Download PDF

A l’occasion d’une affaire pendante devant la Cour de Justice de l’Union européenne (CJUE) opposant la société allemande Planet49 GmbH, qui organise des jeux sur internet, à la Fédération allemande des organisations de consommateurs, l’avocat général auprès de la Cour est revenu sur la notion de consentement librement exprimé et éclairé en matière de cookies en présentant le 21 mars 2019, ses conclusions générales à la CJUE.

Le contexte de cette affaire est d’autant plus intéressant que l’affaire traitée est née sous l’empire des anciens textes (directive européenne 95/46 + 2002/58) avant l’entrée en vigueur du Règlement sur les données personnelles (règlement 2016/679) mais qu’étant donné que l’affaire a fait depuis son premier acte, l’objet d’un appel et d’un pourvoi, l’action de la Fédération allemande des organisations de consommateurs est jugée au regard des anciens et des nouveaux textes. Ainsi les propositions de réponses aux questions préjudicielles, formulées par l’avocat général de la CJUE, sont rendues en tenant compte des récentes dispositions du RGPD.

 

Les faits :

Planet49 est poursuivie par la Fédération allemande des organisations de consommateurs pour avoir proposé son jeu aux Internautes en pré cochant la case visant à obtenir l’autorisation de ces derniers à l’installation de cookies sur leurs terminaux (ordinateurs, smartphones …). Ces cookies consistaient en des cookies de nature fonctionnelle et de ciblage, enregistrant le comportement et les préférences de l’internaute en vue de lui proposer du contenu publicitaire ciblé.

Dans un premier temps, raison est donnée en partie à la Fédération par les juges allemands mais un appel est formé contre cette première décision puis un pourvoi à l’encontre de la décision d’appel devant la Cour Fédérale de justice allemande, qui décide alors de surseoir à statuer afin de poser deux questions préjudicielles à la CJUE.

 

Les 2 questions préjudicielles :

 La première est relative à l’expression du consentement : est-il valablement donné par l’internaute lorsque l’autorisation de déposer des cookies sur son terminal est présumée par une case pré cochée, laquelle doit alors être décochée si l’internaute refuse les cookies ?

La seconde est relative aux informations que doit fournir la société à l’origine des cookies : quelles informations le fournisseur de service doit-il donner à l’utilisateur au titre de l’information claire et complète voulue par les textes en vigueur ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ?

 

Les conclusions de l’avocat général :

Ainsi après avoir rappelé ce qu’est un cookie et à ce à quoi ils peuvent servir une fois déposés sur des terminaux permettant de consulter des sites Internet (identifier l’internaute, mémoriser les actes et préférences de l’internaute au cours de sa navigation, collecter des informations afin d’envoyer de la publicité ciblée aux internautes ayant accepté les cookies…), l’avocat général rappelle pour principe que « la validité du consentement à l’installation de cookies et l’applicabilité des exemptions pertinentes éventuelles doivent s’apprécier au regard non pas des caractéristiques techniques, mais de la finalité du cookie ».

 Puis, à la première question posée à la CJUE relative à l’expression du consentement de l’internaute face aux cookies susceptibles d’être déposés sur son terminal de navigation internet, l’avocat général rappelle que le consentement doit être « actif » ce qui suppose une action de sa part et non de l’inertie via l’acceptation d’une case pré cochée. L’internaute doit avoir indubitablement coché la case lui-même pour manifester son autorisation au dépôt de cookies.

L’avocat général précise également que le consentement de l’internaute doit être « distinct » : autrement dit, distinction est faite entre le fait de consulter une page internet ou un site et le fait de consentir au dépôt de cookies du fait de cette seule consultation de page / site internet.

Enfin, l’avocat général revient sur l’obligation faite aux exploitants de site internet, de délivrer une information complète permettant à l’internaute de saisir sans ambiguïté que le suivi de son activité sur internet est subordonné à son consentement et de quelle manière son consentement influe sur sa navigation.

A la seconde question relative sur les informations à fournir aux internautes pour assurer la validité de leur consentement au dépôt de cookies, l’avocat général auprès de la CJUE rappelle que cette obligation d’informer l’internaute est directement liée à l’expression de son consentement et que les informations doivent donc lui être délivrées en amont.

