HOTĂRÂREA CURȚII (Marea Cameră)

1 octombrie 2019(*)

„Trimitere preliminară – Directiva 95/46/CE – Directiva 2002/58/CE – Regulamentul (UE) 2016/679 – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Cookie‑uri – Noțiunea de consimțământ al persoanei vizate – Declarare a consimțământului prin intermediul unei căsuțe bifate în prealabil”

În cauza C‑673/17,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Bundesgerichtshof (Curtea Federală de Justiție, Germania), prin decizia din 5 octombrie 2017, primită de Curte la 30 noiembrie 2017, în procedura

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

împotriva

Planet49 GmbH,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, doamna R. Silva de Lapuerta, vicepreședintă, domnii J.‑C. Bonichot, M. Vilaras, T. von Danwitz, doamna C. Toader, domnul F. Biltgen, doamna K. Jürimäe și domnul C. Lycourgos, președinți de cameră, și domnii A. Rosas (raportor), L. Bay Larsen, M. Safjan și S. Rodin, judecători,

avocat general: domnul M. Szpunar,

grefier: domnul D. Dittert, șef de unitate,

având în vedere procedura scrisă și în urma ședinței din 13 noiembrie 2018,

luând în considerare observațiile prezentate:

–        pentru Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, de P. Wassermann, Rechtsanwalt;

–        pentru Planet49 GmbH, de M. Jaschinski, de J. Viniol și de T. Petersen, Rechtsanwälte;

–        pentru guvernul german, de J. Möller, în calitate de agent;

–        pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de F. De Luca, avvocato dello Stato;

–        pentru guvernul portughez, de L. Inez Fernandes, de M. Figueiredo, de L. Medeiros și de C. Guerra, în calitate de agenți;

–        pentru Comisia Europeană, de G. Braun, de H. Kranenborg și de P. Costa de Oliveira, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 21 martie 2019,

pronunță prezenta

Hotărâre

1        Cererea de decizie preliminară privește interpretarea articolului 2 litera (f) și a articolului 5 alineatul (3) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva 2002/58”), coroborate cu articolul 2 litera (h) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), precum și cu articolul 6 alineatul (1) litera (a) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).

2        Această cerere a fost formulată în cadrul unui litigiu între Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Federația Organizațiilor și Asociațiilor de Consumatori – Federația Organizațiilor de Consumatori, Germania) (denumită în continuare „federația”), pe de o parte, și Planet49 GmbH, societate de jocuri de noroc online, pe de altă parte, în legătură cu consimțământul participanților la un joc promoțional organizat de această societate pentru transferul datelor lor cu caracter personal către sponsori și parteneri ai acesteia, precum și pentru stocarea de informații și dobândirea accesului la informații stocate în echipamentul terminal al utilizatorilor menționați.

 Cadrul juridic

 Dreptul Uniunii

 Directiva 95/46

3        Articolul 1 din Directiva 95/46 prevede:

„(1)      Statele membre asigură, în conformitate cu prezenta directivă, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(2)      Statele membre nu pot limita sau interzice libera circulație a datelor cu caracter personal între statele membre din motive legate de protecția asigurată în conformitate cu alineatul (1).”

4        Articolul 2 din această directivă prevede:

„În sensul prezentei directive:

(a)      «date cu caracter personal» înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); o persoană identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un număr de identificare sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, psihice, economice, culturale sau sociale;

(b)      «prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

[…]

(h)      «consimțământul persoanei vizate» înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.”

5        Articolul 7 din directiva menționată prevede:

„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

(a)      persoana vizată și‑a dat consimțământul neechivoc

[…]”

6        Potrivit articolului 10 din aceeași directivă:

„Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a)      identitatea operatorului și, dacă este cazul, a reprezentantului;

(b)      scopul prelucrării căreia îi sunt destinate datele;

(c)      orice alte informații suplimentare, cum ar fi:

–        destinatarii sau categoriile de destinatari ai datelor;

–        dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;

–        existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.”

 Directiva 2002/58

7        Considerentele (17) și (24) ale Directivei 2002/58 au următorul cuprins:

„(17)      În sensul prezentei directive, consimțământul acordat de un utilizator sau un abonat, indiferent dacă acesta din urmă este o persoană fizică sau juridică, trebuie să aibă aceeași însemnătate ca și consimțământul acordat de subiectul datelor așa cum este definit și specificat de Directiva [95/46]. Consimțământul poate fi acordat prin orice metodă potrivită acestui scop, care oferă indicații specifice și clare, acordate prin proprie voință, despre dorința utilizatorului, inclusiv prin bifarea unei căsuțe la vizitarea unui site internet.

[…]

(24)      Echipamentul terminal al utilizatorului de rețele de comunicații electronice și orice informație stocată în acesta fac parte din sfera privată a utilizatorului protejată conform Convenției europene pentru [apărarea] drepturilor omului și a libertăților fundamentale[, semnată la Roma la 4 noiembrie 1950]. Așa‑numitele spyware, web bugs, hidden identifiers și alte procedee similare pot să acceseze terminalul utilizatorului fără știrea acestuia și să acceadă la informații, să copieze informații ascunse sau să urmărească activitatea utilizatorului și pot încălca flagrant confidențialitatea datelor acestor utilizatori. Folosirea de astfel de procedee trebuie permisă doar în scopuri legitime, cu informarea utilizatorilor în cauză.”

