Post

Cookies : information et consentement des internautes

Back to posts

Cookies : information et consentement des internautes

October 3, 2019 - 6 min

A. Les faits :
En l’espèce, une société avait organisé un jeu promotionnel sur son site web. Afin de pouvoir participer au jeu en question, l’internaute devait cocher/décocher deux cases avant de pouvoir cliquer sur le bouton « participer ».

La première case obligeait l’internaute à accepter d’être contacté par toute une série de sociétés tierces pour des offres promotionnelles, il devait alors obligatoirement cocher ladite case pour pouvoir participer au jeu promotionnel et donc consentir à être contacté par ces sociétés tierces.

La seconde case, qui nous intéresse plus particulièrement dans le présent article, obligeait l’internaute à accepter l’installation de cookies sur son ordinateur. Cette seconde case était, quant à elle, pré cochée par défaut.

Les deux questions préjudicielles qui ont été posées à la CJUE par le Bundesgerichtshof (Cour fédérale de justice allemande) sont les suivantes :

Le consentement est-il valablement donné lorsqu’un utilisateur doit décocher une case pour pouvoir enlever son consentement ?
Quelles informations le propriétaire du site web doit-il fournir à l’internaute ? la durée de fonctionnement des cookies et l’accès ou non de tiers en font-ils partie ?

B. Analyse de l’avocat général :
L’avocat général débute son analyse en rappelant qu’un cookie est un moyen de collecter des informations générées par un site Internet et sauvegardées par le navigateur d’un internaute.

Ainsi, un cookie permet au site internet de « mémoriser » les actes ou les préférences de l’utilisateur au fil du temps afin de lui proposer une expérience de navigation plus personnalisée.

Ensuite, ce dernier insiste sur le fait que des cookies peuvent également être utilisés pour collecter des informations afin d’adapter la publicité et le comportement en ligne en fonction des préférences et du comportement des utilisateurs.

Réponse de l’avocat général à la première question – la question du consentement :

Notons tout d’abord que les faits étant antérieurs au 25 mai 2018, la directive 95/46 (bien qu’abrogée entre temps par le RGPD) reste applicable au présent litige.Toutefois, cette considération ne change en rien le raisonnement de l’avocat général qui déduit des dispositions pertinentes que :

D’une part, le consentement doit être actif. Or, l’avocat général soutient que le fait de devoir retirer activement son consentement ne permet pas d’en déduire que le consentement ait été donné activement. Cela rejoint la doctrine majoritaire qui estime que la notion de « manifestation de volonté » implique nécessairement une action, ce qui n’est pas le cas en l’espèce.

D’autre part, le consentement doit être distinct, c’est à-dire que l’activité qu’entreprend l’internaute (en l’espèce, sa volonté à participer à un jeu promotionnel) et le fait de donner son consentement à l’installation de cookies sur son terminal ne peuvent procéder d’un seul et même acte. L’avocat général rajoute même que la manifestation du consentement ne peut pas présenter un caractère accessoire par rapport à la participation au jeu promotionnel, ce qui fait également défaut en l’espèce.

Réponse de l’avocat général à la seconde question – la portée de l’obligation d’information :

L’avocat général rappelle qu’une obligation d’information pèse sur les épaules des sites Web utilisant des cookies et que cette information doit être donnée de manière claire et complète, d’autant plus que le niveau de connaissance moyen des internautes par rapport aux cookies n’est pas très élevé.

Ensuite, il rajoute que cette information doit être suffisamment détaillée pour permettre à l’internaute de comprendre le fonctionnement des différents cookies utilisés par un site web.

Enfin, il conclut en soutenant que cette obligation d’information inclut bien la durée de fonctionnement des cookies et que si des tiers ont accès aux informations collectées, l’internaute doit obligatoirement en être informé. L’avocat général va même plus loin en rajoutant que si des tiers ont accès aux informations, l’identité de ces tiers doit être divulguée, sans quoi l’internaute n’est pas en mesure de donner son consentement en toute connaissance de cause.

C. Proposition de règlement « vie privée et communications électroniques » – Le rôle des navigateurs Web :
Les enseignements que nous tirons des conclusions de l’avocat général sont à lire en perspective avec la proposition de « règlement vie privée et communications électroniques » qui abrogera la directive 2002/58/CE ou « directive vie privée et communications électroniques ». En effet, le législateur européen bien conscient du fait que les internautes sont débordés par les nombreuses demandes de consentement relatives aux cookies, suggère de recourir à des moyens techniques permettant de donner son consentement de manière plus conviviale. Par conséquent, le règlement devrait prévoir la possibilité d’exprimer un consentement en utilisant les paramètres appropriés d’un navigateur ou d’une autre application. Les choix effectués par l’internaute lorsqu’il définit les paramètres généraux de confidentialité d’un navigateur ou d’une autre application devraient être contraignants pour les tiers et leur être opposables. Les navigateurs Web assurent une grande partie des interactions entre l’utilisateur final et le site Web. De ce point de vue, ils sont bien placés pour jouer un rôle actif consistant à aider l’utilisateur final à maîtriser le flux d’informations à destination et en provenance de son équipement terminal. En particulier, les navigateurs Web peuvent servir de portiers et donc aider l’utilisateur final à empêcher l’accès à des informations de son équipement terminal (smartphone, tablette ou ordinateur, par exemple) ou le stockage de telles informations. La solution de responsabiliser les navigateurs Web et de permettre un paramétrage plus convivial des cookies nous semble être la mieux adaptée aux besoins des internautes, même si cette dernière ne devrait pas faire l’affaire des sociétés de Web marketing. Si vous pensez que votre site Web n’est pas conforme aux exigences légales, n’hésitez pas à nous contacter, nous serions ravis de pouvoir vous conseiller en la matière.

