Une affaire actuellement examinée par la Cour de justice de l’Union européenne (CJUE) soulève des interrogations sur le cadre juridique applicable aux cookies. En effet, les faits sont antérieurs à l’entrée en application du Règlement général sur la protection des données (RGPD). Toutefois, dans les conclusions qu’il a présentées le 21 mars 2019, l’avocat général estime que le RGPD est applicable dans une certaine mesure, ce qui le pousse à analyser l’impact du RGPD sur le régime applicable aux cookies (Aff. C-673/17).

Ici, ce ne sont pas tant les détails de l’espèce qui suscitent un questionnement, mais bien les conséquences pratiques de l’interprétation proposée par l’avocat général.

Bref rappel sur les cookies

Actuellement, les cookies sont encadrés en France par une recommandation adoptée par la Commission nationale de l’informatique et des libertés (Cnil) dans une délibération n°2013-378 du 5 décembre 2013. Cette délibération précise le régime applicable aux cookies, au regard des dispositions de la loi n°78-17 dite « loi Informatique et Libertés » et de la directive 2002/58/CE « vie privée et communications électroniques », aussi appelée « ePrivacy », modifiée par la directive 2009/136/CE. Il est précisé que cette recommandation relative aux cookies n’a pas été mise à jour depuis l’entrée en application du RGPD et qu’une réforme est en cours s’agissant de la directive ePrivacy. Une nouvelle proposition de règlement a été publiée le 13 mars 2019 par le Conseil de l’Union européenne, et doit faire l’objet de discussions devant le Parlement européen.

Le terme de « cookies » désigne « l’ensemble des traceurs déposés et/ou lus, par exemple, lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile » (article 1 de la délibération n°2013-378).  Sauf exceptions, il est nécessaire d’informer l’internaute et de recueillir son consentement avant de pouvoir déposer un cookie sur son terminal ou d’accéder aux informations qu’il contient (article 5, §3, de la directive 2002/58/CE modifiée).

Les faits

En l’espèce, une société allemande a organisé en 2013 sur son site Internet un jeu promotionnel. Avant de pouvoir valider sa participation en cliquant sur un bouton, l’internaute était invité à donner son accord sur deux points, via des cases à cocher. L’une de ces cases, cochée par défaut, emportait l’accord de l’internaute au dépôt de cookies par un éditeur tiers. Ces cookies avaient pour finalité d’analyser la navigation de l’internaute afin de lui envoyer par la suite des courriers électroniques publicitaires ciblés, au bénéfice des partenaires commerciaux de la société.

A la suite de procédures engagées par la Fédération allemande des organisations de consommateurs, la Cour fédérale de justice allemande (Bundesgerichtshof) a saisi la CJUE de plusieurs questions préjudicielles, sur lesquelles se prononce l’avocat général.

Quelles sont les questions posées ?

Deux grandes questions préjudicielles sont posées, l’une portant sur le consentement aux cookies et l’autre sur l’information préalable due à l’internaute :

  • 1) a) Le consentement aux cookies est-il valablement donné lorsque le dépôt ou l’accès aux cookies est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement ?
  • 1) b) Les obligations relatives aux cookies en termes d’information et de consentement sont-elles différentes selon que les informations stockées ou consultées sont ou non des données à caractère personnel ?
  • 1) c) Dans les circonstances évoquées dans la question 1) a), le consentement aux cookies au regard du RGPD est-il valablement donné ?
  • 2) Quelles sont les informations que le fournisseur de service doit donner à l’utilisateur au titre de l’information claire et complète préalable au recueil du consentement aux cookies ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ?

Le RGPD et les cookies

Le RGPD ne contient pas de dispositions spécifiques aux cookies. La directive ePrivacy opère des renvois à la directive 95/46/CE, qui s’appliquait jusqu’au 25 mai 2018.

Or, l’avocat général souligne que le RGPD abroge cette directive et prévoit que « les références faites à la directive abrogée s’entendent comme faites au [RGPD] » (article 94, alinéa 2 du RGPD). Par suite, lorsque la directive ePrivacy renvoie à des dispositions de la directive 95/46/CE, le RGPD s’appliquerait.

Cette position soulève toutefois des interrogations, en particulier au sujet de deux de ces renvois. Le premier renvoi concerne l’information préalable due à la personne concernée (article 5, §3 de la directive modifiée). Le second renvoi est celui concernant la définition du consentement (article 2, f) de la directive modifiée). En effet, tant le contenu de l’information due aux personnes concernées que les modalités de recueil du consentement ont fortement évolué avec l’entrée en application du RGPD.

Appliquée à la lettre, cette interprétation pourrait avoir des conséquences importantes sur les pratiques, en particulier en France. La délibération de la Cnil de 2013 a été en effet élaborée au regard du droit antérieur au RGPD.

Information relative aux cookies : l’application du RGPD

Pour recueillir le consentement de la personne au dépôt de cookies sur son terminal, celle-ci doit avoir reçu « dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement » (article 5 §3 de la directive ePrivacy).

Sur ce point, la pratique a fait émerger un modèle d’information à deux niveaux. Dans un premier temps, un bandeau d’information portant sur les finalités poursuivies par les cookies soumis à consentement apparaît à la première visite de l’internaute sur le site. Ce bandeau contient également un renvoi vers une page d’information. Cette seconde étape permet de délivrer une information portant sur les cookies, leur fonctionnement, et les moyens de s’opposer au dépôt de tout ou partie des cookies soumis à consentement.