8        Articolul 1 din Directiva 2002/58 prevede:

„(1)      Prezenta directivă prevede armonizarea dispozițiilor naționale, lucru necesar în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice și a asigurării liberei circulații a acestor date și a serviciilor și echipamentelor de comunicații electronice în interiorul [Uniunii Europene].

(2)      Prevederile prezentei directive precizează și completează Directiva [95/46] în scopurile menționate la alineatul (1). […]

[…]”

9        Articolul 2 din această directivă prevede:

„Cu excepția cazurilor în care se precizează altfel, se aplică definițiile din Directiva [95/46] și din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul comun de reglementare a rețelelor și serviciilor de comunicații electronice (Directiva‑cadru) [JO 2002, L 108, p. 33, Ediție specială, 13/vol. 35, p. 195].

Se aplică de asemenea următoarele definiții:

(a)      «utilizator» înseamnă orice persoană fizică ce folosește un serviciu public de comunicații electronice, în scopuri profesionale sau personale, fără a fi în mod necesar abonat la serviciul respectiv;

[…]

(f)      «acordul» unui abonat sau utilizator înseamnă consimțământul acordat de subiectul datelor din Directiva [95/46];

[…]”

10      Articolul 5 alineatul (3) din directiva menționată prevede:

„Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.”

 Regulamentul 2016/679

11      Considerentul (32) al Regulamentului 2016/679 are următorul cuprins:

„Consimțământul ar trebui acordat printr‑o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”

12      Articolul 4 din acest regulament prevede:

„În sensul prezentului regulament:

1.      «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;

2.      «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;

[…]

11.      «consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

[…]”

13      Articolul 6 din regulamentul respectiv prevede:

„(1)      Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a)      persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

[…]”

14      Articolul 7 alineatul (4) din același regulament prevede:

„Atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract.”

15      Potrivit articolului 13 alineatele (1) și (2) din Regulamentul 2016/679:

„(1)      În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:

[…]

(e)      destinatarii sau categoriile de destinatari ai datelor cu caracter personal;

[…]

(2)      În plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:

(a)      perioada pentru care vor fi stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili respectiva perioadă;

[…]”

16      Articolul 94 din acest regulament prevede:

„(1)      Directiva [95/46] se abrogă cu efect de la 25 mai 2018.

(2)      Trimiterile la directiva abrogată se interpretează ca trimiteri la prezentul regulament. Trimiterile la Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal instituit prin articolul 29 din Directiva [95/46] se interpretează ca trimiteri la Comitetul european pentru protecția datelor instituit prin prezentul regulament.”

 Dreptul german

17      Potrivit articolului 307 alineatul (1) prima teză din Bürgerliches Gesetzbuch (Codul civil, denumit în continuare „BGB”), „clauzele condițiilor generale sunt nule în cazul în care, contrar cerinței respectării principiului bunei‑credințe, acestea dezavantajează în mod nejustificat contractantul în raport cu utilizatorul”.

18      Articolul 307 alineatul (2) punctul 1 din BGB prevede că, în caz de dubiu, „dezavantajul nejustificat se va prezuma că există, în cazul în care o clauză nu este compatibilă cu principiile esențiale ale reglementării legale de la care aceasta derogă”.

19      Articolul 12 din Telemediengesetz (Legea privind serviciile de telecomunicații) din 26 februarie 2007 (BGBl. 2007 I, p. 179), în versiunea aplicabilă litigiului principal (denumită în continuare „TMG”), prevede:

„(1)      Furnizorul de servicii poate colecta și utiliza datele cu caracter personal pentru furnizarea serviciilor de telecomunicații numai dacă acest lucru este permis în temeiul prezentei legi sau al altor dispoziții care fac referire în mod expres la serviciile respective sau dacă utilizatorul și‑a dat consimțământul în acest sens.

(2)      Furnizorul de servicii poate utiliza în alte scopuri datele cu caracter personal colectate pentru furnizarea serviciilor de telecomunicații numai dacă acest lucru este permis în temeiul prezentei legi sau al altor dispoziții care fac referire în mod expres la serviciile respective sau dacă utilizatorul și‑a dat consimțământul în acest sens.

(3)      În lipsa unor dispoziții contrare, legislația în vigoare care reglementează datele cu caracter personal trebuie să fie aplicată chiar dacă datele nu sunt supuse unei prelucrări automate.”

20      În temeiul articolului 13 alineatul (1) din TMG, la începutul utilizării, în măsura în care informarea nu a avut loc deja, furnizorul de servicii trebuie să informeze utilizatorul în legătură cu natura, întinderea și scopul colectării și utilizării datelor cu caracter personal, într‑o formă inteligibilă. În cazul unei operațiuni automatizate care permite identificarea ulterioară a utilizatorului și care pregătește o colectare sau o utilizare a datelor cu caracter personal, utilizatorul trebuie informat la începutul acestei operațiuni.

21      Potrivit articolului 15 alineatul (3) din TMG, în scop publicitar, al cercetării de piață sau al organizării telecomunicațiilor în funcție de necesități, furnizorul de servicii poate crea profiluri ale utilizatorilor, utilizând în acest sens pseudonime, cu condiția ca utilizatorul să nu se opună acestui lucru, după ce este informat în legătură cu dreptul său de refuz.

