Starter Cookies : la case précochée n’est pas un consentement valable La Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt remarqué en date du 1er octobre 2019 quant à l’interprétation de la notion de consentement liée aux cookies. Un arrêt qui risque d’avoir des répercussions importantes pour l’avenir du cadre réglementaire applicable en matière de vie privée. U n cookie est un fichier téléchargé sur votre ordinateur ou votre mobile lorsque vous accédez à un site internet. Les cookies permettent à l’éditeur du site web de stocker et récupérer des informations sur les habitudes de navigation de l’internaute ou sur l'équipement à partir duquel celui-ci accède au site. Ces cookies jouent aujourd’hui un rôle-clé, non seulement pour améliorer la navigation des internautes et l’analyse des pages visitées (cookies analytiques ou de premier niveau), mais surtout pour effectuer du ciblage comportemental (cookies tiers, notamment à des fins publicitaires). Le 24 septembre 2013, la société allemande Planet49 avait organisé un jeu promotionnel en ligne, comprenant une case cochée par défaut, supposant l’accord des participants à l'intégration de cookies à des fins publicitaires. Une pratique contestée par les associations de consommateurs devant la Bundesgerichtshof (Cour fédérale de justice), laquelle a ensuite saisi la CJUE. La CJUE a estimé que le consentement de l’internaute, en vue de placer des cookies sur son équipement, ne peut être donné valablement via une case pré-cochée (qu’il faut donc décocher pour refuser son consentement). Sur ce point, la CJUE applique des principes issus du Règlement général sur la protection des données (RGPD), qui sanctionne la pratique de l’opt-out quant au recueil de données personnelles. La Cour souligne que le consentement doit être spécifique, de telle sorte que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer 34 ❙ Bruxelles Métropole - janvier 2020 qu’il a valablement donné son consentement au placement de cookies. En outre, selon la Cour, les informations que le fournisseur de services doit donner à l’utilisateur incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’y avoir accès. Un arrêt qui cache mal un vide juridique Par cet arrêt, la CJUE applique le principe du consentement actif non seulement au recueil de données personnelles, mais aussi à l’utilisation de cookies. En effet, selon la Cour de Luxembourg, le fait « que les informations stockées ou consultées dans l’équipement de l’utilisateur constituent ou non des données à caractère personnel n’influe pas sur ce résultat. » Si la CJUE vient, avec cet arrêt, trancher la question du consentement relatif aux cookies, force est de constater qu’aucune législation ne résout ce point de manière claire et précise. C’est d’ailleurs l’un des principaux défauts du RGPD. En guise d’illustration : les géants du web (Facebook, Google…) en font une application plutôt laxiste, considérant que l’utilisation de leurs services vaut, dans une large mesure, acceptation de leur politique de traitement de données, alors que la CJUE défend l’idée d’un choix véritablement libre, évitant à l’utilisateur de devoir renoncer à l’utilisation du service s’il ne souhaite pas partager ses données. La CJUE démontre une nouvelle fois qu’elle est prête à rentrer dans le rapport de force afin d’imposer sa conception de la protection de la vie privée – même si d’aucuns considèrent qu’elle est aux antipodes de la réalité du marketing digital d’aujourd’hui. Ce différend explique d’ailleurs pourquoi le nouveau règlement ‘e-privacy’, censé harmoniser le cadre réglementaire relatif aux services de communications électroniques, peine à voir le jour. Au final, il faut espérer que ce bras de fer ne soit pas facteur d’insécurité juridique à long terme, et qu’un cadre réglementaire clair et transparent puisse être adopté. ● Alexis Bley, conseiller juridique Beci ; +32 473 13 05 18, ab@beci.be © Getty
37 Online Touch Home