En effet, les textes posent une exigence de « manifestation » de volonté, expression qui évoque clairement un comportement actif et non pas passif de l’internaute[3]. Une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur. Il est impossible de déterminer de manière objective si l’utilisateur a donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut[4].

Est-il utile de rappeler que, lors de l’interprétation d’une disposition du droit de l’Union, il y a lieu de tenir compte des termes et objectifs de celle-ci, ainsi que de son contexte et de l’ensemble des dispositions du droit de l’Union ? Par conséquent, bien que le début de la procédure soit antérieur à l’adoption du RGPD[5], il est intéressant de relever que celui-ci exige désormais que le consentement de la personne concernée soit : libre, spécifique, éclairée et équivoque. La spécificité du consentement implique qu’il ne peut pas être implicite ou associé à autre chose. Par ailleurs, le considérant 32 du même règlement exclut expressément qu’il y ait un consentement « en cas de silence, de cases cochées par défaut ou d’inactivité ».

En ce sens, la CJUE rappelle la genèse[6] de l’article 5 § 3 de la directive 2002/58, qui ne prévoyait initialement qu’un « droit de refuser » le placement des cookies. La directive 2009/136 a modifié cette disposition en substituant à cette expression les termes « donné son accord », qui évoquent une fois de plus un acte positif.

Enfin, s’agissant de la seconde question, la CJUE estime que l’utilisateur doit recevoir une information claire et complète sur le traitement. Le fournisseur de services doit donner « la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies », ce sans distinction en fonction que le cookie contient ou non des données à caractère personnel.

Charlotte SALAÜN


[1] CJUE, 1er octobre 2019, C-673/17.

[2] Article 5 § 3 et article 2 sous f) directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; article 2 sous h) directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; article 6 § 1 sous a) du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), abrogeant la directive de 95/46/CE.

[3] Point 52 de l’arrêt commenté.

[4] Point 55 de l’arrêt commenté.

[5] Règlement (UE) 2016/679, article 4 point 11.

[6] Point 56 de l’arrêt commenté.

 

 

Internet Cookies droit de l'Union européenne

  • Aucune note. Soyez le premier à attribuer une note !

Ajouter un commentaire