Cookies : une case pré cochée n’est pas suffisante pour recueillir le consentement des internautes
jeudi 17 octobre 2019

Cookies : une case pré cochée n’est pas suffisante pour recueillir le consentement des internautes

L’internaute doit donner un consentement actif pour le placement de cookies, une case pré cochée est donc insuffisante selon la CJUE.

La Cour de justice de l’Union Européenne a été saisie d’une question préjudicielle concernant la validité d’un consentement donnée pour le placement de cookies via une case pré cochée.

Pour rappel, le site de la CNIL définit un cookie comme :

« Une suite d’informations, généralement de petite taille et identifié par un nom, qui peut être transmis à votre navigateur par un site web sur lequel vous vous connectez. Votre navigateur web le conservera pendant une certaine durée, et le renverra au serveur web chaque fois que vous vous y reconnecterez. Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d’un site marchand, le contenu courant de votre panier d’achat, un identifiant permettant de tracer votre navigation pour des finalités statistiques ou publicitaires, etc. ».

En l’espèce, une société allemande avait mis en place un jeu promotionnel. Les Internautes souhaitant participer à ce jeu devaient communiquer certaines données personnelles (nom, adresse et code postal) et accepter l’installation de cookies, une case étant pré cochée par défaut à cet effet.

La fédération allemande des organisations de consommateurs a contesté la validité d’un tel consentement devant les juridictions allemandes. La Cour fédérale de justice allemande (équivalente à notre Cour de cassation) a décidé de sursoir à statuer et de poser à la Cour de justice de l’Union Européenne les questions suivantes :

- Le consentement est-il valablement donné lorsque le stockage d’informations ou l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement ? Doit-on distinguer si les informations stockées ou consultées sont des données à caractère personnel ?

- Quelles sont les informations que le fournisseur de services doit donner à l’utilisateur au titre de l’information claire et complète voulue par la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ?

Concernant la première question, la Cour relève que la directive 2002/58/CE applicable en la matière prévoit que l’utilisateur doit avoir « donné son accord » au placement et à la consultation de cookies sur son équipement terminal, mais elle ne précise pas comment cet accord doit être donné.

Pour déterminer la forme que doit revêtir le consentement d’un Internaute pour être valable, la Cour va se fonder sur la directive 95/46/CE du 24 octobre 1995 et surtout sur le règlement 2016/679 du 27 avril 2016, plus connu sous le nom de "RGPD".

Ainsi, elle relève que le règlement 95/46/CE « requiert la manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’« acte positif clair » marquant son acceptation ». Elle souligne également que le consentement actif est désormais expressément prévu par le RGPD qui exclut expressément un consentement « en cas de silence, de cases cochées par défaut ou d’inactivité » (considérant 32 du RGPD).

La Cour conclut donc que pour être valablement donné, le consentement doit résulter d’un comportement actif et spécifique, ce qui n’est pas le cas d’une case cochée par défaut. Elle précise que cette interprétation s’applique, que les informations stockées ou consultées constituent ou non des données à caractère personnel.

Sur la seconde question, la Cour rappelle que le consentement pour être valable doit être donné en pleine connaissance de cause, c’est-à-dire après une information claire et complète de l’utilisateur, notamment sur les finalités du traitement.

En conséquence, les informations que le fournisseur doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Il peut être noté que cette décision est actuellement incompatible avec la position de la CNIL qui a publié le 28 juin 2019 un plan d’action en matière de cookies et traceurs en ligne indiquant qu’elle tolère jusqu’à la mi-2020 le recueil du consentement de l’Internaute par la simple poursuite de la navigation sur un site internet.

CJUE 1er octobre 2019, C-673/17

Nos solutions

Le RGPD est entré en vigueur le 25 mai 2018.

De nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des sociétés est renforcée. Elles doivent désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité. 

A défaut, la CNIL peut prononcer des amendes administratives, en cas de non-respect de ses dispositions, allant 4% du chiffre d’affaires mondial annuel de la société ou, 20 millions d’euros, le montant le plus élevé étant retenu.

GOUACHE Avocats veille à assurer la validité de vos clauses de données personnelles dans vos contrats au regard des dispositions de la loi informatique et liberté du 6 janvier 1978 et du RGPD mais également de vos politiques de données personnelles.

Contactez-nous pour faire auditer vos contrats ou politiques de données personnelles.