Précisions sur le régime des cookies et exigence d’un consentement actif
La société Planet49 organisait en 2013 un jeu promotionnel en ligne. Pour y participer, les joueurs devaient impérativement cocher une case permettant à des sponsors de leur adresser des offres. Cette obligation ne donne lieu à aucun développement devant le juge européen, même si elle a attiré une réflexion de l’Avocat Général[1]. Ce qui intéresse ici est que le jeu présentait également une seconde case, facultative pour le jeu, mais déjà cochée. Celle-ci prévoyait que la société Planet 49 puisse installer des cookies lui permettant d’envoyer aux joueurs des publicités ciblées selon les visites effectuées sur les sites webs des partenaires. La Bundesverband der Verbraucherzentralen à savoir la fédération des associations de consommateur allemands (ci-après et dans le jugement, la Fédération) estime que Planet49 ne respecte pas la législation allemande dont une partie résulte de transpositions européennes.
Après avoir mis en demeure la société, la Fédération saisit les juridictions allemandes sans jamais obtenir pleinement satisfaction. Dans un recours en révision de la décision d’appel la Cour fédérale de justice soulève que l’issue du litige dépend de l’interprétations combinées de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, de l’article 2, sous h), de la directive 95/46 ainsi que de l’article 6, paragraphe 1, sous a), du règlement 2016/679.
Dès à présent, vous doutez du caractère fondamental de cet arrêt. Au vu des faits vous doutez également du caractère léger et divertissant de l’arrêt. Et il est vrai que si on maitrise mal, comme la plupart d’entre nous, les termes entourant la collecte de données on se retrouve facilement face à un clair-obscur mal maîtrisé. Nous connaissons ces termes sans pouvoir les saisir exactement, et nous nous sentons concernés et nous connaissons l’importance de nous y intéresser sans que ne n’élève en nous plus d’intérêt scientifique.
Spontanément il en va de même pour cet arrêt, une lecture rapide pourrait nous faire passer à côté de l’essentiel qui intéresse à la fois les juristes spécialistes mais aussi les citoyens alertes que nous sommes. Contrairement à d’autres jugements qui ne sauraient tarder et qui seront bientôt extrêmement complexes, ce jugement instruit tous les citoyens connectés car nous acceptons tous les jours « des cookies » et les sociétés concernées en installent tous les jours sur nos objets connectés toujours plus nombreux. Les faits ne sont donc pas trop complexes et le vocabulaire est loin d’être barbare, la Cour s’attèle donc à rendre une décision claire et intelligible. Tout d’abord la Cour refuse d’entrer trop techniquement dans ce que sont exactement les fameux « cookies ». Ensuite la Cour ménage nos âmes de juristes pour plus tard en évitant de tomber dans les méandres des interactions normatives européennes les rendant peu problématiques en l’espèce. Ensuite, la Cour pose un principe simple qui intéresse bien au-delà de la sphère juridique en imposant aux sociétés qui souhaitent utiliser nos données pour installer des cookies de recueillir notre consentement actif, refusant ainsi le système de la case pré-cochée. Simple et efficace, cette solution permet de renforcer encore la protection du consentement de l’utilisateur pour toute sorte de données.
L’indétermination de la recette des cookies
A aucun moment de sa décision, la Cour ne cherche à définir le terme de cookies. Au point 31 de sa décision, la Cour indique : qu’ « il ressort de la décision de renvoi que les cookies sont des fichiers, que le fournisseur d’un site Internet place sur l’ordinateur de l’utilisateur de ce site et auxquels il peut accéder à nouveau lors d’une nouvelle visite du site par l’utilisateur, pour faciliter la navigation sur Internet ou des transactions ou pour obtenir des informations sur le comportement de ce dernier ». La Cour se réfère donc expressément à la décision de renvoi, laissant à la discrétion des Etats la définition. Elle préfère ne pas prendre position elle-même. C’était pourtant le choix de l’Avocat Général qui s’est plus sérieusement penché sur ce qu’étaient les cookies et le comportement des internautes par rapport à eux, s’armant de doctrines et d’autres conclusions[2]. Il révèle ainsi que les cookies sont variés et en identifie deux types : ceux destinés à se souvenir des préférences de l’utilisateur lorsqu’il se connecte au site qui les installe et ceux qui permettent de collecter des informations par des sociétés qui s’en servent ensuite notamment pour adresser des publicités « pertinentes » aux utilisateurs-fournisseurs de données. Ce sont ces éléments qui transparaissent dans la définition choisie par la Cour au point 31 mais l’Avocat Général ne s’arrête pas là. Tout le long de sa décision l’Avocat Général se réfère aux travaux du « Groupe article 29 [3] » , cela lui permet de saisir la diversité des cookies et d’indiquer expressément que la validité du consentement doit dépendre de l’objectif des cookies[4]. Celui-ci se refuse alors de définir ce que sont les cookies mais cherche à en connaitre la densité au contraire de la Cour qui se contente d’une définition subsidiaire.
