Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Les internautes doivent pleinement consentir au placement de cookies

Les juges européens ont tranché le 1er octobre 2019 : le consentement de l'internaute au placement de cookies sur son ordinateur doit être actif, spécifique et éclairé par des informations. Le RGPD avait déjà rendu le consentement par défaut insuffisant mais cet arrêt a le mérite d'éclaircir les quelques zones d'ombres qu'ils restaient.  
Twitter Facebook Linkedin Flipboard Email
×

Les internautes doivent pleinement consentir au placement de cookies
Une case cochée par défaut ne suffit pas à caractériser cette approbation. © Pixabay

Comment concilier consentement sur internet et cookies ? C'est sur cette question que s'est penchée la Cour de justice de l'Union européenne dans une décision du 1er octobre 2019. Et la réponse est limpide : le consentement de l'internaute au placement de cookies sur son ordinateur doit être actif, spécifique et éclairé par des informations. A contrario, une case cochée par défaut ne suffit pas à caractériser cette approbation.

 

 

Une case pré-cochée litigieuse

Les faits litigieux remontent au 24 septembre 2013, date à laquelle Planet49 GmbH a organisé un jeu promotionnel en ligne. Pour y participer, les internautes devaient cocher deux cases. La première case, non pré-cochée, visait à obtenir l'autorisation des participants à être contacté par des sociétés pour des offres promotionnelles. La deuxième, cette fois-ci cochée par défaut, visait à obtenir l'autorisation des usagers à l'installation de cookies sur leur ordinateur. Une liste d'informations figurait en-dessous (la possibilité de retirer son consentement, leur fonctionnement…). C'est cette seconde case qui posait problème car elle servait à recueillir des informations à des fins de publicité pour des produits des partenaires de Planet49.

 

Les caractéristiques du consentement au dépôt de cookies

La Fédération allemande des organisateurs de consommateurs a intenté une procédure contre Planet49 GmbH. Après plusieurs mois, la Cour fédérale de justice allemande a finalement été saisie et a interrogé les juges européens via une question préjudicielle pour obtenir des précisions sur l'interprétation du droit de l'Union européenne. Deux questions étaient au centre des débats : les caractéristiques du consentement qui sont requises pour l'installation des cookies et les informations à fournir.

 

La Cour de justice de l'Union européenne répond en deux temps. Premièrement, elle déclare que "le consentement que l'utilisateur doit donner pour le placement et la consultation de cookies sur son équipement n'est pas valablement donnée au moyen d'une case cochée par défaut". Deuxièmement, cette règle s'applique même s'il ne s'agit pas de donnée à caractère personnel car "le droit de l'Union européenne vise à protéger l'utilisateur de toute ingérence dans sa vie privée et notamment contre les risques que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu".

 

Le consentement doit être "spécifique"

Pour les juges européens, le consentement doit être "spécifique" sans qu'ils ne donnent plus de précision. La seule chose que l'on peut déduire de cette affaire est qu'activer un bouton de participation pour un jeu promotionnel ne suffira jamais pas à caractériser l'approbation d'un internaute. La Cour estime donc que l'activité qu'un utilisateur entreprend sur internet et la manifestation du consentement ne peuvent pas procéder du même acte.

 

Le RGPD renforce la notion de consentement 

Les questionnements autour des cookies n'ont cessé de grandir. Les cookies et autres traceurs font l'objet d'un encadrement strict depuis la directive européenne du 12 juillet 2002, révisée en 2006. L'article 5 de ce texte renvoi directement aux cookies avec l'obligation d'informer l'internaute de leur utilisation et la mise en œuvre de la clause opt-out. Concrètement, le stockage des données, comme les cookies, ne peut être effectué que si l'utilisateur est informé de la façon avec laquelle les informations vont être utilisées et s'il peut refuser cette opération de stockage. Ces principes ont été transposés dans la loi française dite "informatique et liberté".

 

Les lignes n'ont que très peu changé avec l'arrivée du Règlement général sur la protection des données personnelles (RGPD) qui n'a fait que renforcer ces principes. L'article 4 de ce texte prévoit explicitement la nécessité d'un "consentement actif" défini comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement".

 

La CNIL publie des lignes directrices

La CNIL s'est quand même senti obliger de rédiger des lignes directrices mises en ligne le 4 juillet 2019. En bref, le dépôt de cookies ou l'accès aux informations stockées par les cookies nécessitent une information claire et complète de l'utilisateur sur leur finalité et sur les moyens de s'y opposer. Par ailleurs, elle rappelle fermement que l'internaute doit fourni son consentement préalable. Dans ses précédentes lignes directrices datant de 2013, le gendarme de la vie privée faisait prévaloir une interprétation souple de la notion de "consentement" qui se déroulait en deux temps : un bandeau devait avertir l'utilisateur en cas de dépôt de cookie et lui donner la possibilité de s'y opposer via un lien puis prévoir une page spécifique relative aux cookies avec plus d'information. Désormais c'est très clair : aucun accord tacite n'est recevable.

 

une concertation avec les parties prenantes

Le site d'information Nextinpact a révélé qu'une série de réunion était, en ce moment, tenue par la CNIL avec les professionnels de la publicité. Le but est de trouver la meilleure façon de recueillir le consentement des internautes en amont du dépôt de cookies et autres traceurs. La CNIL a déjà laissé une année de répit pour se mettre en conformité au RGPD car l'ancienne législation ne se satisfaisait que d'une poursuite de la navigation pour déduire son accord. L'autorité protectrice de la vie privée appelle à une coconstruction des principes afin qu'ils soient réellement applicables dans les faits.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale