Pour la justice européenne, une case précochée ne vaut pas consentement aux cookies

Pour la justice européenne, une case précochée ne vaut pas consentement aux cookies

Et une poursuite de navigation ?

Avatar de l'auteur
Marc Rees

Publié dans

Droit

03/10/2019 6 minutes
17

Pour la justice européenne, une case précochée ne vaut pas consentement aux cookies

Pour la justice européenne, avant comme après le 25 mai 2018, entrée en vigueur du RGPD, une case précochée ne peut valoir consentement à l’enregistrement des cookies. C'est ce qu'il ressort d'un arrêt rendu le 1er octobre 2019

Vous arrivez sur un site. Un bandeau vous informe du mitraillage de cookies sur votre appareil connecté. Par curiosité, vous fouillez les « paramètres avancés », voire « la liste des partenaires autorisés » et découvrez un déluge de cases précochées. Légal, pas légal ?

Depuis l’entrée en vigueur du règlement général sur la protection des données personnelles, cela ne fait plus de doute : c’est illicite, tant le « consentement » (et donc l’accord) doit être explicite. Mais pour la période précédente ? Lundi, la Cour de justice de l'Union européenne a rendu un arrêt éclairant. 

En septembre 2013, la société Planet49 organisait un jeu sur le site dein-macbook.de. Les candidats devaient évidemment remplir un formulaire. La case d’exploitation de leurs données personnelles à des fins publicitaires était décochée, mais une seconde case était, elle, cochée par défaut.

Première case (décochée) :

« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »

Seconde case (cochée par défaut) :

 « J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »

« Il n’était possible de participer au jeu promotionnel qu’après avoir coché, à tout le moins, la première case à cocher » détaille la cour, qui prévient aussi qu’un lien menait vers une liste d’une soixantaine de partenaires. Et l’internaute devait sélectionner individuellement chacun d’eux pour éviter que ses données personnelles soient exploitées par ces tiers. À défaut, Planet49 s’accordait le droit de choisir 30 sponsors.

Le lien relatif aux cookies donnait des informations sur les finalités de ces traceurs, à charge pour l’internaute désireux de s’y opposer de modifier les paramètres de son navigateur. Par contre, pour revenir sur son accord, il était nécessaire d’adresser un courrier au service clientèle. Un vrai parcours du combattant.

Outre-Rhin, la Fédération des organisations de consommateur avait attaqué cette forme de « cookie wall », avant que le dossier ne remonte jusque devant la justice européenne.

Quand le traceur bat le beurre

Sans grande surprise, la CJUE a considéré lundi que les traceurs en cause opéraient bien un traitement de données personnelles. En outre, au regard du droit en vigueur, « le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur n’est permis qu’à condition que l’utilisateur ait donné son accord, après avoir reçu (…) une information claire et complète, entre autres sur les finalités du traitement ».

Les magistrats européens ont été très clairs sur ce point : il est impérieux d’avoir un comportement actif. Or, il est impossible de savoir si un utilisateur a effectivement donné son accord à l’exploitation de ses données personnelles « en ne décochant pas une case cochée par défaut ». Pourquoi ? Tout simplement parce qu’« il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite ».

Conclusion : « le consentement (…) n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement ».

Protection contre les ingérences 

Autre apport important, l'arrêt souligne que cette législation protectrice s’applique aussi dès lors qu’un tiers envisage d’accéder aux informations stockées dans l’équipement terminal. L’enjeu est en effet de « protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel ».

Il s'agit avant tout « de protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu ».

Un dossier devant les juridictions administratives françaises

La CJUE indique enfin que l’obligation d’information pesant sur le responsable de traitement doit nécessairement comprendre la durée des cookies, outre la possibilité pour des tiers d’avoir accès à ces traceurs.

Les faits concernent une période antérieure au 25 mai 2018, mais la solution vaut également pour le RGPD. L’arrêt intervient alors que le 4 juillet dernier, la CNIL a laissé un répit d’un an aux professionnels pour l’installation de cookies sur les appareils des internautes.