22      Potrivit definiției date de articolul 3 alineatul (1) din Bundesdatenschutzgesetz (Legea federală privind protecția datelor) din 20 decembrie 1990 (BGBl. 1990 I, p. 2954), în versiunea aplicabilă litigiului principal (denumită în continuare „BDSG”), „datele cu caracter personal sunt date individuale referitoare la situația personală sau materială a unei persoane fizice identificate sau identificabile (persoana vizată)”.

23      Conform definiției pe care articolul 3 alineatul (3) din BDSG o dă acestei noțiuni, colectare înseamnă procurarea de date referitoare la persoana vizată.

24      Articolul 4a alineatul (1) prima teză din BDSG, care transpune articolul 2 litera (h) din Directiva 95/46, prevede că consimțământul este valabil numai atunci când se întemeiază pe libertatea de decizie a persoanei vizate.

 Litigiul principal și întrebările preliminare

25      La 24 septembrie 2013, Planet49 a organizat un joc promoțional pe site‑ul internet www.dein‑macbook.de

26      Internauții doritori să participe la acest joc trebuiau să comunice codul poștal, ceea ce îi conducea pe o pagină web pe care trebuiau să își înscrie numele și adresa. Sub căsuțele care trebuiau completate pentru adresă se regăseau două mențiuni, însoțite de căsuțe de bifat. Prima mențiune, a cărei căsuță (denumită în continuare „prima căsuță de bifat”) nu era bifată în prealabil, avea următorul conținut:

„Sunt de acord să primesc, prin poștă, prin telefon sau prin e‑mail/SMS informații cu privire la oferte din domeniul de activitate comercială al unor sponsori și parteneri, pe care, dacă nu îi numesc eu aici, îi va selecta organizatorul. Pot revoca acest acord oricând. Informații suplimentare în legătură cu acest aspect, pot fi găsite aici.”

27      A doua mențiune, a cărei căsuță (denumită în continuare „a doua căsuță de bifat”) era bifată în prealabil, avea următorul conținut:

„Sunt de acord cu utilizarea, în cazul meu, a serviciului de analiză web Remintrex, ceea ce înseamnă că organizatorul jocului promoțional, [Planet49], va instala cookie‑uri, după înregistrarea mea în cadrul jocului de noroc, ceea ce îi va permite să exploateze cu ajutorul Remintrex navigările mele pe internet și vizitele mele pe site‑urile internet ale partenerilor publicitari și, astfel, să îmi adreseze publicitate axată pe interesele mele. Pot șterge din nou cookie‑urile în orice moment. Puteți citi mai multe detalii în legătură cu acest aspect aici.”

28      Participarea la jocul de noroc era posibilă numai după bifarea cel puțin a primei căsuțe de bifat.

29      Linkul care figura în prima mențiune care însoțea prima căsuță de bifat, sub cuvintele „sponsori și parteneri” și „aici”, conducea la o listă care cuprindea 57 de întreprinderi, adresele acestora, domeniul de activitate care trebuia promovat și modul de comunicare utilizat pentru publicitate (e‑mail, poștă sau telefon). Cuvântul subliniat „dezabonează” figura după denumirea fiecărei întreprinderi. Lista era precedată de următoarea indicație:

„Prin accesarea linkului «dezabonează», decid ca partenerul/sponsorul menționat să nu primească permisiunea să îmi poată transmite informații publicitare. În situația în care nu m‑am dezabonat de la niciunul dintre parteneri/sponsori sau dacă nu m‑am dezabonat de la un număr suficient de mare de parteneri/sponsori, Planet49 va selecta, în mod discreționar, în numele meu, un număr maxim de 30 de parteneri/sponsori.”

30      Atunci când era accesat linkul care figura în cea de a doua mențiune care însoțea a doua căsuță de bifat, sub cuvântul „aici”, erau afișate următoarele informații:

„Cookie‑urile cu denumirea ceng_cache, ceng_etag, ceng_png și gcr sunt mici fișiere dedicate care se stochează pe hard disk cu ajutorul browserului utilizat de dumneavoastră și prin intermediul cărora se transmit anumite informații care permit efectuarea unei publicități mai prietenoase pentru utilizator și mai eficiente. Cookie‑urile includ un anumit număr generat în mod aleatoriu (ID) care este atribuit concomitent și datelor dumneavoastră de înregistrare. În cazul în care veți vizita în continuare pagina de internet a unui partener publicitar înregistrat în cadrul Remintrex (pentru a verifica existența unei înregistrări, vă rugăm să consultați declarația privind protecția datelor dată de partenerul publicitar), se va consemna în mod automat, pe baza unei etichete IFrame introduse acolo de Remintrex faptul că dumneavoastră (mai precis utilizatorul cu ID‑ul stocat) ați vizitat pagina de internet respectivă, produsul pentru care ați manifestat interes, precum și dacă s‑a încheiat o tranzacție cu privire la acest produs.