Si l’avocat général fait un parallèle intéressant avec la notion de consommateur européen moyen normalement informé et raisonnablement attentif et avisé, en mesure de prendre la décision de s’engager en toute connaissance de cause, il souligne néanmoins que « compte tenu de la complexité technique des cookies, de l’information asymétrique entre fournisseur et utilisateur et, plus généralement, du manque de connaissance relatif de tout internaute moyen, on ne doit pas s’attendre à ce que l’internaute moyen ait un niveau de connaissance élevé en matière de fonctionnement des cookies. Ainsi, une information claire et complète doit permettre à un utilisateur de déterminer facilement les conséquences du consentement qu’il pourrait donner. Pour cela, il doit pouvoir évaluer les effets induits par ses actions. L’information donnée doit être clairement compréhensible et ne laisser place à aucune ambiguïté ou interprétation. Elle doit être suffisamment détaillée pour permettre à l’utilisateur de comprendre le fonctionnement des cookies qui sont effectivement utilisés. Comme la juridiction de renvoi le souligne à juste titre, cela inclut à la fois la durée de fonctionnement des cookies et la question de savoir si des tiers ont accès aux cookies ».

Cette information doit alors, rappelle l’avocat général, inclure la durée de fonctionnement des cookies et l’information liée aux tiers susceptibles d’y avoir accès.

A l’occasion de ses développements, l’avocat général précise également que les cookies doivent s’entendre comme revêtant la nature de données à caractère personnel et qu’il est alors indifférent de se poser la question du caractère privé des informations collectées lors de l’utilisation des services proposés en ligne par les internautes. L’avocat général considère très clairement ici que « le fait que les informations stockées ou consultées soient ou non des données à caractère personnel ne fait aucune différence (…) Il est clair que ce type d’informations a un caractère privé, indépendamment du point de savoir si ce sont ou non des « données à caractère personnel » au sens de l’article 4, du point 1, du règlement 2016/679. Comme la Commission le souligne à juste titre, l’article 5 paragraphe 3, de la directive 2002/58 (ndlr « directive cookies ») vise à protéger l’utilisateur de toute ingérence dans sa sphère privée, indépendamment du point de savoir si cette ingérence porte sur des données à caractère personnel ou sur d’autres données. »

L’avocat général propose alors à la CJUE d’acter à l’occasion de cette affaire, du fait que le consentement de l’internaute au sens des textes applicables en Union européenne, n’est pas valablement donné si le stockage et le traitement des données personnelles est autorisé par une case pré cochée par défaut et que ce consentement doit s’entendre d’un consentement éclairé et distinct, autrement dit nourri par une information complète et préalable quant aux données personnelles collectées, au traitement qui leur est appliqué et à la durée du traitement et « distinct » dans le sens où la seule navigation sur le site internet mis en cause ou la participation à un jeu comme en l’espèce ne présume pas de ce consentement.

 

Ce qu’il faut retenir :

NB. S’il ne s’agit pas (encore) de la décision de la CJUE, l’avis de l’Avocat général est généralement suivi et peut servir de guide dès à présent…

# L’illégalité d’un consentement présumé, recueilli passivement par le biais d’une case pré cochée : C’est l’internaute qui doit cocher la case.

# Le fait que tous les bandeaux cookies encore visibles actuellement précisant « en poursuivant votre navigation, vous acceptez le dépôt de cookies… » sont illégaux si la base légale du traitement est le consentement (Y-compris le bandeau actuel de la CNIL…).

# La nécessité de délivrer aux internautes des informations claires, détaillées et au bon moment, sur la nature des cookies, leur durée, leur finalité et l’intervention éventuelle de tiers.

# L’enjeu majeur qu’est la détermination de la finalité du traitement de données : c’est elle qui va permettre de fixer la base légale du traitement, la nécessité (ou non) du consentement, ainsi que les informations obligatoires à communiquer aux personnes concernées.

Rappelons enfin qu’à défaut de suivre ces règles, les entreprises se mettent en péril : risque d’amendes et risques d’atteinte à l’image de marque du fait de ce manque de respect porté à la vie privée des internautes. Ainsi Google a fait l’objet de la 1ère condamnation française au titre du RGPD prononcée par la CNIL le 21 janvier 2019 : https://www.ip-talk.com/2019/01/23/210119-cnil-condamnation-de-la-societe-google-llc-1ere-amende-francaise-au-titre-du-rgpd-50-millions-e/

Share on LinkedInTweet about this on TwitterShare on Google+Email this to someone