Dans un arrêt du 1er octobre 2019, la Cour de Justice a estimé que le consentement quant aux cookies présuppose une démarche active de la part des utilisateurs. Les cases à cocher standard ne sont donc pas autorisées. En outre, les administrateurs de sites Web doivent également fournir (le cas échéant) des informations sur les destinataires éventuels, ou sur les catégories de destinataires éventuelles, et sur la durée de vie des cookies.
Sur base de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (« directive e-Privacy »), transposée en droit belge, la règle générale est que le placement de cookies requiert le consentement de l’utilisateur. Certains cookies sont néanmoins exemptés de cette obligation. Indépendamment du fait qu’un consentement soit, ou non, requis, les administrateurs de sites Web doivent également informer les utilisateurs de l’installation de cookies.
Dans un récent arrêt du 1er octobre 2019 ( C-673/17, Planet49 GmbH ), la Cour de Justice s’est prononcée plus en détails sur (i) les exigences relatives à un consentement valable en matière de cookies et (ii) les informations à fournir sur les cookies installés.
Dans cette affaire, une société allemande avait organisé une loterie publicitaire sur un site Web, permettant aux utilisateurs d’accepter des cookies affichant des publicités personnalisées en fonction de leur comportement de navigation. Ce consentement était demandé via une case à cocher, laquelle était néanmoins cochée par défaut et devait être décochée par les utilisateurs s’ils refusaient de marquer leur consentement.
La Cour de Justice a décidé que le consentement quant aux cookies ne pouvait être obtenu légalement via une case standard cochée. Ce consentement doit répondre aux mêmes exigences que celles prévues par la législation sur la protection des données, ce qui signifie, entre autres, qu’une action doit être posée. Une case préalablement cochée ne répond pas à ce critère.
Selon la Cour de Justice, ce qui précède s’applique d’autant plus dans le cadre du Règlement Général sur la Protection des données (RGPD). En effet, le RGPD prévoit expressément que le consentement doit être actif. Ce n’est pas la seule condition pour obtenir un consentement juridiquement valable, car selon le RGPD, il ne doit pas seulement être univoque (et donc actif), mais aussi libre, spécifique et éclairé.
La Cour de Justice a en outre précisé que, pour la validité du consentement quant aux cookies, il importe peu que les informations stockées contiennent, ou non, des données à caractère personnel. Même si ce n’est pas le cas, le consentement relatif aux cookies nécessite une démarche active. L’obligation de consentement a pour but de protéger les utilisateurs contre toute ingérence possible dans leur vie privée, que cette ingérence concerne ou non des données à caractère personnel.
Selon la Cour de Justice, les informations fournies doivent permettre aux utilisateurs de comprendre les conséquences impliquées en cas de consentement. Cela ne signifie pas seulement que les utilisateurs doivent être informés, par exemple, de l’identité du responsable du traitement et de l’objet des cookies, mais aussi:
- des destinataires ou catégories de destinataires des données, lorsque cela est nécessaire pour assurer un traitement loyal à l’égard des utilisateurs;
- de la durée d’activation des cookies, compte tenu de leur longue durée d’utilisation, voire de leur durée illimitée, ce qui peut entrainer la collecte d’un grand nombre d’informations sur le comportement de navigation des utilisateurs.
Au niveau européen, un règlement e-Privacy est en cours d’élaboration, lequel vise à remplacer l’actuelle directive e-Privacy. Ce règlement pourrait modifier à l’avenir le cadre juridique existant en matière de cookies. Il va de soi que nous assurons le suivi de cette matière pour vous.
Point d'action
Vérifiez quels cookies vous utilisez sur votre site Web et si vous avez obtenu un consentement conforme au RGPD (si nécessaire). Vérifiez également si vous communiquez des informations suffisamment précises sur les cookies (par exemple, dans une notice d’information cookie), y compris des informations sur les destinataires ou catégories de destinataires, et la durée de vie des cookies.