Le consentement actif des internautes est requis pour le placement de “cookies”
Tel est l’enseignement apporté par la Cour de justice de l’Union européenne (“CJUE”) dans son arrêt C-673/17, rendu en grande chambre.
La Cour insiste sur l’importance du rôle actif que l’internaute doit jouer lorsqu’il donne son consentement. Ainsi, une case “précochée” sur un site Internet ne permet pas de déterminer si l’internaute a effectivement donné son consentement au traitement de ses données à caractère personnel. Venons-en aux faits qui ont amené la CJUE à se prononcer de la sorte.
Faits
La société “Planet49” organise des jeux promotionnels en ligne. Les internautes qui veulent s’inscrire doivent remplir des cases avec leurs informations personnelles. Sous ces cases, se trouvent deux mentions, accompagnées de cases à cocher.
La première case n’est pas cochée par défaut. La mention que les internautes peuvent lire est la suivante : “J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici”.
La seconde case est cochée par défaut. La mention que les internautes peuvent lire est la suivante : “J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici”.
C’est précisément cette seconde case qui pose problème. En effet, la fédération allemande des organisations de consommateurs estime que le consentement n’est pas valablement donné vu que l’internaute ne l’a pas cochée lui-même. Elle a donc porté l’affaire en justice, jusqu’à la Cour fédérale de justice d’Allemagne (Bundesgerichtshof). Cette-dernière va, ainsi, interroger la CJUE sur la valeur et la portée d’une telle case “précochée” en matière de protection de la vie privée.
Décision de la CJUE
La Cour va adopter le même raisonnement que la fédération. Elle estime, en effet, que le consentement de l’internaute n’est pas valablement donné. L’utilisation de “cookies” pour le stockage d’informations et pour l’accès aux informations de l’utilisateur ne saurait être autorisé au moyen d’une case cochée par défaut. Il est, dès lors, nécessaire que ce soit l’internaute, lui-même, qui coche la case.
La manière dont le consentement doit être donné
L’internaute doit “avoir donné son accord” (au sens de l’article 5, §3 de la directive 2002/58). La CJUE précise qu’un tel accord nécessite une “manifestation de volonté”. Or, une manifestation de volonté requiert un comportement actif et non passif. Une case “précochée” n’implique aucun comportement actif dans le chef de l’internaute. Dès lors, un consentement donné au moyen d’un tel procédé n’est pas donné valablement.
Un consentement spécifique
La Cour souligne également que ce n’est pas parce que l’internaute a activé le bouton de participation au jeu promotionnel, qu’il a consenti au placement de “cookies”. Le consentement doit porter précisément sur le traitement de données concerné.
Le consentement et le Règlement général sur la protection des données (“RGPD”)
De manière inédite, la Cour se fonde sur des dispositions du RGPD pour rendre son arrêt. Elle rappelle que ce nouveau texte de loi impose des conditions strictes au consentement. Il doit être “libre, spécifique, éclairé et univoque”. L’internaute doit, de la sorte, poser un acte positif clair pour marquer son consentement. Toutes ces conditions s’opposent ainsi au recours à l’utilisation d’une case cochée par défaut pour recueillir le consentement en matière de placement de “cookies”.
Informations à donner à l’internaute
Enfin, la CJUE insiste sur l’importance d’informer les internautes, spécialement lorsque des “cookies” à des fins de publicité ciblée sont utilisés. En effet, les données à caractère personnel des internautes peuvent, dans ce cadre, être communiquées à des tiers. Le fournisseur de service doit donc informer les internautes de l’identité de ces tiers.
Il doit, par ailleurs, informer les internautes de la durée de fonctionnement des “cookies”.
Notre conseil :
Dans cet arrêt, la CJUE s’est prononcée sur les “cookies” publicitaires. Or, il existe également des “cookies” fonctionnels / techniques qui sont, contrairement aux premiers, indispensables au bon fonctionnement de votre site web. Pour ces-derniers, la question du consentement de l’internaute prend moins d’importance qu’en matière de publicité.
Si vous êtes une entreprise qui a recours à l’utilisation de “cookies” sur son site web, veillez ainsi à bien vérifier :
- quels sont les “cookies” auxquels vous avez recours; et
- la manière dont vous recueillez le consentement des internautes pour le placement de ces “cookies”.
Vu le degré de technicité de la matière, il peut être judicieux de vous faire assister dans cette mise en conformité par rapport aux règles européennes et à la jurisprudence en évolution.
de Joachim Parmentier