Dans l’intervalle, l'autorité a décidé de ne pas sanctionner les entreprises qui continueront à considérer que la poursuite de la navigation sur un site vaut consentement aux cookies, sa doctrine de 2013.

Cette ligne a été attaquée devant le Conseil d’État par La Quadrature du Net et Caliopen. Lundi 1er octobre, le rapporteur public a recommandé de rejeter cette requête, faute d’erreur manifeste d’appréciation (notre compte rendu).

La décision du juge administratif est attendue dans quelques semaines.

17

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quand le traceur bat le beurre

Protection contre les ingérences 

Un dossier devant les juridictions administratives françaises

Commentaires (17)


Ouf..!!



Encore un petit effort et je pourrais gagner 30 grosses minutes de mes journées, que je passe actuellement à décocher des accords de formulaires RGPD qui s’efforcent à rendre le bouton “Tout accepter et valider” le plus visible possible, et à l’inverse rendre “Valider les choix” le plus discret possible…








DanLo a écrit :



Ouf..!!



Encore un petit effort et je pourrais gagner 30 grosses minutes de mes journées, que je passe actuellement à décocher des accords de formulaires RGPD qui s’efforcent à rendre le bouton “Tout accepter et valider” le plus visible possible, et à l’inverse rendre “Valider les choix” le plus discret possible…





+1, en plus l’apparence est très souvent trompeuse (écriture rouge sur fond blanc // blanche sur fond noir…) et du coup on ne sait même plus si la case est cochée “accepté” ou pas !

 



Cela fait longtemps qu’on le sait, mais tant qu’il n’y a pas de sanctions, il est improbable que de telles pratiques cessent.



Cet arrêt dit que c’était déjà illégal avant le RGPD, pourtant un an après c’est toujours largement répandu…


Je note deux choses très intéressantes dans cette décision, d’une part la CJUE estime que la notion de cookie technique vs/ cookie avec données à caractère personnel est un mauvais raisonnement:

 



1°/ Considérant 70:  "[...] toute information stockée sur l’équipement terminal de l’utilisateur d’un réseau de communications électroniques relève de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Cette protection s’applique à toute information stockée sur cet équipement terminal, indépendamment du fait qu’il s’agisse ou non de données à caractère personnel et vise,notamment, comme il ressort de ce même considérant, à protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu".      






Et d'en conclure (considérant 71) : "Eu égard aux considérations qui précèdent, il convient de répondre à la       

première question [visant notamment l'article 4.11 du RGPD = déf. du consentement] ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de

l’utilisateur d’un site Internet constituent ou non des données à caractère personnel, au sens de la directive95/46 et du règlement 2016/679".






2°/ Surtout, pour la CJUE le passage de l'exigence d'un consentement implicite (par la poursuite de la navigation) à consentement actif (accord), semble pouvoir être vu comme datant de la mise à jour de la Directive 2002/58 par la 2009/136/CE (fin considérant 56) : "La directive 2009/136 a introduit une modification substantielle du libellé de cette disposition, en substituant à cette expression [« droit de refuser »] les termes « donné son accord ». La genèse de l’article 5, paragraphe 3, de la directive 2002/58 tend ainsi à indiquer que le consentement de l’utilisateur ne peut dorénavant plus être présumé et doit résulter d’un comportement actif de ce dernier".      

 

Voila pour moi les deux principaux apports de cet arrêt, lequel permet de soutenir implicitement que tout internaute est en droit de demander le respect de l'obligation de recueillir un consentement actif dès maintenant.

je n’ai pas compris,



ça veu dire que pour le dépôt de n’importe quel cookie (nécessaire au fonctionnement du site et traqueurs) nécessite l’accord explicite du user?


L’exemple me fait penser à la démarche hyper border (voir pire) de oney banque quand on veut faire un paiement en trois ou quatre fois sur leurs sites partenaires. Il y a bien deux cases de consentement non cochées en bas de page et juste en dessous, à peine lisible, un lien à cliquer qui ouvre une pop up pour le même type de consentement mais précochées. Là ce n’est pas pour des cookies mais des sollicitations commerciales. Tellement bien ficelé qu’à mon avis 99% des gens se font avoir.. Regardez à l’occaz, c’est bien vicieux.


