Skip to main content

CJUE : l’installation de cookies par défaut est-elle légale ?

L'avocat général près la CJUE est d'avis que le consentement de l'internaute n’est pas valablement donné si l'installation de cookies est autorisé par une case cochée par défaut, y compris si les informations stockées ne sont pas des données à caractère personnel.

L’avocat général près la CJUE est d’avis que le consentement de l’internaute n’est pas valablement donné si l’installation de cookies est autorisé par une case cochée par défaut, y compris si les informations stockées ne sont pas des données à caractère personnel.

En septembre 2013, une société allemande a organisé un jeu promotionnel en ligne. Pour y participer, les internautes devaient tout d’abord saisir leur code postal, ce qui les amenait sur une page contenant des champs à remplir avec leur nom et adresse. Sous ces champs se trouvaient deux séries de mentions explicatives accompagnées de cases à cocher ou décocher avant de pouvoir cliquer sur le bouton « participation ». La première case obligeait les participants à accepter d’être contacté par toute une série de sociétés pour des offres promotionnelles, et la seconde (cochée par défaut) les obligeait à accepter l’installation de cookies sur leur ordinateur. Il n’était possible de participer au jeu promotionnel qu’après avoir coché au moins la première case.
Dans le cadre d’une procédure engagée contre l’organisateur de ce jeu par la Fédération allemande des organisations de consommateurs, deux séries de questions préjudicielles ont été formulées par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) à l’intention de la Cour de justice de l’Union européenne (CJUE).
Dans ses conclusions rendues le 21 mars 2019, l’avocat général près la CJUE propose d’y répondre de la manière suivante.
Le consentement visé à l’article 5, § 3, et à l’article 2, sous f), de la directive vie privée et communications électroniques (2002/58/CE), lus conjointement avec l’article 2, sous h), de la directive sur la protection des données (95/46/CE ) « n’est pas valablement donné dans une situation telle que celle en cause au principal, dans laquelle le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut, que l’utilisateur doit décocher pour refuser de donner son consentement, et dans laquelle le consentement n’est pas donné de manière distincte, mais en même temps que la confirmation de la participation à un jeu promotionnel en ligne ».
Il en va de même s’agissant de l’interprétation des mêmes dispositions de la directive 2002/58/CE lus conjointement avec l’article 4, point 11, du règlement général sur la protection des données (RGPD).
L’avocat général précise que le fait que les informations stockées ou consultées soient des données à caractère personnel n’est pas déterminant à cet égard.
Enfin, il indique que l’information claire et complète que le fournisseur de services doit donner à l’utilisateur au titre de l’article 5, § 3, de la directive 2002/58 inclut la durée de fonctionnement des cookies et le point de savoir si les tiers ont ou non accès aux cookies.

– CJUE, conclusions de l’avocat général Maciej Szpunar, 21 mars 2019 (affaire C‑673/17 – ECLI:EU:C:2019:246), Planet49 GmbH c/ Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. – http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1715058
– Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) – http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1715058
– Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1715058
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – http://curia.europa.eu/juris/document/document.jsf?text=&docid=212023&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=1715058