L’Essentiel : La pratique de la case cochée par défaut pour l’acceptation des cookies est illégale, car elle ne reflète pas un consentement actif de l’utilisateur. Selon la CJUE, un consentement valide nécessite une manifestation claire de volonté, ce qui n’est pas le cas lorsque l’utilisateur doit décocher une case pour refuser. Cette décision a été illustrée par l’affaire Planet49, où la fédération allemande des consommateurs a contesté l’utilisation de cette méthode dans des jeux promotionnels. Le consentement doit être spécifique et éclairé, excluant toute forme de silence ou d’inactivité comme base légale pour le traitement des données personnelles.

En matière d’acceptation des cookies, la pratique de la case cochée par défaut est illégale. En effet, l’exigence d’une « manifestation » de volonté de la personne concernée évoque clairement un comportement actif et non pas passif. Or, un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur d’un site Internet.

Doute sur le consentement éclairé de l’internaute

Selon la CJUE, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite.

Affaire Planet49

Dans cette affaire, la fédération allemande des organisations de consommateurs a contesté avec succès, l’utilisation par la société allemande Planet49, dans le cadre de jeux promotionnels en ligne, d’une case cochée par défaut par laquelle les internautes souhaitant participer expriment leur accord au placement de cookies.   Les internautes souhaitant participer à ce jeu devaient communiquer leur code postal, ce qui les dirigeait vers une page web sur laquelle ils devaient inscrire leurs nom et adresse. Sous les cases à remplir pour l’adresse se trouvaient deux mentions, accompagnées de cases à cocher. La première mention, dont la case (ci-après la « première case à cocher ») n’était pas cochée par défaut, se lisait comme suit :

« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »

La seconde mention, dont la case (ci-après la « seconde case à cocher ») était cochée par défaut, se lisait comme suit :

« J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »

Ces cookies visaient à recueillir des informations à des fins de publicité pour des produits des partenaires de Planet49.

Solution claire de la CJUE

Saisie, la CJUE a décidé que le consentement que l’utilisateur d’un site Internet doit donner pour le placement et la consultation de cookies sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. Que les informations stockées ou consultées dans l’équipement de l’utilisateur constituent ou non des données à caractère personnel n’influe pas sur ce résultat. En effet, le droit de l’Union vise à protéger l’utilisateur de toute ingérence dans sa vie privée, notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu. Le consentement doit être spécifique, de telle sorte que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies. En outre, les informations que le fournisseur de services doit donner à l’utilisateur incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Rappel sur les cookies

Pour rappel, l’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [signée à Rome le 4 novembre 1950]. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné.

Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.

Télécharger la décision  

Q/R juridiques soulevées :

Pourquoi la case cochée par défaut est-elle illégale en matière de cookies ?

La case cochée par défaut est considérée comme illégale car elle ne respecte pas l’exigence d’une « manifestation » de volonté active de l’utilisateur.

Le consentement doit être donné de manière explicite et non implicite. En effet, un utilisateur qui ne décocherait pas une case par défaut ne démontre pas un comportement actif, ce qui est essentiel pour que le consentement soit valide.

Cette exigence est renforcée par la jurisprudence de la Cour de justice de l’Union européenne (CJUE), qui souligne que le consentement doit être éclairé et informé, ce qui n’est pas le cas lorsque l’utilisateur n’est pas conscient de l’option de refus.

Quel est le problème lié au consentement éclairé des internautes ?

Le problème du consentement éclairé réside dans la difficulté de déterminer si un utilisateur a réellement donné son accord pour le traitement de ses données personnelles.

La CJUE a noté qu’il est pratiquement impossible de prouver objectivement que l’utilisateur a pris connaissance de l’information liée à la case cochée par défaut.

Il est également possible que l’utilisateur n’ait pas remarqué cette case ou qu’il n’ait pas lu les informations qui l’accompagnent, ce qui remet en question la validité de son consentement.

Ainsi, le consentement ne peut être considéré comme éclairé si l’utilisateur n’a pas eu l’opportunité de prendre une décision informée.

Qu’est-ce que l’affaire Planet49 a révélé sur l’utilisation des cookies ?

L’affaire Planet49 a mis en lumière les pratiques illégales concernant l’utilisation des cookies dans le cadre de jeux promotionnels en ligne.

La fédération allemande des organisations de consommateurs a contesté l’utilisation d’une case cochée par défaut pour le consentement au placement de cookies.

Dans cette affaire, les utilisateurs devaient fournir des informations personnelles, comme leur code postal, et étaient confrontés à deux cases à cocher.

La première case n’était pas cochée par défaut, tandis que la seconde, qui concernait l’acceptation des cookies, l’était. Cela a été jugé comme une violation des droits des utilisateurs en matière de consentement.

Quelle a été la décision de la CJUE concernant le consentement pour les cookies ?

La CJUE a statué que le consentement pour le placement de cookies ne peut pas être considéré comme valide si l’utilisateur doit décocher une case cochée par défaut.

Cette décision souligne que le consentement doit être donné de manière active et spécifique, et non pas par défaut.

La Cour a également précisé que le type de données, qu’elles soient personnelles ou non, n’affecte pas cette exigence de consentement.

Le droit de l’Union européenne vise à protéger la vie privée des utilisateurs, en évitant toute ingérence non désirée dans leur équipement.

Quels sont les principes fondamentaux concernant le consentement des utilisateurs ?

Le consentement des utilisateurs doit être donné par un acte positif clair, ce qui signifie qu’il doit être libre, spécifique, éclairé et univoque.

Cela peut se traduire par une déclaration écrite ou orale, ou par un comportement indiquant clairement l’acceptation du traitement des données.

Il est important de noter qu’il ne peut y avoir de consentement en cas de silence, d’inactivité ou de cases cochées par défaut.

De plus, le consentement doit être valable pour toutes les activités de traitement ayant les mêmes finalités, et doit être obtenu de manière claire et concise, sans perturber l’utilisation du service.

Pourquoi la protection de la vie privée est-elle essentielle dans le contexte des cookies ?

La protection de la vie privée est essentielle car elle garantit que les utilisateurs ont le contrôle sur leurs données personnelles et sur la manière dont elles sont utilisées.

Les cookies et autres dispositifs similaires peuvent collecter des informations sensibles sur les comportements en ligne des utilisateurs, ce qui peut porter atteinte à leur vie privée.

La convention européenne de sauvegarde des droits de l’homme souligne l’importance de protéger la vie privée, et l’utilisation de dispositifs de suivi doit être justifiée par des raisons légitimes.

Les utilisateurs doivent être informés de manière transparente sur l’utilisation de ces technologies et avoir la possibilité de donner leur consentement éclairé.