În continuare, pe baza acordului cu privire la primirea de publicitate exprimat cu ocazia înregistrării în cadrul jocului de noroc, [Planet49] vă poate transmite prin e‑mail mesaje publicitare care țin cont de interesele dumneavoastră, manifestate pe pagina de internet a partenerului publicitar. După revocarea permisiunii de a transmite mesaje publicitare, veți înceta desigur să primiți publicitate prin e‑mail.

Informațiile transmise prin intermediul acestor cookie‑uri se utilizează exclusiv în scopul publicității la produsele partenerului publicitar. Informațiile se colectează, se stochează și se utilizează separat, pentru fiecare partener publicitar. Nu se vor întocmi în niciun caz profiluri ale utilizatorilor pentru mai mulți parteneri publicitari. Niciunul dintre aceștia din urmă nu va primi date cu caracter personal.

În măsura în care nu vă mai interesează utilizarea cookie‑urilor, le puteți șterge oricând prin intermediul browserului dumneavoastră. Veți găsi instrucțiuni în acest sens în cadrul funcției de [«ajutor»] a acestuia.

Prin intermediul cookie‑urilor nu este posibilă executarea unor programe sau transmiterea unor viruși.

Aveți desigur posibilitatea să revocați acest acord oricând, printr‑o scrisoare adresată [PLANET49] [adresă]. Cu toate acestea, este suficient și să se transmită un e‑mail către serviciul clienți [adresa de e‑mail].”

31      Din decizia de trimitere reiese că cookie‑urile sunt fișiere pe care furnizorul unui site internet le plasează pe computerul utilizatorului acestui site și pe care le poate accesa din nou cu ocazia unei noi vizitări a site‑ului de către utilizator, pentru a facilita navigarea pe internet sau tranzacțiile sau pentru a obține informații referitoare la comportamentul acestuia din urmă.

32      În cadrul unei somații rămase fără rezultat, federația, care este înscrisă pe lista organismelor competente în temeiul articolului 4 din Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (Legea privind acțiunile în încetare în cazul încălcării dreptului consumatorilor sau a altor drepturi) din 26 noiembrie 2001 (BGBl. 2001 I, p. 3138), a susținut că declarațiile de consimțământ solicitate de Planet49 prin intermediul primei și al celei de a doua căsuțe de bifat nu îndeplineau condițiile cerute de dispozițiile articolului 307 din BGB coroborate cu cele ale articolului 7 alineatul (2) punctul 2 din Gesetz gegen den unlauteren Wettbewerb (Legea privind concurența neloială) din 3 iulie 2004 (BGBl. 2004 I, p. 1414), în versiunea aplicabilă litigiului principal, și ale articolului 12 și următoarele din TMG.

33      Federația a introdus o acțiune în fața Landgericht Frankfurt am Main (Tribunalul Regional din Frankfurt pe Main, Germania) prin care se solicita în esență încetarea utilizării de către Planet49 a unor astfel de declarații de consimțământ și obligarea acesteia la plata sumei de 214 euro majorată cu dobânzi începând cu 15 martie 2014.

34      Landgericht Frankfurt am Main (Tribunalul Regional din Frankfurt pe Main) a admis în parte această acțiune.

35      Ca urmare a unui apel declarat de Planet49 în fața Oberlandesgericht Frankfurt am Main (Tribunalul Regional Superior din Frankfurt pe Main, Germania), această instanță a considerat că cererea federației prin care se solicita ca Planet49 să înceteze să includă, în convenții de joc promoțional încheiate cu consumatori, mențiunea, astfel cum figurează la punctul 27 din prezenta hotărâre, a cărei a doua căsuță de bifat era bifată în prealabil, nu era întemeiată întrucât, pe de o parte, utilizatorul avea cunoștință de posibilitatea de debifare a căsuței și, pe de altă parte, aceasta se prezenta într‑o tipografie suficient de clară și oferea informații cu privire la modalitățile de utilizare a cookie‑urilor, fără a fi necesar să se divulge identitatea terților care pot avea acces la informațiile colectate.

36      Bundesgerichtshof (Curtea Federală de Justiție, Germania), sesizată de federație cu un recurs, consideră că soluționarea litigiului principal depinde de interpretarea dispozițiilor articolului 5 alineatul (3) și ale articolului 2 litera (f) din Directiva 2002/58 coroborate cu articolul 2 litera (h) din Directiva 95/46, precum și cu articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679.

37      Având îndoieli cu privire la validitatea, în raport cu aceste dispoziții, a obținerii de către Planet49 a consimțământului utilizatorilor site‑ului internet www.dein‑macbook.de prin intermediul celei de a doua căsuțe de bifat, precum și cu privire la întinderea obligației de informare prevăzute la articolul 5 alineatul (3) din Directiva 2002/58, Bundesgerichtshof (Curtea Federală de Justiție) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)      a)      Se consideră că există un consimțământ valabil, în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva [2002/58] coroborat cu articolul 2 litera (h) din Directiva [95/46], atunci când stocarea de informații sau dobândirea accesului la informații deja stocate în echipamentul terminal al utilizatorului este permisă pe baza unei casete de selectare predefinite, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul vizat?

b)      În cazul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva [2002/58] coroborat cu articolul 2 litera (h) din [Directiva 95/46], prezintă relevanță aspectul dacă informațiile stocate sau accesate constituie date cu caracter personal?

c)      În condițiile menționate la [prima întrebare] litera a) există un consimțământ valabil în sensul articolului 6 alineatul (1) litera (a) din Regulamentul [2016/679]?

