Cookies et consentement : l’impossible mariage ?
Publié le 10/04/2019 par Thierry Léonard, Bojana Salovic, Olivia Guerguinov
Le consentement d’un utilisateur à l’installation de cookies est-il valablement donné via une case cochée par défaut ? C’est l’une des questions préjudicielles que pose la justice allemande à la CJUE. Elle veut aussi savoir quelles informations doivent être données, et si le GDPR a changé la donne. Pour l’avocat général, une chose est sûre : l’installation de cookies par défaut est illégale.
Les faits
Le 24 septembre 2013, Planet49 GmbH a organisé un jeu promotionnel à l’adresse Internet www.dein-macbook.de. Pour participer à ce jeu promotionnel, les internautes devaient cocher ou décocher deux cases avant de pouvoir cliquer sur le bouton « participation ».
La première case (non pré-cochée) visait à obtenir l’autorisation des internautes à être contactés par des sociétés pour des offres promotionnelles. La deuxième (cochée par défaut) – celle qui pose question dans le cadre de la présente affaire – visait à obtenir l’autorisation des internautes à l’installation de cookies sur leur ordinateur.
Les cookies placés permettaient de tracer le comportement en ligne de l’internaute sur des sites partenaires (pages visitées, produits consultés et/ou achetés, etc.) dans le but de lui envoyer par la suite de la publicité ciblée.
Une mention d’information incomplète figurait sous la deuxième case pré-cochée (avec le nom des cookies installés, leur fonctionnement, le but/finalité poursuivie, la possibilité de retirer son consentement, etc.).
La Fédération allemande des organisations de consommateurs, en désaccord avec ces pratiques, a intenté une procédure contre PLANET49 GmbH.
À la suite d’un appel interjeté devant le tribunal régional supérieur de Francfort-sur-le-Main (qui a fait droit à certains chefs de la demande et qui la rejetée pour le surplus) la Cour fédérale de justice allemande a été saisie.
La Cour fédérale de justice allemande a interrogé la Cour de justice de l’Union européenne (CJUE) :
- Sur les caractéristiques du consentement qui sont requises pour l’installation des cookies ;
- Sur les informations à fournir.
L’avocat général de la CJUE a rendu ses conclusions (non contraignantes) dans la présente affaire (C‑673/17).
Première question : le consentement à l’installation de cookies peut-il être donné « par défaut » ?
La première question revient à se demander si le consentement visé dans la directive 2002/58/CE (« directive vie privée et communications électroniques ») lue conjointement avec les dispositions de la directive 95/46/CE (« directive sur la protection des données », remplacée par le Règlement(UE) 2016/679 sur la protection des données) est valablement donné lorsque le stockage d’informations ou l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement.
Dans ses conclusions, l’avocat général y répond par la négative. Selon lui, il n’est pas suffisant que la manifestation du consentement soit préalablement formulée et que l’utilisateur soit obligé de s’opposer de manière active lorsqu’il n’est pas d’accord avec le traitement des données.
Il justifie cette position par les arguments suivants:
- Pour être valable, le consentement doit être manifesté de manière active. C’est du moins ce qui ressort selon lui des dispositions de la directive 95/46. L’article 2, sous h) fait référence à une manifestation de volonté de la personne concernée, ce qu’il interprète comme évoquant « clairement un comportement actif plutôt que passif ».L’article 7, sous a), de la directive 95/46, qui fixe les critères à respecter pour rendre le traitement des données à caractère personnel légitime, dispose que la personne concernée a indubitablement donné son consentement. Ici encore, il relève que « le doute ne peut être levé que par un comportement actif et non passif ». Il ajoute que dans le cadre d’une case précochée, on ne sait pas si le texte rédigé à l’avance a été lu et assimilé. La situation n’est donc pas exempte de doutes car un utilisateur peut ou non avoir lu le texte. Dans ce contexte, il est donc d’après lui, impossible de déterminer si le consentement a été donné librement.
- Pour être valable, le consentement doit également être donné de manière spécifique.
Cette dernière exigence détruit, selon l’avocat général, l’argument avancé par Planet49 selon lequel « le consentement est valablement donné par la personne concernée, non pas lorsqu’elle ne décoche pas une déclaration de consentement préalablement formulée, mais lorsqu’elle « clique » de manière active sur le bouton de participation au jeu promotionnel en ligne ».
