Pour la justice européenne, avant comme après le 25 mai 2018, entrée en vigueur du RGPD, une case précochée ne peut valoir consentement à l’enregistrement des cookies. C'est ce qu'il ressort d'un arrêt rendu le 1er octobre 2019.
Vous arrivez sur un site. Un bandeau vous informe du mitraillage de cookies sur votre appareil connecté. Par curiosité, vous fouillez les « paramètres avancés », voire « la liste des partenaires autorisés » et découvrez un déluge de cases précochées. Légal, pas légal ?
Depuis l’entrée en vigueur du règlement général sur la protection des données personnelles, cela ne fait plus de doute : c’est illicite, tant le « consentement » (et donc l’accord) doit être explicite. Mais pour la période précédente ? Lundi, la Cour de justice de l'Union européenne a rendu un arrêt éclairant.
En septembre 2013, la société Planet49 organisait un jeu sur le site dein-macbook.de. Les candidats devaient évidemment remplir un formulaire. La case d’exploitation de leurs données personnelles à des fins publicitaires était décochée, mais une seconde case était, elle, cochée par défaut.
Première case (décochée) :
« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »
Seconde case (cochée par défaut) :
« J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »
« Il n’était possible de participer au jeu promotionnel qu’après avoir coché, à tout le moins, la première case à cocher » détaille la cour, qui prévient aussi qu’un lien menait vers une liste d’une soixantaine de partenaires. Et l’internaute devait sélectionner individuellement chacun d’eux pour éviter que ses données personnelles soient exploitées par ces tiers. À défaut, Planet49 s’accordait le droit de choisir 30 sponsors.
Le lien relatif aux cookies donnait des informations sur les finalités de ces traceurs, à charge pour l’internaute désireux de s’y opposer de modifier les paramètres de son navigateur. Par contre, pour revenir sur son accord, il était nécessaire d’adresser un courrier au service clientèle. Un vrai parcours du combattant.
Outre-Rhin, la Fédération des organisations de consommateur avait attaqué cette forme de « cookie wall », avant que le dossier ne remonte jusque devant la justice européenne.
Quand le traceur bat le beurre
Sans grande surprise, la CJUE a considéré lundi que les traceurs en cause opéraient bien un traitement de données personnelles. En outre, au regard du droit en vigueur, « le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur n’est permis qu’à condition que l’utilisateur ait donné son accord, après avoir reçu (…) une information claire et complète, entre autres sur les finalités du traitement ».
Les magistrats européens ont été très clairs sur ce point : il est impérieux d’avoir un comportement actif. Or, il est impossible de savoir si un utilisateur a effectivement donné son accord à l’exploitation de ses données personnelles « en ne décochant pas une case cochée par défaut ». Pourquoi ? Tout simplement parce qu’« il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite ».
Conclusion : « le consentement (…) n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement ».
Protection contre les ingérences
Autre apport important, l'arrêt souligne que cette législation protectrice s’applique aussi dès lors qu’un tiers envisage d’accéder aux informations stockées dans l’équipement terminal. L’enjeu est en effet de « protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel ».
Il s'agit avant tout « de protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu ».
Un dossier devant les juridictions administratives françaises
La CJUE indique enfin que l’obligation d’information pesant sur le responsable de traitement doit nécessairement comprendre la durée des cookies, outre la possibilité pour des tiers d’avoir accès à ces traceurs.
Les faits concernent une période antérieure au 25 mai 2018, mais la solution vaut également pour le RGPD. L’arrêt intervient alors que le 4 juillet dernier, la CNIL a laissé un répit d’un an aux professionnels pour l’installation de cookies sur les appareils des internautes.
Dans l’intervalle, l'autorité a décidé de ne pas sanctionner les entreprises qui continueront à considérer que la poursuite de la navigation sur un site vaut consentement aux cookies, sa doctrine de 2013.
Cette ligne a été attaquée devant le Conseil d’État par La Quadrature du Net et Caliopen. Lundi 1er octobre, le rapporteur public a recommandé de rejeter cette requête, faute d’erreur manifeste d’appréciation (notre compte rendu).
La décision du juge administratif est attendue dans quelques semaines.