2)      În conformitate cu articolul 5 alineatul (3) din Directiva [2002/58], ce date trebuie să comunice furnizorul de servicii utilizatorului, astfel încât acestea să constituie informații clare și complete în sensul acestei dispoziții? Este obligatoriu ca aceste date să se refere și la durata de funcționare a cookie‑urilor și la aspectul dacă terții pot să dobândească acces la acestea?”

 Cu privire la întrebările preliminare

 Observații introductive

38      Cu titlu introductiv, trebuie analizată aplicabilitatea Directivei 95/46 și a Regulamentului 2016/679 la situația de fapt în discuție în litigiul principal.

39      Cu efect de la 25 mai 2018, Directiva 95/46 a fost abrogată și înlocuită cu Regulamentul 2016/679, în temeiul articolului 94 alineatul (1) din acesta.

40      Desigur, această dată este ulterioară datei ultimei ședințe în fața instanței de trimitere, care a avut loc la 14 iulie 2017, precum și datei la care Curtea a fost sesizată cu cererea de decizie preliminară formulată de instanța menționată.

41      Cu toate acestea, instanța de trimitere a arătat că, ținând seama de intrarea în vigoare, la 25 mai 2018, a Regulamentului nr. 2016/679, care, de altfel, constituie obiectul unei părți din prima întrebare, era probabil ca acest regulament să trebuiască să fie luat în considerare la momentul soluționării litigiului principal. În plus, astfel cum a arătat guvernul german în ședința în fața Curții, nu este exclus ca, în măsura în care procedura inițiată de federație urmărește să pună capăt pentru viitor comportamentului Planet49, Regulamentul 2016/679 să fie aplicabil ratione temporis în cadrul litigiului principal ca urmare a jurisprudenței naționale referitoare la situația juridică relevantă în materie de acțiuni în încetare, aspect a cărui verificare revine instanței de trimitere (a se vedea, în ceea ce privește o acțiune de natură declaratorie, Hotărârea din 16 ianuarie 2019, Deutsche Post, C‑496/17, EU:C:2019:26, punctul 38).

42      În aceste condiții și având în vedere faptul că, în temeiul articolului 94 alineatul (2) din Regulamentul nr. 2016/679, referirile făcute în Directiva 2002/58 la Directiva 95/46 se interpretează ca trimiteri la regulamentul menționat, în speță, nu este exclus ca Directiva 2002/58 să se aplice fie în coroborare cu Directiva 95/46, fie cu Regulamentul 2016/679, în funcție de natura cererilor federației și de perioada vizată.

43      Prin urmare, este necesar să se răspundă la întrebările adresate atât în raport cu Directiva 95/46, cât și cu Regulamentul 2016/679.

 Cu privire la prima întrebare, literele a) și c)

44      Prin intermediul primei întrebări literele a) și c), instanța de trimitere solicită în esență să se stabilească dacă articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58 coroborate cu articolul 2 litera (h) din Directiva 95/46, precum și cu articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679, trebuie interpretate în sensul că consimțământul prevăzut la aceste dispoziții este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookie‑uri, este autorizată prin intermediul unei căsuțe bifate în prealabil, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul.

45      Cu titlu introductiv, trebuie precizat că, potrivit indicațiilor care figurează în decizia de trimitere, cookie‑urile care pot fi plasate pe echipamentul terminal al unui utilizator care participă la jocul promoțional organizat de Planet49 conțin un număr care este atribuit datelor de înregistrare ale acestui utilizator, care trebuie să își înscrie numele și adresa în formularul de participare la acest joc. Instanța de trimitere adaugă că asocierea acestui număr cu datele menționate personalizează datele stocate de cookie‑uri atunci când utilizatorul recurge la internet, astfel încât colectarea acestor date prin intermediul cookie‑urilor intră sub incidența unei prelucrări de date cu caracter personal. Aceste indicații au fost confirmate de Planet49, care a subliniat în observațiile sale scrise că consimțământul corespunzător celei de a doua căsuțe de bifat este destinat să autorizeze colectarea și prelucrarea datelor cu caracter personal, iar nu a informațiilor anonime.

46      Acestea fiind precizate, este necesar să se arate că, conform articolului 5 alineatul (3) din Directiva 2002/58, statele membre se asigură că stocarea de informații sau dobândirea accesului la informații deja stocate în echipamentul terminal al unui utilizator este permisă doar cu condiția ca utilizatorul să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46, inter alia, cu privire la scopurile prelucrării.

47      În această privință, trebuie amintit că atât din cerința aplicării uniforme a dreptului Uniunii, cât și din cea a principiului egalității rezultă că termenii unei dispoziții a dreptului Uniunii care nu conține nicio trimitere expresă la dreptul statelor membre pentru a stabili sensul și domeniul său de aplicare trebuie, în mod normal, să primească în întreaga Uniune o interpretare autonomă și uniformă [Hotărârea din 26 martie 2019, SM (Enfant placé sous kafala algérienne), C‑129/18, EU:C:2019:248, punctul 50, și Hotărârea din 11 aprilie 2019, Tarola, C‑483/17, EU:C:2019:309, punctul 36].

