Bien que la CJUE considère que la navigation et le « scroll » par l’internaute ne peuvent plus valoir consentement de ce dernier au dépôt de cookies sur son terminal (et à la collecte/stockage de données qui en résulte) (1), le Conseil d’Etat a validé le moratoire décidé par la CNIL pour la mise en application d’une telle règle (2).

Au-delà de cette période transitoire, les conclusions de la CJUE et de la CNIL, qui interprètent la directive « vie privée et communication » à la lumière des conditions de validité du consentement fixées par le RGPD, sont remises en cause par de nombreux professionnels du marketing digital (3).

Reste à voir si les lignes directrices annoncées par la CNIL pour le premier trimestre 2020 permettront de satisfaire ces revendications (4).

 

  1. CJUE, 1er octobre 2019 : le consentement des internautes au placement des cookies n’est pas valablement donné lorsqu’il est recueilli via une case cochée par défaut

    Dans une affaire opposant la fédération allemande des organisations et associations de consommateurs à la société Planet49, la Cour fédérale de justice Allemande a transmis à la Cour de justice de l’Union européenne une question préjudicielle[1] sur le point de savoir si le consentement de l’internaute au dépôt de cookies sur son terminal pouvait être valablement recueilli au moyen d’une case pré-cochée par défaut.

    En l’espèce, la fédération allemande reprochait à la société Planet49 qui propose des services de jeux promotionnels en ligne, de ne pas recueillir le consentement des participants au transfert, via l’utilisation de cookies, de leurs données à caractère personnel à des sponsors et partenaires de Planet 49, ainsi qu’au stockage d’informations et à l’accès à des informations stockées dans l’équipement terminal de ces utilisateurs.

    La Cour interprète les dispositions de la directive 2002/58/CE du 12 juillet 2002[2] (directive « vie privée et communications électroniques ») relatives au consentement des utilisateurs d’un réseau de communications électroniques, tout en appliquant conjointement les articles dédiés au consentement de la directive 95/46/CE du 24 octobre 1995 (directive abrogée par le RGPD) et du Règlement Général pour la Protection des Données Personnelles (RGPD)[3]. En relevant, d’une part que la notion de consentement, au sens de la directive précitée est considérée comme une manifestation  « de volonté qui doit dès lors témoigner d’un comportement actif de la personne concernée »,  d’autre part que les articles 4.11 et 7 du RGPD disposent expressément que le consentement doit s’exprimer par « un acte positif clair », la CJUE se prononce sur la validité du consentement.  Elle considère que celui-ci « n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site internet par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement ».

    Par conséquent, le fait, pour un éditeur de site internet, de prévoir la présence d’une case pré-cochée, notamment dans l’outil de gestion des cookies (tag manager), ne suffit pas à l’expression par l’utilisateur d’un consentement valable, dans la mesure où les cookies seront déposés sur le terminal de l’internaute en l’absence d’acte positif.

    La CJUE applique également ce principe aux informations qui ne constituent pas des données à caractère personnel, dès lors que la directive vie privée et communication exige le consentement de l’utilisateur en cas de « stockage d’informations » et « d’obtention de l’accès à des informations déjà stockées », sans qualifier ces informations ni préciser que celles-ci devraient être des données à caractère personnel. L’article 2.f) et le considérant 17 de la directive « vie privée et communications électroniques » alignent les exigences de validité du consentement avec celles prévues par la règlementation informatique et liberté : « le consentement d’un utilisateur ou d’un abonné (…) devrait avoir le même sens que le consentement de la personne concernée tel que défini et précisé davantage par la directive [95/46][4] ».

    Enfin, la CJUE précise que le consentement des internautes doit être spécifique, de telle sorte que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies. La Cour rappelle également que l’information donnée à l’utilisateur doit mentionner la durée de fonctionnement des cookies ainsi que la possibilité pour des tiers d’y avoir accès.
     

  2. Délibération de la CNIL, période transitoire et recours devant le Conseil d’Etat

    Cet arrêt de la CJUE interroge quant à la position adoptée par la CNIL dans deux communiqués de presse en date du 28 juin et du 18 juillet 2019, qui autorisent, à titre provisoire, pendant une période d’adaptation de 12 mois, la manifestation du consentement aux cookies par la simple poursuite de la navigation de l’internaute. La CNIL invoque le fait que les lignes directrices résultant de sa  délibération 2019-093  du 4 juillet 2019 doivent ainsi être « complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement. » et la nécessaire concertation avec les professionnels et la société civile dans la perspective de la publication, au premier trimestre 2020, de la recommandation sectorielle  annoncée.