En effet, pour qu’un consentement soit « libre » et « éclairé », il doit être actif mais aussi spécifique. Selon lui, l’activité qu’un utilisateur entreprend sur Internet (lire une page web, participer à un jeu promotionnel, regarder une vidéo, etc.) et la manifestation du consentement ne peuvent pas procéder du même acte. Or, c’est le cas en l’espèce puisque l’utilisateur ne clique qu’une seule fois sur le bouton de participation pour participer au jeu promotionnel. Il est précise également que « du point de vue de l’utilisateur, la manifestation du consentement ne peut pas présenter un caractère accessoire par rapport à la participation au jeu promotionnel ». Il en découle que, selon lui, les deux actions doivent être mises sur le même plan, surtout visuellement.
Les déclarations d’intention groupées, incluant la manifestation du consentement, ne seraient ainsi pas conformes à la notion de consentement au sens de la directive 95/46.
Deuxième question : la réponse est-elle différente selon que les informations stockées ou consultées sont ou non des données à caractère personnel?
Selon l’Avocat général, le point de savoir s’il s’agit d’une question générale de traitement des données à caractère personnel ou d’une question plus particulière de stockage et de consultation d’informations au moyen de cookies est indifférent.
Il cite l’article 5, §3 de la directive 2002/58/CE sur les communications électroniques qui dispose que « Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement (…) »
Etant entendu que « (…) les définitions figurant dans la directive 95/46/CE et dans la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques (…) s’appliquent aux fins de la présente directive » (art. 2) et que « le consentement d’un utilisateur ou d’un abonné correspond au “consentement de la personne concernée” figurant dans la directive 95/46/CE » (art. 2.1.f)).
L’avocat général précise, en outre, que l’article 5, §3 de la directive 2002/58 fait référence au « [stockage] des informations ou [à l’accès] à des informations [déjà] stockées ». Selon lui, ce type d’informations a un caractère privé, indépendamment du point de savoir si ce sont ou non des données à caractère personnel.
Or d’après lui, c’est justement là l’objectif poursuivi par l’article 5, §3, à savoir : protéger l’utilisateur de toute ingérence dans sa sphère privée et ce, indépendamment du point de savoir si cette ingérence porte sur des données à caractère personnel ou d’autres données.
Il ajoute que cette interprétation est confirmée par les considérants 24 et 25 de la directive ainsi que par les avis du groupe de travail « article 29 » (qui réunit l’ensemble des autorités de protection des données de l’UE, devenu « CEPD »). En effet, selon ce groupe de travail, « l’article 5, paragraphe 3, s’applique aux “informations” (stockées et/ou consultées). Il ne qualifie pas ces informations. Le fait que ces dernières soient des données à caractère personnel au sens de la directive 95/46/CE n’est pas une condition préalable à l’application de cette disposition » (Avis 2/2010 sur la publicité comportementale en ligne).
Troisième question : la situation change-t-elle avec le GDPR ?
La juridiction de renvoi pose la question de savoir si la réponse est ou non identique dans le cadre de l’application du Règlement (UE) 2016/679 (« GDPR »). Cette question s’est posée dans la mesure où les faits en cause dans la présente affaire sont antérieurs à l’entrée en application du GDPR.
Selon l’avocat général, les exigences relatives à la manifestation du consentement prévues par la directive 95/46/CE sont les mêmes que celles que prévoit le règlement (UE) 2016/679 (cf. les principes de consentement actif et spécifique évoqués ci-dessus).
D’autant que l’exigence de consentement actif est désormais expressément prévue par l’article 4.§1.11) du GDPR qui définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair (…) ».
Quatrième question : quelles sont les informations à communiquer ?
Se pose également la question de savoir quelles sont les informations que le fournisseur de service doit donner à l’utilisateur. Et notamment, si la durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font partie.
Sur ce point, l’avocat général répond que l’information qui doit être donnée par le fournisseur de services à l’utilisateur au titre de l’article 5, §3 de la directive 2002/58 inclut tant la durée de fonctionnement des cookies que le point de savoir si les tiers ont ou non accès aux cookies.
Selon lui, ces informations doivent être fournies dans la mesure où, on ne peut considérer que le consentement est « éclairé » en l’absence de telles informations.
Affaire à suivre…
Reste à voir si les conclusions de l’avocat général seront ou non suivies par la CJUE (elles ne sont en effet pas contraignantes), ce qui paraît assez probable dès lors que l’interprétation faite par l’Avocat général rejoint tant le texte du GDPR que les travaux actuels relatifs à l’eprivacy.
Si c’est le cas, il conviendra d’en tirer l’enseignement principal suivant : même si les cookies ne collectent aucune donnée personnelle, le consentement est aussi strict qu’en cette matière et exige également une démarche positive de la part de l’utilisateur, qui ne se confond pas avec l’expression d’une opposition. Cela implique dès lors que l’installation de cookies autorisée par défaut est illégale.
Plus d’infos ?
En lisant l’avis de l’avocat général, disponible en annexe.