48      În plus, potrivit unei jurisprudențe constante a Curții, la interpretarea unei dispoziții a dreptului Uniunii trebuie să se țină seama nu numai de termenii acesteia și de obiectivele pe care le urmărește, ci și de contextul său, precum și de ansamblul dispozițiilor dreptului Uniunii. Geneza unei dispoziții a dreptului Uniunii poate de asemenea să ofere elemente importante pentru interpretarea acesteia (Hotărârea din 10 decembrie 2018, Wightman și alții, C‑621/18, EU:C:2018:999, punctul 47, precum și jurisprudența citată).

49      În ceea ce privește formularea articolului 5 alineatul (3) din Directiva 2002/58, trebuie arătat că, deși această dispoziție prevede în mod expres că utilizatorul trebuie să își fi „dat acordul” pentru plasarea și pentru consultarea cookie‑urilor pe echipamentul său terminal, respectiva dispoziție nu conține, în schimb, indicații cu privire la modul în care acest acord trebuie dat. Termenii „dat acordul” se pretează, cu toate acestea, unei interpretări literale potrivit căreia este necesară o acțiune a utilizatorului pentru a‑și exprima consimțământul. În această privință, din considerentul (17) al Directivei 2002/58 reiese că consimțământul unui utilizator, în sensul acestei directive, poate fi acordat prin orice metodă potrivită acestui scop, care oferă indicații specifice și clare, acordate prin proprie voință, despre dorința utilizatorului, în special „prin bifarea unei căsuțe la vizitarea unui site internet”.

50      În ceea ce privește contextul în care se înscrie articolul 5 alineatul (3) din Directiva 2002/58, este necesar să se sublinieze că articolul 2 litera (f) din această directivă, care definește „acordul”, în sensul acesteia, face trimitere, în această privință, la „consimțământul acordat de subiectul datelor” care figurează în Directiva 95/46. Considerentul (17) al Directivei 2002/58 precizează că consimțământul acordat de un utilizator, în sensul acestei directive, trebuie să aibă aceeași însemnătate ca și consimțământul acordat de subiectul datelor astfel cum este definit și specificat de Directiva 95/46.

51      Articolul 2 litera (h) din această din urmă directivă definește „consimțământul persoanei vizate” ca fiind „orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc”.

52      Astfel, după cum a subliniat avocatul general la punctul 60 din concluzii, cerința unei „manifestări” a persoanei vizate indică în mod clar un comportament activ, iar nu unul pasiv. Or, un consimțământ dat prin intermediul unei căsuțe bifate în prealabil nu presupune un comportament activ din partea utilizatorului unui site internet.

53      Această interpretare este confirmată de articolul 7 din Directiva 95/46, care prevede o listă exhaustivă de cazuri în care o prelucrare de date cu caracter personal poate fi considerată legală (a se vedea în acest sens Hotărârea din 24 noiembrie 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 și C‑469/10, EU:C:2011:777, punctul 30, precum și Hotărârea din 19 octombrie 2016, Breyer, C‑582/14, EU:C:2016:779, punctul 57).

54      În special, articolul 7 litera (a) din Directiva 95/46 prevede că consimțământul persoanei vizate poate face legală o astfel de prelucrare, atât timp cât acest consimțământ este dat „neechivoc” de persoana vizată. Or, numai un comportament activ din partea acestei persoane, în scopul de a‑și manifesta consimțământul, este de natură să îndeplinească această cerință.

55      În această privință, pare practic imposibil să se stabilească în mod obiectiv dacă utilizatorul unui site internet și‑a dat în mod efectiv consimțământul la prelucrarea datelor sale cu caracter personal prin faptul că nu a debifat o căsuță bifată în prealabil, precum și, în orice caz, dacă acest consimțământ a fost dat în mod informat. Astfel, nu se poate exclude faptul ca utilizatorul menționat să nu fi citit informația care însoțea căsuța bifată în prealabil sau să nu fi observat această căsuță, înainte de a‑și continua activitatea pe site‑ul internet pe care îl vizitează.

56      În sfârșit, în ceea ce privește geneza articolului 5 alineatul (3) din Directiva 2002/58, trebuie constatat că versiunea inițială a acestei dispoziții prevedea numai cerința ca utilizatorul să aibă „dreptul de a refuza” plasarea cookie‑urilor, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46, inter alia, cu privire la scopul prelucrării. Directiva 2009/136 a introdus o modificare substanțială a cuprinsului acestei dispoziții, prin înlocuirea acestei expresii cu termenii „dat acordul”. Geneza articolului 5 alineatul (3) din Directiva 2002/58 urmărește astfel să arate că consimțământul utilizatorului nu mai poate fi în prezent prezumat și trebuie să rezulte dintr‑un comportament activ al acestuia din urmă.

57      Având în vedere elementele care precedă, consimțământul prevăzut la articolul 2 litera (f) și la articolul 5 alineatul (3) din Directiva 2002/58 coroborate cu articolul 2 litera (h) din Directiva 95/46 nu este, prin urmare, dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet este autorizată prin intermediul unei căsuțe bifate în prealabil de furnizorul de servicii, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul.