    Ce plan d’action de la CNIL a fait l’objet d’un recours pour excès de pouvoir par deux associations de défenses des libertés publiques, la Quadrature du Net et Caliopen, qui estiment cette décision contraire aux principes résultant du RGPD, dont l’entrée en vigueur remonte au 24 mai 2016. Ce recours devant le Conseil d’état n’a pas abouti, ce dernier ayant confirmé le bien-fondé des communications de la CNIL, par une décision du 16 octobre 2019[1] :

    « l’acte attaqué, qui n’exclut pas que la Commission puisse en tout état de cause faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave à ces mêmes principes » fixe « pour l’ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles et méconnaîtrait l’exigence de prévisibilité doit être écarté ».

  3. Contestations des professionnels du marketing digital

    Notons par ailleurs que la délibération de la CNIL du 4 juillet dernier, en ce qu’elle exige un acte positif de l’internaute pour manifester son consentement au dépôt des cookies a, pour des raisons opposées, été attaquée par le GESTE (Groupement des Éditeurs de Contenus et Services en Ligne) et d’autres associations professionnelles représentatives de l’écosystème de la communication et du marketing digital (le SRI, l’IAB France, la MMAF, l’Udecam, l’AACC, la Fevad, l’UDM et la SNCD). S’opposant à la position de la CNIL dans ses nouvelles lignes directrices, ils ont saisi le Conseil d’Etat le 18 septembre afin que ce dernier se prononce sur la conformité de ladite délibération au droit français et au droit européen :

     « La Commission souligne que le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. »

    Selon le GESTE, ces lignes directrices « rompent aujourd’hui les équilibres indispensables à trouver et s’écartent des principes et des mécanismes du RGPD, sans pour autant apporter une plus grande protection de la vie privée et des libertés individuelles, faisant craindre à l’interprofession une totale remise en cause, à terme, des activités marketing et publicitaires et une grande destruction de valeur économique, notamment au profit des acteurs internationaux dominants de ce secteur.»

  4. La consultation publique de la CNIL sur ses lignes directrices quant aux modalités opérationnelles de recueil du consentement

    Des groupes de travail se sont tenus au second semestre 2019 entre les services de la CNIL et chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, représentants de la société civile), par l’intermédiaire de leurs organisations professionnelles représentatives. Ces travaux avaient pour but de décliner les modalités pratiques de recueil du consentement et d’alimenter la réflexion.

    Le 14 janvier 2020, la CNIL a publié son projet de recommandation sur les modalités pratiques de recueil du consentement aux cookies/traceurs. Cette recommandation, qui n’est encore que provisoire, complète les lignes directrices du 4 juillet 2019 et accompagne les professionnels concernés à l’aide d’exemples concrets d’interfaces utilisateur et de bonnes pratiques. En particulier, la CNIL : 

    • liste quelques exemples concrets de traceurs non soumis au consentement ;
    • fournit un modèle de mentions descriptives des traceurs, finalité par finalité ;
    • illustre les différents types d’interfaces de recueil de consentement conformes à ses directives ;
    • précise qu’un « refus» au dépôt des traceurs par l’internaute doit être pris en compte et conservé aussi longtemps que son consentement ;
    • évoque l’importance de laisser la possibilité à l’internaute de fermer l’outil sans avoir à faire un choix.

Ce projet est soumis à une consultation publique jusqu’au 25 février 2020. Une nouvelle version sera alors présentée aux membres de la CNIL réunis en séance plénière afin d’adopter le texte définitif. La CNIL prévoit de procéder à des vérifications du respect de la recommandation finale 6 mois après son adoption définitive.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance et Arthur Poirier, avocat en charge de l’activité Marketing Digital

 

[1] ARRÊT DE LA COUR (grande chambre), 1er octobre 2019 « Renvoi préjudiciel – Directive 95/46/CE – Directive 2002/58/CE – Règlement (UE) 2016/679 – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Cookies – Notion de consentement de la personne concernée – Déclaration de consentement au moyen d’une case cochée par défaut », affaire C‑673/17.

[2] modifiée par la directive 2009/136/CE

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE)

[4] Abrogée et remplacée le 25 mai 2018 par le RGPD.

[5] Conseil d’Etat, 16 octobre 2019, Plan d’action de la CNIL en matière de publicité ciblée

[6] https://www.geste.fr/recours-devant-le-conseil-detat-contre-les-lignes-directrices-de-la-cnil-relatives-aux-cookies/

Nous contacter