D. La décision de la Cour de justice
Dans son arrêt du 1er octobre 2019, la Cour estime que le consentement qu’un utilisateur du site web doit donner au stockage et à l’accès aux cookies sur son terminal n’est pas valablement constitué par une case pré-cochée que cet utilisateur doit désélectionner pour enlever son consentement.

Cette décision n’est pas affectée par le fait que les informations stockées ou accédées sur l’équipement de l’utilisateur sont ou non des données personnelles.

Selon la CJUE, les informations stockées dans les terminaux des utilisateurs de réseaux de communications électroniques font partie de la vie privée des utilisateurs, qui est protégée par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Cette protection s’étend à toutes les informations stockées dans ces équipements terminaux, qu’il s’agisse ou non de données à caractère personnel.

Le droit communautaire vise à protéger l’utilisateur contre toute ingérence dans sa vie privée, en particulier contre le risque que des identificateurs cachés et autres dispositifs similaires pénètrent dans l’équipement terminal de ces utilisateurs à leur insu.

La Cour ajoute que le consentement doit être distinct de sorte que le fait qu’un utilisateur sélectionne le bouton pour participer à une loterie promotionnelle ne suffit pas pour conclure que l’utilisateur a valablement donné son consentement au stockage des témoins.

De plus, selon la Cour, les exploitants du site Web sont tenus d’informer sur la durée des cookies et sur l’accès ou non de tiers aux données.

E. Le futur: la proposition de règlement « vie privée et communications électroniques »
Pour la première fois, la décision tient compte non seulement de l’ancienne directive de 2002 relative aux cookies, mais aussi du nouveau Règlement général sur la protection des données (RGPD).

Si la Cour note que le consentement doit être distinct, elle ne se prononce pas sur la nature libre du consentement, qui est pourtant une question pertinente en ce qui concerne les bannières de cookies.

Au vu de la définition des caractéristiques du consentement par l’article 4 du RGPD qui définit le consentement de la personne concernée comme étant « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement », des pratiques telles que les cases précochées, le blocage de l’accès au site web pour les utilisateurs qui n’acceptent pas les cookies et la présomption selon laquelle un utilisateur donne son consentement simplement en naviguant sur un site Web, sont probablement vouées à disparaitre.

Les enseignements de l’arrêt sont à lire en perspective avec la proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques (« règlement e-privacy ») et les initiatives récentes de plusieurs autorités de contrôle.

En effet, dossier bloqué suite aux dernières élections européennes, la présidence du Conseil européen a publié, le 18 septembre 2019, ses propositions d’amendement de la proposition de règlement « e-privacy » qui est censé remplacer la directive « e-privacy » actuelle et qui complétera le cadre législatif de l’UE dans le domaine de la protection des données et de la confidentialité des communications électroniques, par des dispositions directement applicables dans l’arsenal législatif de chaque Etat-membre.

Afin de débloquer le dossier, la présidence a proposé de nombreux amendements, y compris au niveau des dispositions relatives au traitement des métadonnées des communications électroniques. Toutefois, les modifications proposées relatives au marketing direct et aux cookies ne sont pas substantiellement différentes de celles de la version précédente du texte.

Le texte révisé fera bientôt l’objet de nouvelles discussions au niveau du Conseil.

Au niveau des autorités de protection des données, en juillet 2019, les autorités britanniques (ICO) et françaises (CNIL) de protection des données ont publié de nouvelles directives sur l’utilisation des cookies et d’autres technologies de traçage sur Internet. En mars 2019, la conférence allemande des autorités de protection des données (DSK) a également publié des lignes directrices sur ce sujet.

L’utilisation de cookies et d’autres technologies de traçage sur Internet rentre dès lors dans le collimateur du législateur européen et des autorités chargées de la protection des données. Il sera intéressant de voir comment ces dernières se positionneront à l’avenir par rapport à cette matière.

Sources : Les conclusions de l’avocat général M. Maciej SZPUNAR dans l’affaire c-673/17 Proposition de règlement « vie privée et communications électroniques »

-->