58      Trebuie adăugat că manifestarea de voință prevăzută la articolul 2 litera (h) din Directiva 95/46 trebuie, printre altele, să fie „specifică”, în sensul că trebuie să privească în mod precis prelucrarea datelor în cauză și nu poate fi dedusă dintr‑o manifestare de voință care are un obiect distinct.

59      În speță, în mod contrar celor susținute de Planet49, faptul că un utilizator activează butonul de participare la jocul promoțional organizat de această societate nu poate, prin urmare, să fie suficient pentru a considera că utilizatorul și‑a dat în mod valabil consimțământul la plasarea cookie‑urilor.

60      Interpretarea care precedă se impune cu atât mai mult în lumina Regulamentului 2016/679.

61      Astfel, după cum a constatat în esență avocatul general la punctul 70 din concluzii, formularea articolului 4 punctul 11 din Regulamentul 2016/679, care definește „consimțământul persoanei vizate” în sensul acestui regulament și în special al articolului 6 alineatul (1) litera (a) vizat de prima întrebare litera (c), pare mult mai strictă decât cea a articolului 2 litera (h) din Directiva 95/46, prin faptul că impune o manifestare de voință „liberă, specifică, informată și lipsită de ambiguitate” a persoanei vizate, sub forma unei declarații sau a unei „acțiuni fără echivoc” care reprezintă acordul său pentru prelucrarea datelor cu caracter personal care o privesc.

62      Un consimțământ activ este astfel în prezent prevăzut în mod expres de Regulamentul 2016/679. Trebuie arătat în această privință că, potrivit considerentului (32) al acestui regulament, exprimarea consimțământului ar putea include printre altele bifarea unei căsuțe atunci când persoana vizitează un site. În schimb, considerentul respectiv exclude în mod expres ca „absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni” să constituie un consimțământ.

63      În consecință, consimțământul prevăzut la articolul 2 litera (f) și la articolul 5 alineatul (3) din Directiva 2002/58 coroborate cu articolul 4 punctul 11 și articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679 nu este acordat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet este autorizată printr‑o căsuță bifată în prealabil pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul.

64      În sfârșit, trebuie subliniat că instanța de trimitere nu a sesizat Curtea cu problema dacă împrejurarea că de consimțământul unui utilizator la prelucrarea datelor sale cu caracter personal în scopuri publicitare depinde posibilitatea ca acesta să participe la un joc promoțional, astfel cum pare să fie cazul în speță, potrivit indicațiilor care figurează în decizia de trimitere, cel puțin pentru prima căsuță de bifat, este compatibilă cu cerința unui consimțământ „liber”, în sensul articolului 2 litera (h) din Directiva 95/46, precum și al articolului 4 punctul 11 și al articolului 7 alineatul (4) din Regulamentul 2016/679. În aceste condiții, nu este necesar ca Curtea să examineze această chestiune.

65      Având în vedere toate considerațiile care precedă, este necesar să se răspundă la prima întrebare literele a) și c) că articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58 coroborate cu articolul 2 litera (h) din Directiva 95/46, precum și cu articolul 4 punctul 11 și articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679 trebuie să fie interpretate în sensul că consimțământul prevăzut la aceste dispoziții nu este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookie‑uri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul.

 Cu privire la prima întrebare litera b)

66      Prin intermediul primei întrebări litera b) instanța de trimitere solicită în esență să se stabilească dacă articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58 coroborate cu articolul 2 litera (h) din Directiva 95/46, precum și cu articolul 4 punctul 11 și cu articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679 trebuie să fie interpretate diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal, în sensul Directivei 95/46 și al Regulamentului 2016/679.

67      Astfel cum s‑a arătat la punctul 45 din prezenta hotărâre, din decizia de trimitere reiese că plasarea cookie‑urilor în discuție în litigiul principal face parte dintr‑o prelucrare de date cu caracter personal.

68      Acestea fiind precizate, trebuie, în orice caz, să se constate că articolul 5 alineatul (3) din Directiva 2002/58 se referă la „stocarea de informații” și la „dobândirea accesului la informațiile deja stocate”, fără a califica aceste informații și fără a preciza că acestea ar trebui să fie date cu caracter personal.

69      Astfel cum a constatat avocatul general la punctul 107 din concluzii, această dispoziție urmărește astfel să protejeze utilizatorul de orice ingerință în viața sa privată, indiferent dacă această ingerință privește sau nu date cu caracter personal.

70      Această interpretare este confirmată de considerentul (24) al Directivei 2002/58, potrivit căruia orice informație stocată pe echipamentul terminal al utilizatorului unei rețele de comunicații electronice face parte din sfera privată a utilizatorului, care trebuie protejată conform Convenției europene pentru apărarea drepturilor omului și a libertăților fundamentale. Această protecție se aplică oricărei informații stocate pe acest echipament terminal, indiferent dacă este vorba sau nu despre date cu caracter personal, și urmărește printre altele, astfel cum reiese din același considerent, să protejeze utilizatorii împotriva riscului ca hidden identifiers sau alte procedee similare să acceseze echipamentul terminal al acestor utilizatori fără știrea lor.

71      Având în vedere considerațiile care precedă, este necesar să se răspundă la prima întrebare litera b) că articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58 coroborate cu articolul 2 litera (h) din Directiva 95/46, precum și cu articolul 4 punctul 11 și cu articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679 nu trebuie să fie interpretate diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal, în sensul Directivei 95/46 și al Regulamentului 2016/679.

