Consentement actif des internautes en matière de cookies

Par une décision du 1er octobre 2019(1), la Cour de justice de l’Union européenne a, sur renvoi préjudiciel de la Cour fédérale de justice d’Allemagne, jugé que le consentement d’un utilisateur d’un site internet « n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal (…), par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. »

En l’espèce, une fédération des organisations de consommateurs avait contesté, devant les juridictions allemandes, l’utilisation par une société allemande d’une case cochée par défaut par laquelle les internautes souhaitant participer à des jeux promotionnels en ligne exprimaient leur accord au placement de cookies, qui visaient à recueillir des informations à des fins publicitaires.

Conformément à l’article 5, paragraphe 3, de la directive 2002/58 du 12 juillet 2002(2), les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un utilisateur n’est permis qu’à condition que l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46(3) (aujourd’hui abrogé par le règlement « RGPD »), une information claire et complète, entre autres sur les finalités du traitement.

Relevant que l’article 5 de la directive 2002/58 ne contient pas d’indications relatives à la manière dont l’accord doit être donné, la Cour interprète ces dispositions comme impliquant un « comportement actif » de l’utilisateur et ce, d’autant plus, que le consentement actif est désormais expressément prévu par l’article 4, point 11, du règlement « RGPD » selon lequel le consentement doit être entendu comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Par cette décision, la Cour juge, en outre, que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.
 
Notes
puce note (1) CJUE, 1er oct. 2019, C-673/17 Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV c/Planet49 GmbH
puce note (2) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques
puce note (3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
puce note (4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
 
 
Informations légales | Données personnelles