Pour la justice européenne, une case précochée ne vaut pas consentement aux cookies
Et une poursuite de navigation ?
Le 03 octobre 2019 à 09h58
6 min
Droit
Droit
Pour la justice européenne, avant comme après le 25 mai 2018, entrée en vigueur du RGPD, une case précochée ne peut valoir consentement à l’enregistrement des cookies. C'est ce qu'il ressort d'un arrêt rendu le 1er octobre 2019.
Vous arrivez sur un site. Un bandeau vous informe du mitraillage de cookies sur votre appareil connecté. Par curiosité, vous fouillez les « paramètres avancés », voire « la liste des partenaires autorisés » et découvrez un déluge de cases précochées. Légal, pas légal ?
Depuis l’entrée en vigueur du règlement général sur la protection des données personnelles, cela ne fait plus de doute : c’est illicite, tant le « consentement » (et donc l’accord) doit être explicite. Mais pour la période précédente ? Lundi, la Cour de justice de l'Union européenne a rendu un arrêt éclairant.
En septembre 2013, la société Planet49 organisait un jeu sur le site dein-macbook.de. Les candidats devaient évidemment remplir un formulaire. La case d’exploitation de leurs données personnelles à des fins publicitaires était décochée, mais une seconde case était, elle, cochée par défaut.
Première case (décochée) :
« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »
Seconde case (cochée par défaut) :
« J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »
« Il n’était possible de participer au jeu promotionnel qu’après avoir coché, à tout le moins, la première case à cocher » détaille la cour, qui prévient aussi qu’un lien menait vers une liste d’une soixantaine de partenaires. Et l’internaute devait sélectionner individuellement chacun d’eux pour éviter que ses données personnelles soient exploitées par ces tiers. À défaut, Planet49 s’accordait le droit de choisir 30 sponsors.
Le lien relatif aux cookies donnait des informations sur les finalités de ces traceurs, à charge pour l’internaute désireux de s’y opposer de modifier les paramètres de son navigateur. Par contre, pour revenir sur son accord, il était nécessaire d’adresser un courrier au service clientèle. Un vrai parcours du combattant.
Outre-Rhin, la Fédération des organisations de consommateur avait attaqué cette forme de « cookie wall », avant que le dossier ne remonte jusque devant la justice européenne.
Quand le traceur bat le beurre
Sans grande surprise, la CJUE a considéré lundi que les traceurs en cause opéraient bien un traitement de données personnelles. En outre, au regard du droit en vigueur, « le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur n’est permis qu’à condition que l’utilisateur ait donné son accord, après avoir reçu (…) une information claire et complète, entre autres sur les finalités du traitement ».
Les magistrats européens ont été très clairs sur ce point : il est impérieux d’avoir un comportement actif. Or, il est impossible de savoir si un utilisateur a effectivement donné son accord à l’exploitation de ses données personnelles « en ne décochant pas une case cochée par défaut ». Pourquoi ? Tout simplement parce qu’« il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite ».
Conclusion : « le consentement (…) n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement ».
Protection contre les ingérences
Autre apport important, l'arrêt souligne que cette législation protectrice s’applique aussi dès lors qu’un tiers envisage d’accéder aux informations stockées dans l’équipement terminal. L’enjeu est en effet de « protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel ».
Il s'agit avant tout « de protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l’équipement terminal de ces utilisateurs à leur insu ».
Un dossier devant les juridictions administratives françaises
La CJUE indique enfin que l’obligation d’information pesant sur le responsable de traitement doit nécessairement comprendre la durée des cookies, outre la possibilité pour des tiers d’avoir accès à ces traceurs.
Les faits concernent une période antérieure au 25 mai 2018, mais la solution vaut également pour le RGPD. L’arrêt intervient alors que le 4 juillet dernier, la CNIL a laissé un répit d’un an aux professionnels pour l’installation de cookies sur les appareils des internautes.
Dans l’intervalle, l'autorité a décidé de ne pas sanctionner les entreprises qui continueront à considérer que la poursuite de la navigation sur un site vaut consentement aux cookies, sa doctrine de 2013.
Cette ligne a été attaquée devant le Conseil d’État par La Quadrature du Net et Caliopen. Lundi 1er octobre, le rapporteur public a recommandé de rejeter cette requête, faute d’erreur manifeste d’appréciation (notre compte rendu).
La décision du juge administratif est attendue dans quelques semaines.