 Cu privire la a doua întrebare

72      Prin intermediul celei de a doua întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 5 alineatul (3) din Directiva 2002/58 trebuie interpretat în sensul că informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri.

73      Astfel cum reiese din cuprinsul punctului 46 din prezenta hotărâre, articolul 5 alineatul (3) din Directiva 2002/58 impune ca utilizatorul să își fi dat acordul, după ce a primit informații clare și complete, „în conformitate cu Directiva [95/46]”, în special cu privire la scopurile prelucrării.

74      Astfel cum a subliniat avocatul general la punctul 115 din concluzii, o informare clară și completă presupune că un utilizator este în măsură să stabilească cu ușurință consecințele consimțământului pe care l‑ar putea da și garantează că acest consimțământ este dat în deplină cunoștință de cauză. Informarea trebuie să fie ușor de înțeles și suficient de detaliată pentru a permite utilizatorului să înțeleagă modul de funcționare a cookie‑urilor care sunt utilizate.

75      Or, într‑o situație precum cea în discuție în litigiul principal, în care, potrivit indicațiilor care figurează în dosarul prezentat Curții, cookie‑urile urmăresc colectarea de informații în scop publicitar cu privire la produse ale partenerilor organizatorului unui joc promoțional, durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri fac parte din informațiile clare și complete care trebuie furnizate utilizatorului în conformitate cu articolul 5 alineatul (3) din Directiva 2002/58.

76      În această privință, trebuie arătat că articolul 10 din Directiva 95/46, la care se referă articolul 5 alineatul (3) din Directiva 2002/58, precum și articolul 13 din Regulamentul 2016/679 prevăd informațiile pe care operatorul trebuie să le furnizeze persoanei de la care colectează date care o privesc.

77      Aceste informații cuprind în special, în temeiul articolului 10 din Directiva 95/46, pe lângă identitatea operatorului și scopul prelucrării căreia îi sunt destinate datele, orice alte informații suplimentare, cum ar fi destinatarii sau categoriile de destinatari ai datelor, în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.

78      Deși durata prelucrării de date nu figurează printre aceste informații, din expresia „cel puțin” care figurează la articolul 10 din Directiva 95/46 reiese, totuși, că ele nu sunt enumerate în mod exhaustiv. Or, informarea cu privire la durata de funcționare a cookie‑urilor trebuie să fie considerată ca îndeplinind cerința unei prelucrări corecte a datelor prevăzută la articolul menționat, în măsura în care, într‑o situație precum cea în discuție în litigiul principal, o durată lungă, chiar nelimitată, presupune colectarea a numeroase informații privind obiceiurile de navigare și frecvența eventualelor vizite ale utilizatorului pe site‑urile partenerilor publicitari ai organizatorului jocului promoțional.

79      Această interpretare este susținută de articolul 13 alineatul (2) litera (a) din Regulamentul 2016/679, care prevede că operatorul trebuie să îi furnizeze persoanei vizate, pentru a asigura o prelucrare echitabilă și transparentă, o informare cu privire, printre altele, la perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, la criteriile utilizate pentru a stabili această perioadă.

80      În ceea ce privește posibilitatea sau imposibilitatea ca terții să aibă acces la cookie‑uri, este vorba despre o informație cuprinsă în informațiile prevăzute la articolul 10 litera (c) din Directiva 95/46, precum și la articolul 13 alineatul (1) litera (e) din Regulamentul 2016/679, în condițiile în care aceste dispoziții menționează explicit destinatarii sau categoriile de destinatari ai datelor.

81      Având în vedere considerațiile care precedă, este necesar să se răspundă la a doua întrebare că articolul 5 alineatul (3) din Directiva 2002/58 trebuie interpretat în sensul că informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookie‑urilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookie‑uri.

 Cu privire la cheltuielile de judecată

82      Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1)      Articolul 2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, coroborate cu articolul 2 litera (h) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, precum și cu articolul 4 punctul 11 și cu articolul 6 alineatul (1) litera (a) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor) trebuie să fie interpretate în sensul că consimțământul prevăzut la aceste dispoziții nu este dat în mod valabil atunci când stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului unui site internet, prin cookieuri, este autorizată prin intermediul unei căsuțe bifate în prealabil pe care acest utilizator trebuie să o debifeze în cazul în care refuză să își dea consimțământul.

2)      Articolul  2 litera (f) și articolul 5 alineatul (3) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, coroborate cu articolul 2 litera (h) din Directiva 95/46, precum și cu articolul 4 punctul 11 și cu articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679 nu trebuie să fie interpretate diferit în funcție de aspectul dacă informațiile stocate sau consultate în echipamentul terminal al utilizatorului unui site internet constituie sau nu date cu caracter personal, în sensul Directivei 95/46 și al Regulamentului 2016/679.

3)      Articolul 5 alineatul (3) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, trebuie interpretat în sensul că informațiile pe care furnizorul de servicii trebuie să le ofere utilizatorului unui site internet includ durata de funcționare a cookieurilor, precum și posibilitatea sau imposibilitatea ca terții să aibă acces la aceste cookieuri.

Semnături


*      Limba de procedură: germana.