Une case cochée par défaut n’équivaut pas à un consentement de la part d’un utilisateur pour le placement et la consultation de cookies sur son équipement. C’est ce qu’a conclu la Cour de justice de l’Union européenne (CJUE) le 1er octobre dernier. Cette décision fait suite à une demande de décision préjudicielle introduite par la Cour fédérale de justice allemande d’interpréter le droit de l’Union concernant la protection de la vie privée dans le cadre de la communication électronique.
Ces questions ont été soumises à la CJUE à la suite d’un litige entre la fédération allemande des organisations de consommateurs (ci- après la Fédération) et la société allemande Planet49 GmBH, société proposant des jeux en ligne, concernant le recueil d’informations personnelles à des fins publicitaires. Au cœur du litige : une case pré-cochée permettant à Planet49 GmBH, par l’installation de cookies, d’avoir accès à des informations stockées dans l’équipement terminal de ses utilisateurs et au transfert de ces données à des partenaires de la société.
Saisie d’un recours en révision par la Fédération, la Cour de justice Fédérale considère que l’issue du litige dépend de l’interprétation de l’article 2, sous f), et de l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 par la CJUE.
À partir de ces dispositions, la CJUE répond aux questions suivantes :
Le consentement est-il valablement donné lorsque le stockage d’informations ou l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement ?
Quelles sont les informations que le fournisseur de services doit donner à l’utilisateur au titre de l’information claire et complète voulue ?
Consentement actif : une action est nécessaire
La Cour estime que le consentement d’un utilisateur ne peut être donné qu’avec un « acte positif clair ». En effet, la CJUE interprète les termes « donner son accord » de l’article 5, par. 3 de la directive 2002/58 de manière littérale et détermine qu’une action de l’utilisateur est nécessaire pour donner son consentement :
« Il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite. »
De plus, de l’avis de la Cour, ce consentement doit être spécifique :
« La manifestation de volonté visée à l’article 2, sous h), de la directive 95/46 doit, notamment, être « spécifique », en ce sens qu’elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d’une manifestation de volonté ayant un objet distinct ».
Le fait d’utiliser un moyen détourné, comme le fait d’activer le bouton de participation à un jeu promotionnel, ne suffit pas pour considérer que l’utilisateur a accepté de manière éclairée et consciente le placement de cookies sur son ordinateur.
Protection des utilisateurs peu importe le type d’informations stockées
Dans la présente affaire, la Cour considère que la collecte d’informations réalisée par Planet49 GmBH constitue une collecte de données personnelles. Ainsi, la CJUE précise que la collecte de données n’est pas une condition préalable au consentement de l’utilisateur et son consentement s’avère nécessaire peu importe le type d’informations stockées :
« Il convient, en tout état de cause, de constater que l’article 5, paragraphe 3, de la directive 2002/58 fait référence au « stockage d’informations » et à « l’obtention de l’accès à des informations déjà stockées », sans qualifier ces informations ni préciser que celles-ci devraient être des données à caractère personnel. Ainsi cette disposition vise à protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel. »
De l’avis de la Cour, la protection de l’utilisateur est primordiale, peu importe le type d’informations stockées :
« Cette protection s’applique à toute information stockée sur cet équipement terminal, indépendamment du fait qu’il s’agisse ou non de données à caractère personnel et vise, notamment, à protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu. »
Consentement éclairé : l’utilisateur doit comprendre les conséquences de son consentement
La cour considère que l’article 5, paragraphe 3, de la directive 2002/58 doit être interprété de façon à ce que l’utilisateur soit en mesure de donner son accord après avoir reçu une information claire et complète :
« Une information claire et complète doit permettre à l’utilisateur de déterminer facilement les conséquences du consentement qu’il pourrait donner et garantir que ce consentement soit donné en pleine connaissance de cause. Elle doit être clairement compréhensible et suffisamment détaillée pour permettre à l’utilisateur de comprendre le fonctionnement des cookies qui sont utilisés. »
La CJUE ajoute que l’étendue de ces informations est énoncée à l’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi qu’à l’article 13 du règlement 2016/679 et que ces informations ne sont pas énumérées de manière exhaustive :
« Ces informations comprennent notamment, en vertu de l’article 10 de la directive 95/46, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données. »
La cour considère aussi que l’article 10 inclut la durée du traitement des données et que celle-ci doit répondre à l’exigence du traitement loyal des données :
« Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant, notamment, sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée. »
Finalement, la cour reconnait que la possibilité des tiers d’avoir accès aux cookies est une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679 : « dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données ».
Une décision sans surprise
En bref, la CJUE considère que l’usager doit donner son accord au placement de cookies de manière positive et active. Ce consentement doit porter précisément sur le traitement de données concerné et ne peut être donné de manière implicite et ce, peu importe le type d’informations stockées. Finalement, les informations données à l’usager doivent minimalement inclure la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.
Cette décision de la CJUE est sans surprise et s’inscrit dans un courant juridique où le consentement de l’utilisateur au placement de cookies doit être considéré comme fondamental. Ces dernières années, cette idée de consentement n’a cessé de faire l’objet d’un encadrement plus strict. Notamment, le Règlement général sur la protection des données personnelles (RGPD) et les lignes directrices mises en ligne par la CNIL en juillet 2019 sont venus renforcer le principe que l’utilisateur doit être partie prenante au consentement de cookies et qu’il doit avoir accès à toutes les informations nécessaires pour prendre cette décision. Ainsi, l’arrêt de la CJUE est fondé sur ces directives et vient raffermir cette notion de consentement, en plus de limiter la capacité des publicitaires à s’insérer dans les failles de la loi. En effet, maintenant que le cadre est plus clair, les éditeurs de site Internet ne pourront plus ignorer le consentement de l’usager et devront s’assurer d’être conformes aux exigences du RGPD.