Cette prudence est certainement liée à l’absence de la notion dans les textes. Elle apparait enfin au point 30 du RGPD[5], sans réellement qu’une spécificité puisse se dégager. L’enjeu est de taille et est au cœur de la proposition de la Commission de révision de la directive 2002/58[6]. En attendant, si ce sont les définitions nationales qui sont privilégiées, celle émise par la CNIL semble des plus complète.
Deux directives et un règlement
La Cour va rendre sa décision en se basant sur trois textes : la directive 95/46 (1) relative à la protection et la libre circulation des données personnelles abrogée le 25 mai 2018 par le Règlement général relatif à la protection des données personnelles (2) et enfin les règles spécifiques en matière de données collectées lors de communications électroniques de la directive 2002/58 (3). Si l’application de la directive 2002/58 ne pose pas question dans la décision, il aurait fallu trancher sur l’application de la directive ou du règlement relatif à la protection des données personnelles. La Cour préfère cependant vérifier la conformité au regard des deux textes. L’instance devant la Cour fédérale de justice a été interrompue avant l’entrée en vigueur du RGPD, mais la Cour reprend exactement ce que proposait l’avocat général en indiquant que l’objectif de la Fédération requérante était de faire cesser à l’avenir les jeux tels que celui d’espèce[7]. Vérifier les conséquences relevant des deux textes est donc pertinent et justifié. Même si ne donner aucune indication au juge allemand sur l’application temporelle aurait pu être glissant les textes semblent, à la lecture de l’opinion de l’Avocat Général et de la décision de la Cour de Justice, parfaitement cohérents et mènent à la même solution.
Ne pas exclure le RGPD de son raisonnement permet à la Cour de Justice de rendre une décision utilisable pour l’avenir par d’autres juridictions et renseigne sur les relations entre le RGPD et la directive 2002/58 – et le futur règlement la remplaçant.
Sur le fond, l’entrée en vigueur du RGPD ne modifie pas les obligations pesant sur le fournisseur en matière de communications électroniques accessibles au public[8] tel que prévu par la directive de 2002. Cependant le RGPD affirme qu’une révision de la directive 2002/58 sera nécessaire pour permettre une meilleure coordination entre les textes[9]. La parfaite articulation entre les textes est donc mise en doute par le législateur et à l’avenir il existera certainement d’autres affaires plus complexes.
« Je le veux »
La Cour et l’Avocat Général accèdent à la demande de la Fédération en imposant le consentement actif et refuse le raisonnement de Planet49. La réponse semblait assez évidente notamment en raison de la modification de la directive 2002/58 qui a substitué la possibilité pour l’internaute, après avoir été informé du traitement qui sera effectué sur les données collectées, de refuser ce traitement, par l’obligation pour celui-ci de « donner son accord ». Il parait logique qu’à ce stade une interprétation combinée de la directive de 1995 et de la directive de 2002 modifiée, la logique est passée d’une potentielle acceptation passive à une nécessaire acceptation active. Dans la même logique, une acceptation distincte est exigée et le clic de validation ne sera jamais entendu comme présumant de l’acceptation active de toutes les informations mentionnées. Il faut donc cocher activement chaque case autorisant une utilisation distincte de nos données, à voir jusqu’où cette distinction s’applique.
