Votre panier est actuellement vide !
En matière d’acceptation des cookies, la pratique de la case cochée par défaut est illégale. En effet, l’exigence d’une « manifestation » de volonté de la personne concernée évoque clairement un comportement actif et non pas passif. Or, un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur d’un site Internet.
Selon la CJUE, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite.
Dans cette affaire, la fédération allemande des organisations de consommateurs a contesté avec succès, l’utilisation par la société allemande Planet49, dans le cadre de jeux promotionnels en ligne, d’une case cochée par défaut par laquelle les internautes souhaitant participer expriment leur accord au placement de cookies. Les internautes souhaitant participer à ce jeu devaient communiquer leur code postal, ce qui les dirigeait vers une page web sur laquelle ils devaient inscrire leurs nom et adresse. Sous les cases à remplir pour l’adresse se trouvaient deux mentions, accompagnées de cases à cocher. La première mention, dont la case (ci-après la « première case à cocher ») n’était pas cochée par défaut, se lisait comme suit :
« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »
La seconde mention, dont la case (ci-après la « seconde case à cocher ») était cochée par défaut, se lisait comme suit :
« J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »
Ces cookies visaient à recueillir des informations à des fins de publicité pour des produits des partenaires de Planet49.
Saisie, la CJUE a décidé que le consentement que l’utilisateur d’un site Internet doit donner pour le placement et la consultation de cookies sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. Que les informations stockées ou consultées dans l’équipement de l’utilisateur constituent ou non des données à caractère personnel n’influe pas sur ce résultat. En effet, le droit de l’Union vise à protéger l’utilisateur de toute ingérence dans sa vie privée, notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu. Le consentement doit être spécifique, de telle sorte que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies. En outre, les informations que le fournisseur de services doit donner à l’utilisateur incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.
Pour rappel, l’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales [signée à Rome le 4 novembre 1950]. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné.
Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé.