Dans un arrêt rendu début octobre, la Cour de justice de l’Union européenne fait savoir que pour être légal, le consentement doit être actif et spécifique. Cela vaut aussi pour les cookies publicitaires. Une case pré-cochée par défaut est donc insuffisante.

Depuis l’entrée en application du Règlement général sur la protection des données (RGPD), fin mai 2018, la population européenne dispose de droits renforcés sur le net. Des droits renforcés auxquels les entreprises ne se conforment pas toujours, mais que les tribunaux ont pour mission de faire respecter et de rappeler aux indélicats. C’est ce qu’a justement fait la Cour de justice de l’Union européenne (CJUE) le 1er octobre.

Dans un arrêt rendu au début du mois et synthétisé dans un communiqué publié le même jour, l’institution européenne confirme qu’il est nécessaire de récolter le consentement « actif » de l’internaute avant de déposer des cookies sur son ordinateur — ou n’importe quel autre terminal. Ainsi, une case pré-cochée par défaut n’est pas une méthode valable pour recueillir le consentement d’un internaute.

cjue

Cour de justice de l'Union européenne

Source : Harald Deischinger

Les cookies, aussi appelés témoins de connexion, sont des fichiers qui sont stockés sur votre ordinateur par le navigateur web. Les objectifs qu’ils remplissent sont divers : ils permettent par exemple à un site de reconnaître un visiteur, de façon à ce qu’il n’ait pas besoin de se reconnecter. Ils peuvent aussi servir à des fins publicitaires et de pistage — c’est pour cela qu’ils sont aussi décrits comme des traceurs.

Pour la Cour de justice de l’Union européenne, le consentement préalable, actif et spécifique. En clair, cliquer sur un bouton de participation à un jeu promotionnel ne suffit pas pour considérer que l’internaute a accepté de recevoir des cookies, ce qui est le cas d’espèce de l’affaire portée à la connaissance de la CJUE. Et cela vaut aussi dans le cas où le cookie ne contient pas de données personnelles.

« Que les informations stockées ou consultées dans l’équipement de l’utilisateur constituent, ou non, des données à caractère personnel n’influe pas sur ce résultat », commente la Cour de justice. « Le droit de l’Union vise à protéger l’utilisateur de toute ingérence dans sa vie privée, notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu ».

Exception pour certains cookies

Attention toutefois : tous les cookies ne sont pas logés à la même enseigne. Tout dépend des missions qu’ils remplissent. Comme le rappelle la Commission nationale de l’informatique et des libertés (CNIL), qui veille en France au bon respect du RGPD, avec les tribunaux, certains cookies sont exemptés de consentement, dans la mesure où ils sont indispensables à certaines opérations.

Sont notamment concernés :

  • les cookies de panier d’achat pour un site marchand,
  • les identifiants de session,
  • les cookies d’authentification,
  • certaines solutions d’analyse de mesure d’audience,
  • ou encore les cookies persistants de personnalisation de l’interface utilisateur (choix de langue ou de présentation).

La liste n’est pas exhaustive.

ebay-shopping-e-commerce-ordinateur

Les cookies utilisés pour les paniers d’achat ne sont pas concernés. // Source : Negative Space

D’autres par contre sont soumis au consentement. La CNIL mentionne ainsi :

  • Les cookies liés aux opérations relatives à la publicité,
  • Les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux (quand ils collectent des données personnelles sans consentement des personnes concernées),
  • Certains cookies de mesure d’audience.

En théorie, outre le consentement, il faut aussi informer des finalités des cookies et leur permettre de les refuser. D’ailleurs, dans l’affaire qui a occupé la CJUE, il est précisé que des informations sur la durée de fonctionnement des cookies et sur la possibilité ou non que des tiers aient accès à ces cookies doivent être communiquées à l’internaute. Ces éléments participent en effet du façonnage de l’avis éclairé que le visiteur donnera quand il approuvera, ou non, ces témoins de connexion.

Dans cette affaire, la justice allemande avait saisi la Cour de justice dans le cadre d’un litige entre une fédération des organisations de consommateurs et l’entreprise Planet49. Aux yeux de la fédération, les dispositions du RGPD n’étaient pas respectées par Planet49, car elle utilisait une case cochée par défaut pour que les internautes voulant jouer à des jeux promotionnels en ligne acceptent des cookies publicitaires.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.