Les cookies nécessaires au fonctionnement du site (le panier d’achat d’un site de vente en lignes, l’identifiant de connexion de ton compte NextInpact…) ne nécessitent pas d’accord particulier.

Les traqueurs, eux, nécessitent l’accord explicite de l’utilisateur.

Je te recommande, pour un bon début, la lecture de la page dédiée sur le site de la CNIL :https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi








Caïn a écrit :



je n’ai pas compris,




    ça veu dire que pour le dépôt de n'importe quel cookie (nécessaire au fonctionnement du site et traqueurs) nécessite l'accord explicite du user?








    Les dispositions suivantes ne doivent pas être interprétées "différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel, au sens de la directive95/46 et du règlement 2016/679":         





1- Directive 9546



  Art.2 h)         

«consentement de la personne concernée»: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement.   





2- Directive 200258:



   Art.2 f)         

le "consentement" d'un utilisateur ou d'un abonné correspond au "consentement de la personne concernée" figurant dans la directive 95/46/CE.

Art.5 3°)

Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser (changer en 2009 par donner "son accord") un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.



 3- RGPD:



   Art.4:         

11. «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

Art.6:

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;






   L'article 5 3° de la Directive 2002/58 répond à ta question. My 2 cents ^^


Ça me fait penser qu’en France on a des sites sur lesquels il y a des cookie “nécessaires” impossible a désactiver.


HS mais je m’interroge sur le fait que sur les sites immobiliés, il n’y a pas d’options opt-out, seulement tout accepter pour pouvoir accéder au site. 

Est-ce une spécificité de cette industrie ?








blamort a écrit :



HS mais je m’interroge sur le fait que sur les sites immobiliés, il n’y a pas d’options opt-out, seulement tout accepter pour pouvoir accéder au site. 

Est-ce une spécificité de cette industrie ?





L’immobilier, c’est déjà quasiment les seuls à ne pas respecter le ‘pas de pub’ sur la boite aux lettres.









Mr.Nox a écrit :



Ça me fait penser qu’en France on a des sites sur lesquels il y a des cookie “nécessaires” impossible a désactiver.





C’est là que l’articulation de l’arrêt est prise de tête. Une lecture à la lettre fait qu’il est nécessaire d’être informé de l’existence de tout élément mis sur notre “terminal” et donc même les cookies à pure finalité technique, mais sans qu’il soit besoin de demander un quelconque consentement pour ces derniers (puisque à défaut de consentir, il y aura “obstacle au stockage”).



Il reste que le point 2 du jugement pose question. Dans ce jugement, la cours considère qu’il n’y a pas de différence à faire entre un cookie qui contient des données personnelles et un cookie qui contient des données technique.



Hors le cookie de session est un cookie qui contient une donnée technique qui permet techniquement au site en question d’arriver à créer un lien avec un compte d’utilisateur, donc des données personnelles. Du coup, il devient impossible de déposer un cookie de session sur un poste utilisateur sans avoir obtenu au préalable son accord. Sans cookie de session, la majorité (totalité ?) des sites d’e-Commerce ne vont plus pouvoir fonctionner.



Mais on ne peut pas non plus interdire l’accès au site à une personne au motif qu’elle refuse les cookies…



Ceci ne me semble pas d’une facilité d’application limpide.


“I don’t care about cookies”, essayer cette extension sur son navigateur c’est ne plus pouvoir s’en passer <img data-src=" />

Adieu encarts indésirables.


Il faudrait arrêter de faire de la pub pour cette extension qui dit juste à la place de l’utilisateur : oui, j’accepte d’être tracé partout et qu’on me traque pour m’enfiler de la pub ciblée.


+1



Perso, j’utilise Forget me not avec tous les cookies bloqués par défaut.


Ah merci ! Ça fait plusieurs fois que je vois cette extensions recommandée dans les commentaires à chaque fois ça me hérisse le poil.

À la limite utilisez Qookiefix ça marche que pour Quantcast mais c’est toujours ça de pris.