La logique qui sous-tend cette nécessité d’une acceptation active et distincte se retrouve dans la solution de la Cour lorsqu’elle indique qu’une acceptation passive ne permet pas de façon « objective » de considérer que la personne a réellement lu et donc compris et accepté le traitement de ses données[10]. L’Avocat général a une réflexion plus poussée car pour lui le cœur de la décision ne devait pas être le caractère actif, mais le consentement libre et éclairé qui implique bien plus d’éléments. L’Avocat général recherche par tous les moyens un consentement univoque, tel qu’exigé par les textes, alors que la Cour ne se sert pas de la notion. Là est pourtant l’idée principale de devoir cocher une case : démontrer que je consens de manière libre et éclairée – car je dispose des informations obligatoirement communiquées dégagées de la directive 95/46 et du RGPD – j’affirme ma compréhension des informations fournies et mon engagement univoque. Bien entendu, ce caractère solennel ne résiste pas face à la subjectivité. L’objectif est d’imposer à la société de la transparence et de la bonne foi sans douter que ce n’est pas l’obligation de devoir cocher une case qui mettra fin à l’absence de vigilance du citoyen.
La décision impose donc aux sociétés qui souhaitent installer des cookies à partir de nos données sur nos appareils d’obtenir notre accord. Cette nouvelle obligation connait une portée importante puisque dès cette décision, la Cour de Justice a décidé de suivre son Avocat Général et de préciser que cette obligation de recueillir un consentement actif et distinct ne saurait s’appliquer qu’aux cookies qui impliquent un traitement de données personnelles. Selon la Cour, même si les données ne sont pas personnelles, les informations récoltées peuvent révéler la vie privée de l’utilisateur[11]. Cette portée est intéressante et devra nécessairement être précisée à l’avenir. En l’espèce le caractère personnel des données était accepté par les parties, mais d’autres sociétés qui ne recueillent pas de données personnelles sont susceptibles d’être affectées par cette obligation ce qui mènera nécessairement à d’autres affaires, certainement plus complexes et interrogeant d’autant plus la notion de cookies.
Sans remettre en question les interrogations soulevées ci-dessus, le fait pour la Cour de ne pas chercher à définir les cookies tient certainement à leur diversité et à la multiplicité des problèmes que chacun pose. La communauté scientifique s’accorde très bien aujourd’hui pour dire que les cookies peuvent permettre bien plus que d’inciter à l’achat à travers la publicité comme c’est le cas en l’espèce. Imaginer qu’une élection politique peut être influencé par des moyens numériques ne relève plus de la science-fiction et si les cookies s’avèrent le plus souvent inoffensifs, ceux-ci ont néanmoins pu être utilisés comme traceurs par la NSA.
La jurisprudence sur les cookies n’en n’est qu’à ses balbutiements et une affaire plus médiatique fera probablement son apparition, révélant des intrications plus problématiques. Il sera alors temps pour la Cour de reprendre cette jurisprudence et la logique suivie pour continuer de protéger les données des utilisateurs au-delà même des cookies. En attendant, maintenant que les cadeaux de Noël sont bien déballés, il est sans doute temps pour les utilisateurs de se demander si Alexa est vraiment la meilleure pour leur donner la recette des cookies.
Notes de bas de page
- Concl. Avocat Général Szpunar sous l’affaire ici commentée, C-673/17, ECLI:EU:C:2019:246. Points 94 à 99.
- Concl. Avocat Général Szpunar. Pré. Points 36 à 40, « Concernant les cookies ».
- Le groupe article 29, supprimé avec l’entrée en vigueur du RGPD, est un groupe de travail traitant des questions relatives à la protection de la vie privées et des données personnelles. Il a été un moteur important dans les réformes récentes sur la protection des données.
- Concl. Avocat Général Szpunar. Pré. Point 40.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Point 30 : Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.
- Proposition de Règlement du Parlement et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»), COM (2017) 10, 2017/0003.
- Directive 2002/58/ CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques dont certaines dispositions ont été modifiées par la directive 2009/136 renforçant la protection.
- CJUE, Grande Chambre, 1 er octobre 2019, Planet49 GmbH c/ Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, C- 673/17. ECLI:EU:C:2019:801. Point 41.
- Article 95 du RGPD : Le présent règlement n'impose pas d'obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l'Union en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE.
- Point (173) du RGPD.
- CJUE, Planet49.pré. Point 55.
- CJUE, Planet49.pré. Point 70. Il est intéressant à ce titre que la Cour n’évoque que la Convention européenne des droits de l’Homme et non la Charte.