Le consentement de l'internaute au placement de cookies sur son ordinateur doit être «actif, spécifique et éclairé par des informations » selon les juges européens.

Le RGPD avait déjà rendu le consentement par défaut insuffisant.

L’arrêt du 1er octobre 2019 des juges européens a le mérite d'éclaircir les règles.

Ø Concilier consentement sur internet et cookies ?

La Cour de justice de l'Union européenne a tranché cette question dans une décision du 1er octobre 2019.

La réponse est nette: le consentement de l'internaute au placement de cookies sur son ordinateur doit être actif, spécifique et éclairé par des informations.

Une case cochée par défaut ne suffit pas à caractériser cette approbation.

Les faits examinés remontent au 24 septembre 2013, date à laquelle Planet49 GmbH avait organisé un jeu promotionnel en ligne.

Pour y participer, les internautes devaient cocher deux cases.

-         La première case, non pré-cochée, visait à obtenir l'autorisation des participants à être contacté par des sociétés pour des offres promotionnelles.

-         La deuxième, cochée par défaut, visait à obtenir l'autorisation des usagers à l'installation de cookies sur leur ordinateur.

Une liste d'informations figurait au bas (possibilité de retirer son consentement, sur leur fonctionnement…).

C'est cette case qui posait problème car elle servait à recueillir des informations à des fins de publicité pour des produits des partenaires de Planet49.

La Fédération allemande des organisations de consommateurs a intenté une procédure contre Planet49 GmbH.

La Cour fédérale de justice allemande a été saisie via une question préjudicielle pour obtenir des précisions sur l'interprétation du droit de l'Union européenne.

Deux questions étaient soulevées: sur les caractéristiques du consentement qui sont requises pour l'installation des cookies et, les informations à fournir.

La Cour de justice de l'Union européenne a répondu sur deux plans :

Elle déclare d’abord que «le consentement que l'utilisateur doit donner pour le placement et la consultation de cookies sur son équipement n'est pas valablement donnée au moyen d'une case cochée par défaut ».

Par ailleurs, cette règle s'applique, même s'il ne s'agit pas de donnée à caractère personnel car, selon la Cour :

«le droit de l'Union européenne vise à protéger l'utilisateur de toute ingérence dans sa vie privée et notamment contre les risques que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu ».

Ce que l'on peut conclure de ce jugement est qu'activer un bouton de participation pour un jeu promotionnel par exemple ne suffira jamais à caractériser l'approbation d'un internaute.

Ø La Cour estime ainsi que l'activité qu'un utilisateur entreprend sur internet et la manifestation du consentement ne peuvent pas procéder du même acte.

Les cookies et autres traceurs font l'objet d'un encadrement strict depuis la directive européenne du 12 juillet 2002, révisée en 2006.

L'article 5 de ce texte renvoie directement aux cookies avec l'obligation d'informer l'internaute de leur utilisation et la mise en œuvre de la clause opt-out.

Ainsi, le stockage des données, comme les cookies, ne peut être effectué que si l'utilisateur est informé de la façon avec laquelle les informations vont être utilisées et s'il peut refuser cette opération de stockage.

Ces principes ont été transposés dans la loi française « informatique et liberté ».

L'arrivée du Règlement général sur la protection des données personnelles (RGPD) n'a fait que renforcer ces principes.

L'article 4 de ce texte prévoit la nécessité d'un « consentement actif »

Celui-ci est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Ø La CNIL a rédigé des lignes directrices mises en ligne le 4 juillet 2019.

Pour elle, le dépôt de cookies ou l'accès aux informations stockées par les cookies nécessitent une information claire et complète de l'utilisateur sur leur finalité et sur les moyens de s'y opposer.

Par ailleurs, elle rappelle fermement que l'internaute doit fourni son consentement préalable.

Dans ses précédentes lignes directrices de 2013, la CNIL faisait prévaloir une interprétation souple de la notion de "consentement" qui se déroulait en deux temps :

-         un bandeau devait avertir l'utilisateur en cas de dépôt de cookie et lui donner la possibilité de s'y opposer via un lien puis prévoir une page spécifique relative aux cookies avec plus d'information. Désormais c'est très clair : aucun accord tacite n'est plus recevable.

La CNIL a déjà laissé un délai d’une année pour se mettre en conformité au RGPD car l'ancienne législation se contentait d'une poursuite de la navigation pour déduire son accord.

La CNIL appelle à une co-construction des règles afin qu'ils soient réellement applicables dans les faits.