Ce 1er octobre 2019, la Cour de justice de l’Union européenne (ci-après « CJUE ») a rendu un important arrêt précisant les principes applicables à l’utilisation des cookies. Nous faisons ici le point sur les enseignements de cet arrêt de grande chambre.
Pour rappel, les cookies ou « témoins de connexion » sont des fichiers informatiques de petite taille. Ceux-ci sont placés sur l’appareil d’un utilisateur lorsqu’il visite des sites internet. Les cookies ont vocation à faciliter la navigation sur un site internet (par exemple en mémorisant les préférences de l’utilisateur en matière de langue) mais ils permettent aussi aux opérateurs de site web d’accéder à des informations relatives à la navigation ou au comportement en ligne de l’utilisateur.
Actuellement, l’utilisation des cookies est encadrée par la directive Directive 2002/58/CE ou directive vie privée et communications électroniques (ci-après « directive e-privacy ») ainsi que par le RGPD.
Les internautes sont couramment confrontés aux pratiques suivantes :
· Pouvoir refuser l’utilisation de cookies en décochant une ou plusieurs cases relatives à leurs usages spécifiques ;
· Devoir décocher, un à un, les différents cookies utilisés par un site.
Ces pratiques sont-elles néanmoins conformes aux règles applicables en la matière ?
Résumé des faits
Dans l’affaire ayant mené à cet arrêt, les questions préjudicielles posées à la CJUE résultaient d’un litige opposant la fédération allemande des organisations de consommateurs à Planet 49, société organisatrice de jeux en ligne.
Afin de pouvoir participer à l’un des concours de Planet 49, les internautes devaient communiquer certaines données de contact. Ils étaient ensuite confrontés à deux cases : la première, devant être cochée par l’internaute, conditionnait la participation à l’acceptation de recevoir des offres de publicitaires. La seconde case, quant à elle cochée par défaut, entrainait l’acceptation de l’installation de cookies. L’utilisateur pouvait cependant décider de décocher cette case pour refuser l’installation des cookies.
Nécessité d’un consentement actif et éclairé de l’utilisateur
Sans grande surprise, la CJUE a considéré que la pratique de cocher par défaut une case relative au placement des cookies était incompatible avec le régime mis en place par la directive « e-privacy ». La directive dispose en effet que le placement et la consultation de cookies requiert que l’utilisateur ait préalablement donné son accord. Aux yeux de la Cour, cette disposition doit dès lors être interprétée comme nécessitant une action de l’utilisateur et donc un consentement actif. A contrario, lorsque l’utilisateur est confronté à une case pré-cochée, il doit être considéré comme passif. La cour considère également qu’il est impossible de savoir si la personne concernée a réellement donné son consentement ou si elle est tout simplement « passée à côté » de cette case avant de poursuivre sa navigation.
Comme le souligne la Cour, cet enseignement est à fortiori applicable depuis l’entrée en application du RGPD puisque ce dernier est venu renforcer les exigences à remplir pour qu’un consentement soit considéré comme valide. En outre, son 32ème considérant rappelle expressément qu’il ne peut y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.
Enfin, le consentement préalable de l’utilisateur doit être un consentement éclairé. La directive « e-privacy » requiert que l’utilisateur ait eu accès à une information claire et complète avant de consentir au placement de cookies sur son appareil. Selon les mots de l’avocat général, une telle information doit permettre à l’utilisateur de déterminer facilement les conséquences de son consentement et être suffisamment compréhensible pour lui permettre de comprendre le fonctionnement des cookies concernés. En pratique, le titulaire d’un site internet ayant recours à des cookies doit au moins informer les utilisateurs quant aux finalités des différents cookies, à leur durée de fonctionnement et quant à la possibilité que des tiers y aient accès. Lorsque l’utilisateur est confronté à une case cochée par défaut, il n’est pas à exclure que celui-ci n’ait pas lu ces informations relatives aux cookies. Un consentement éclairé ne peut donc être déduit face à cette pratique.
Un principe applicable à l’ensemble des cookies
La Cour souligna également que la directive « e-privacy » impose d’obtenir le consentement préalable de l’utilisateur tant pour le stockage d’informations que pour l’accès à des informations déjà stockées sur l’appareil de l’utilisateur. En d’autres termes, tant l’installation d’un cookie que l’accès aux informations qu’il contient est soumise au consentement préalable de l’utilisateur.
Peu importe donc que les cookies ou les informations consultées sur l’appareil de l’utilisateur soient qualifiées, ou non, de données à caractère personnel. Les informations présente sur l’appareil de l’utilisateur relèvent de sa vie privée et la directive « e-privacy » a vocation à le protéger contre toute immixtion dans ce droit et contre les dispositifs de nature à pénétrer dans cet appareil.
Recommandations pratiques pour la route
Par cet arrêt, la CJUE rappelle que le placement de cookies ou l’accès à des informations stockées sur l’appareil de l’utilisateur est soumis au consentement actif de l’utilisateur. La directive « e-privacy » lue en combinaison avec le RGPD instaure un système d’opt-in et non un système d’opt-out en ce qui concerne les cookies. Si vous utilisez des cookies vous devez donc adopter une approche consistant à décocher par défaut l’ensemble des cases qui leurs sont relatives, et, à permettre à l’utilisateur de cocher ces cases pour exprimer son consentement. Il conviendra également de s’interroger quant à savoir si une option permettant de cocher en un seul clic l’ensemble des cases relatives aux cookies – bien qu’impliquant un comportement actif de l’utilisateur – répond à l’exigence d’un consentement éclairé de la personne concernée.
Relevons enfin un attendu très intéressant de cet arrêt par lequel la CJUE souligne qu’elle n’a pas été saisie de la question de la conformité d’une pratique conditionnant la participation à un concours à l’acceptation d’un traitement de données à des fins publicitaires. Il faut y voir un rappel de principe, le consentement de la personne concernée doit être un consentement de qualité et doit en conséquence avoir été donné librement. Mieux vaut donc être attentif avant de fonder un traitement de données sur le consentement.
Florian JACQUES
Pour plus d’informations sur le RGPD, sur la protection des données ou sur l’impact de ces nouveaux règlements sur votre entreprise, n’hésitez pas à nous contacter ou à nous rencontrer lors d’une entrevue sans engagements : https://digi-lex.be/index.php/contact/