L’avocat Général près la CJUE croque les cookies : gare à l’information et au consentement !

L’avocat Général près la CJUE croque les cookies : gare à l’information et au consentement !
⏱ Lecture 4 min

Par Laurent GOUTORBE et A'drill KOUDOU

Le cadre juridique applicable aux cookies serait-il en train d’évoluer ?

Le 21 mars 2019, l’Avocat Général près la Cour de Justice de l’Union Européenne (CJUE), dans le cadre de ses conclusions générales[1], a proposé ses réponses aux questions préjudicielles posées par la Cour fédérale de Justice allemande relatives principalement au consentement des internautes pour le dépôt de cookies sur leur terminal.

1. Contexte

La société allemande Planet49 a organisé le 24 Septembre 2013, un jeu promotionnel en ligne. Pour y participer, l’internaute devait en amont donner son code postal puis cocher ou décocher deux cases. La première case, bien que non cochée par défaut, devait obligatoirement être cochée par l’internaute pour pouvoir participer au jeu et était destinée à recueillir son « consentement » à recevoir des offres promotionnelles. La seconde case était quant à elle cochée par défaut et obligeait l’internaute à accepter le dépôt de cookies sur son terminal.

Après une mise en demeure précontentieuse restée sans suite par une association de défense des consommateurs et d’une procédure engagée par elle devant les juridictions allemandes, la Cour Fédérale de justice allemande a saisi la CJUE des questions préjudicielles suivantes :

  • Le consentement pour le dépôt de cookies sur le terminal d’un internaute est-il valablement donné lorsqu’il est autorisé par une case cochée par défaut que l’internaute doit décocher pour refuser de donner son consentement ?
  • Les obligations d’information et de consentement pour le dépôt de cookies varient-elles selon que les données consultées ou stockées sont ou non des données personnelles ?
  • Dans les circonstances évoquées dans la 1ère question, le consentement aux cookies au regard du RGPD est-il valablement donné ?
  • Quelles sont les informations que le fournisseur de service doit donner à l’internaute au titre de l’information claire et complète pour le recueil de consentement aux cookies ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-elles partie ?

2. Le cadre juridique actuel applicable aux Cookies

Un cookie est un moyen de collecter des informations générées par un site internet et sauvegardées par le navigateur d’un internaute. Il s’agit de « traceurs déposés et lus par exemple lors de la consultation d’un site internet (…) quel que soit le type de terminal utilisé tel qu’un ordinateur ou un smartphone (…). »

En France, l’encadrement des cookies est régi principalement par une recommandation de la CNIL du 5 Décembre 2013[2]. Cette recommandation, prise à la lumière de la Loi Informatique et Libertés et de la Directive « vie privée et communications électroniques », pourrait être mise à jour au regard des dispositions du RGPD et du futur Règlement E-Privacy.

En Allemagne, la directive vie privée et communications électroniques a été transposée dans la Telemediengesetz (TMG).

3. L’indifférence de la nature des informations stockées ou consultées

Selon l’Avocat Général de la CJUE, le fait que les informations stockées ou consultées via les cookies ou autres traceurs sont ou non des données à caractère personnel ne fait aucune différence.

En effet, l’article 5 paragraphe 3 de la directive vie privée et communications électroniques évoque le stockage et l’accès des « informations » d’un abonné ou d’un internaute.

L’Avocat général précise que le terme « information » a un caractère privé et que le fait de savoir s’il s’agit (ou non) de données à caractère personnel n’est pas déterminant pour l’application des caractéristiques du consentement au dépôt des cookies sur le terminal d’un internaute.

4/ Les caractéristiques d’un consentement valable pour l’installation de cookies sur le terminal d’un internaute

L’Avocat général de la CJUE rappelle d’une part, que le consentement est valablement donné s’il est actif, distinct et précédé d’une information claire et complète fournie à l’internaute et d’autre part, que les dispositions du RGPD sont plus strictes que celles de la directive de 1995 en matière de consentement puisqu’elles requièrent en plus une manifestation de la volonté univoque et un acte positif clair de la personne concernée.

Au vu de ces dispositions, l’Avocat général de la CJUE conclut que l’internaute qui doit décocher une case pour exprimer son refus à l’installation de cookies sur son terminal, ne donne pas valablement son consentement dans le cas où il ne décoche pas la case. En effet, il n’y a pas, dans ce cas, d’acte positif de l’internaute pour exprimer son consentement.

Ainsi, le simple clic de l’internaute sur le bouton de participation sans refuser le dépôt de cookies sur son terminal (case déjà pré-cochée), ne pouvait valoir consentement à la participation du jeu et en même temps au dépôt de cookies sur son terminal, dès lors que le consentement doit être distinct et spécifique pour chaque finalité prévue afin d’être valable.

Ces conclusions de l’Avocat Général de la CJUE sont conformes à la position déjà exprimée par la CNIL dans sa Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, ainsi que dans sa décision de sanction prononcée à l’encontre de la société GOOGLE LLC.

La CNIL sanctionne Google pour défaut de consentement

 

Enfin, l’Avocat Général de la CJUE rappelle que la fourniture d’une information claire, précise et complète est également la condition préalable pour recueillir un consentement valable de l’internaute. L’Avocat général indique que l’information claire et complète implique notamment de préciser à l’internaute la durée de fonctionnement des cookies et d’indiquer si des tiers ont accès (ou non) aux cookies ainsi déposés. Cela implique également que cette information permette aux internautes de déterminer facilement les conséquences de leur consentement.

5. En résumé …

Ce qu’il faut retenir de ces conclusions de l’Avocat général, c’est principalement que :

  • L’installation de cookies par défaut sur le terminal d’un internaute n’est pas légale
  • Le consentement des internautes pour l’installation de cookies sur leur terminal est requis, peu importe le type de données collectées (données personnelles ou non)
  • Le consentement des internautes à recevoir des cookies sur leur terminal doit être conforme aux exigences du RGPD
  • Les informations fournies à l’internaute doivent être claires et complètes et doivent notamment indiquer la durée de fonctionnement des cookies et si des tiers ont accès aux cookies.

Ces conclusions de l’Avocat Général confirment les positions de la CNIL en matière de cookies et renforcent l’obligation d’information préalable qui doit être fournie aux internautes avant de recueillir leur consentement au dépôt de cookies sur leur terminal. Si ce dernier est suivi dans ses conclusions par la CJUE, les éditeurs de site Internet utilisant les cookies ne pourront plus ignorer cette position et devront s’assurer que leur bandeau cookies de recueil de consentement et leur politique de gestion des cookies sont conformes à cette position.

 

Expert depuis plus de vingt ans en Propriété intellectuelle et NTIC, le Cabinet Haas vous conseille sur toutes ces questions. Pour plus d’informations sur ces prestations, cliquez ici ou contactez directement un avocat grâce au service JurisAppel.

 

 

[1]http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1715058

[2] Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978

Laurent GOUTORBE

Auteur Laurent GOUTORBE

Suivez-nous sur Linkedin