Toutefois, si désormais il est nécessaire d’appliquer le RGPD en lieu et place de la directive 95/46/CE, le contenu de l’information relative aux cookies ne pourra plus être limité à ces points.

L’avocat général ne se prononce pas sur tous les éléments d’information devant être fournis à l’internaute. Il ne répond explicitement qu’à la deuxième partie de la question 2 exposée plus haut. Il indique ainsi que l’information délivrée doit contenir la durée de fonctionnement des cookies, et le point de savoir si des tiers y ont accès (point 116). Toutefois, il commence son raisonnement sur ce point en évoquant l’obligation d’information contenue aux articles 13 et 14 du RGPD (point 112).

La lecture proposée de l’obligation d’information préalable prévue dans la directive ePrivacy contraindrait ainsi l’éditeur d’un site à fournir à l’internaute une mention d’information plus complexe. Cette mention devrait comprendre tous les éléments listés dans le RGPD. De plus, comme le souligne l’avocat général, les règles relatives aux cookies s’appliquent que les informations qu’ils contiennent soient des données à caractère personnel ou non.

Même en conservant une mention d’information à deux niveaux pour faciliter la compréhension, exiger une information aussi fournie pourrait occasionner une perte d’ergonomie et de convivialité pour les internautes, contraire à l’intention du législateur (considérant 66 de la directive de 2009). De plus, comment déterminer les informations devant se trouver au premier niveau d’information, et celles pouvant figurer uniquement dans la politique relative aux cookies ?

Consentement aux cookies : vers un durcissement ?

L’avocat général affirme également que le consentement de l’internaute au dépôt de cookies n’a pas été valablement recueilli en l’espèce, y compris au regard du droit antérieur au 25 mai.

Parmi les arguments avancés, l’avocat général estime que l’internaute n’exprime pas son consentement de manière valable lorsqu’il doit simplement décocher une case pour signifier son refus. Le fait de ne pas décocher la case pourrait certes marquer son consentement, mais pourrait aussi résulter d’une négligence ou d’un oubli (point 88 des conclusions).

L’avocat général reprend ici une interprétation relativement classique du consentement au regard de la protection des données, récemment illustrée par la sanction à l’encontre de la société Google LLC. Sous l’empire du RGPD, le consentement doit être libre, spécifique, éclairé et univoque. Cela signifie notamment que :

  • la personne doit pouvoir consentir séparément à chaque finalité ;
  • une simple absence de refus ne suffit pas à constituer le consentement.

Toutefois, en matière de cookies, la position développée par la Cnil dans sa recommandation de 2013 est spécifiquement fondée sur le consentement issu de la directive 95/46/CE, qui ne définissait pas un cadre aussi précis que le RGPD. De fait, il était notamment prévu que la poursuite de la navigation par l’internaute valait acceptation du dépôt simultané de tous les cookies. L’internaute devait pouvoir refuser de consentir aux cookies, par finalité, à l’aide d’outils mis à sa disposition.

Or, il ne s’agit pas là d’un consentement spécifique. En effet, la poursuite de la navigation vaut consentement unique au dépôt de tous les cookies, sauf action entreprise par la personne. De plus, elle consent par défaut, puisqu’elle doit activement se rendre sur la page contenant les solutions d’opposition aux cookies et les configurer pour refuser. Ce consentement ne remplit donc pas les critères de validité établis par le RGPD.

Le raisonnement suivi par l’avocat général aboutirait, s’il était suivi par la Cour de justice, à harmoniser les notions de consentement entre la directive ePrivacy et le RGPD. Toutefois, cette harmonisation juridique pourrait conduire à un bouleversement des pratiques, sans que ce point ne soit abordé par l’avocat général.

Que retenir ?

Si la CJUE suit sans réserve le raisonnement de l’avocat général, et que le RGPD est appliqué indistinctement à la directive ePrivacy, cela pourrait avoir des conséquences importantes.

En France, la recommandation relative aux cookies de 2013 ne pourrait plus être suivie, a minima dans ses dispositions affectées par l’entrée en application du RGPD.

En outre, l’information communiquée aux internautes avant le recueil de leur consentement devra être complétée. Notamment, elle devra inclure les informations mentionnées à l’article 13 du RGPD, ainsi que des informations sur la durée de fonctionnement des cookies et le point de savoir si des tiers ont accès aux cookies déposés.

De plus, aucun dépôt de cookies soumis à consentement ne pourrait être effectué avant que l’internaute ait exprimé un consentement actif à chaque finalité de cookies.

Enfin, la combinaison des exigences renforcées en termes d’information et de recueil du consentement pourrait mener, paradoxalement, à une situation préjudiciable pour l’internaute. Celui-ci serait plus souvent confronté à des bandeaux ou « pop-up » d’information relatifs aux cookies entravant sa navigation car contenant de nombreuses informations et des cases ou boutons pour recueillir son consentement à chaque cookie distinctement.

Parallèlement à cette décision de la CJUE, il convient de noter que l’autorité de contrôle néerlandaise a publié le 7 mars 2019 un article portant sur la pratique des « cookies walls ». Elle y conclut qu’il n’est pas conforme au RGPD de refuser l’accès à un site aux internautes qui n’auraient pas accepté le dépôt de cookies dit de « suivi » sur leur terminal.

Rappelons qu’à terme, le projet de règlement ePrivacy devra unifier le cadre juridique aux cookies et trancher les questions soulevées.

 

Mathias Avocats ne manquera pas de vous tenir informer des suites de cette affaire et de la décision de la Cour de justice de l’Union européenne.