Tout le monde connait les cookies, ces petits fichiers indiscrets qui sont enregistrés, à l’insu de l’utilisateur, sur un terminal (ordinateur, tablette, smartphone) par les sites internet lors d’une visite. On a vu fleurir depuis quelques années des bandeaux d’acceptation des cookies apparaissant lors de la navigation sur les sites internet et souvent paramétrés par défaut. Est-ce suffisant depuis le Règlement général sur la protection des données (le « RGPD ») et son renforcement des conditions du « consentement » des utilisateurs ?
Si certains cookies peuvent apparaitre innocents et servent notamment à enregistrer nos préférences utilisateur (comme par exemple la langue du site), d’autres sont plus insidieux en partageant et utilisant des informations à partir de plusieurs sites, les cookies « traceurs ».
Rigueur du RGPD
Quitte à rendre la navigation indigeste, les responsables d’un traitement via un site ou une application doivent informer leurs utilisateurs :
- De l’identité de l’éditeur du site ou de l’application ;
- De la finalité des cookies utilisés ;
- Des moyens dont ils disposent pour s’y opposer.
Le consentement des utilisateurs doit être « éclairé » et constituer un « acte positif clair ».
Pas de consentement avec pré-cochage
La Cour de Justice de l’Union Européenne (la « CJUE »), qui veille notamment à la bonne application du RGPD, a récemment été amenée à se prononcer sur la validité d’un consentement à des cookies donné via une case pré-cochée.
En d’autres termes, si l’utilisateur valide un formulaire en ligne avec une acception « par défaut » des cookies, a-t-il valablement consenti ?
Par une décision du 1er octobre 2019, la CJUE a répondu par la négative : en effet, une case pré-cochée ne remplit pas la condition d’un consentement « actif ». Qui ne dit mot ne consent pas…
En outre, le consentement ne peut être « éclairé » que si l’utilisateur a reçu une information claire et complète concernant l’utilisation des cookies, notamment au regard de leur finalité.
CNIL et Conseil d’Etat à contrecourant ?
La CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices sur les cookies en phase avec les règles du RGPD notamment en matière de consentement. Cependant, elle a précisé qu’elle laisserait aux acteurs une période transitoire de 12 mois durant laquelle « la poursuite de la navigation comme expression du consentement sera considérée par la CNIL comme acceptable ».
Considérant ce moratoire comme directement en conflit avec le RGPD, deux associations (la Quadrature du Net et Caliopen) ont formé un recours devant le Conseil d’Etat.
Contre toute attente, ce dernier a, par une décision du 16 octobre 2019, rejeté le recours et a indiqué que jusqu’à mi-2020 « la poursuite de la navigation comme expression du consentement au dépôt de cookies est valide ».
La France semble avoir une vision différente du consentement… ou moins ressentir son urgence.