Pour la justice européenne, une case précochée ne vaut pas consentement aux cookies
-
Quand le traceur bat le beurre
-
Protection contre les ingérences
-
Un dossier devant les juridictions administratives françaises
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/10/2019 à 13h51
Le 03/10/2019 à 14h13
Ça me fait penser qu’en France on a des sites sur lesquels il y a des cookie “nécessaires” impossible a désactiver.
Le 03/10/2019 à 14h15
HS mais je m’interroge sur le fait que sur les sites immobiliés, il n’y a pas d’options opt-out, seulement tout accepter pour pouvoir accéder au site.
Est-ce une spécificité de cette industrie ?
Le 03/10/2019 à 14h56
Le 03/10/2019 à 15h34
Le 03/10/2019 à 16h04
Il reste que le point 2 du jugement pose question. Dans ce jugement, la cours considère qu’il n’y a pas de différence à faire entre un cookie qui contient des données personnelles et un cookie qui contient des données technique.
Hors le cookie de session est un cookie qui contient une donnée technique qui permet techniquement au site en question d’arriver à créer un lien avec un compte d’utilisateur, donc des données personnelles. Du coup, il devient impossible de déposer un cookie de session sur un poste utilisateur sans avoir obtenu au préalable son accord. Sans cookie de session, la majorité (totalité ?) des sites d’e-Commerce ne vont plus pouvoir fonctionner.
Mais on ne peut pas non plus interdire l’accès au site à une personne au motif qu’elle refuse les cookies…
Ceci ne me semble pas d’une facilité d’application limpide.
Le 03/10/2019 à 18h40
“I don’t care about cookies”, essayer cette extension sur son navigateur c’est ne plus pouvoir s’en passer " />
Adieu encarts indésirables.
Le 03/10/2019 à 19h04
Il faudrait arrêter de faire de la pub pour cette extension qui dit juste à la place de l’utilisateur : oui, j’accepte d’être tracé partout et qu’on me traque pour m’enfiler de la pub ciblée.
Le 03/10/2019 à 20h19
+1
Perso, j’utilise Forget me not avec tous les cookies bloqués par défaut.
Le 04/10/2019 à 07h08
Ah merci ! Ça fait plusieurs fois que je vois cette extensions recommandée dans les commentaires à chaque fois ça me hérisse le poil.
À la limite utilisez Qookiefix ça marche que pour Quantcast mais c’est toujours ça de pris.
Le 03/10/2019 à 12h20
Ouf..!!
Encore un petit effort et je pourrais gagner 30 grosses minutes de mes journées, que je passe actuellement à décocher des accords de formulaires RGPD qui s’efforcent à rendre le bouton “Tout accepter et valider” le plus visible possible, et à l’inverse rendre “Valider les choix” le plus discret possible…
Le 03/10/2019 à 12h48
Le 03/10/2019 à 13h00
Cela fait longtemps qu’on le sait, mais tant qu’il n’y a pas de sanctions, il est improbable que de telles pratiques cessent.
Cet arrêt dit que c’était déjà illégal avant le RGPD, pourtant un an après c’est toujours largement répandu…
Le 03/10/2019 à 13h16
Je note deux choses très intéressantes dans cette décision, d’une part la CJUE estime que la notion de cookie technique vs/ cookie avec données à caractère personnel est un mauvais raisonnement:
Le 03/10/2019 à 13h31
je n’ai pas compris,
ça veu dire que pour le dépôt de n’importe quel cookie (nécessaire au fonctionnement du site et traqueurs) nécessite l’accord explicite du user?
Le 03/10/2019 à 13h38
L’exemple me fait penser à la démarche hyper border (voir pire) de oney banque quand on veut faire un paiement en trois ou quatre fois sur leurs sites partenaires. Il y a bien deux cases de consentement non cochées en bas de page et juste en dessous, à peine lisible, un lien à cliquer qui ouvre une pop up pour le même type de consentement mais précochées. Là ce n’est pas pour des cookies mais des sollicitations commerciales. Tellement bien ficelé qu’à mon avis 99% des gens se font avoir.. Regardez à l’occaz, c’est bien vicieux.
Le 03/10/2019 à 13h38
Les cookies nécessaires au fonctionnement du site (le panier d’achat d’un site de vente en lignes, l’identifiant de connexion de ton compte NextInpact…) ne nécessitent pas d’accord particulier.
Les traqueurs, eux, nécessitent l’accord explicite de l’utilisateur.
Je te recommande, pour un bon début, la lecture de la page dédiée sur le site de la CNIL :https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi