CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2019:246

CONCLUZIILE AVOCATULUI GENERAL

DOMNUL MACIEJ SZPUNAR

prezentate la 21 martie 2019(1)

Cauza C‑673/17

Planet49 GmbH

împotriva

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.

[cerere de decizie preliminară formulată de Bundesgerichtshof (Curtea Federală de Justiție, Germania)]

„Trimitere preliminară – Directiva 95/46/CE – Directiva 2002/58/CE – Regulamentul (UE) 2016/679 – Prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice – Cookie‑uri – Noțiunea de consimțământ al persoanei vizate – Declarare a consimțământului prin intermediul unei casete de selectare predefinite”

I. Introducere

1. Pentru a participa la un joc de noroc organizat de societatea Planet49, un utilizator de internet trebuia să bifeze sau să nu bifeze două casete de selectare înainte ca acesta să poată apăsa pe „butonul de participare”. Una dintre casetele de selectare obliga utilizatorul să accepte să fie contactat de o serie de societăți pentru prezentarea de oferte promoționale, iar cealaltă casetă de selectare îi solicita acestuia să accepte instalarea de cookie‑uri pe calculatorul său. Acestea constituie în esență faptele care au dat naștere prezentei decizii de trimitere formulate de Bundesgerichtshof (Curtea Federală de Justiție, Germania).

2. Dincolo de aceste fapte în aparență anodine se află chestiuni fundamentale ale dreptului Uniunii în materie de protecție a datelor: care sunt exact cerințele privind consimțământul informat care trebuie dat în mod liber? Există o diferență între prelucrarea (doar) a datelor cu caracter personal și instalarea și accesul la cookie ‑uri? Care sunt instrumentele juridice aplicabile?

3. În prezentele concluzii, vom arăta că, în ceea ce privește cauza de față, cerințele privind acordarea consimțământului prevăzute în Directiva 95/46/CE(2) sunt aceleași ca cele prevăzute în Regulamentul (UE) 2016/679(3) și că, în cauza în litigiu, nu există nicio diferență între aspectul dacă avem de a face cu problema generală a prelucrării datelor cu caracter personal sau cu cea mai specifică a stocării și a dobândirii accesului la informații cu ajutorul cookie‑urilor.

II. Cadrul juridic

A. Dreptul Uniunii

1. Directiva 95/46

4. Articolul 2 din Directiva 95/46, intitulat „Definiții”, prevede:

„În sensul prezentei directive:

[…]

(h) «consimțământul persoanei vizate» înseamnă orice manifestare de voință, liberă, specifică și informată prin care persoana vizată acceptă să fie prelucrate datele cu caracter personal care o privesc.”

5. În cadrul secțiunii II din această directivă, intitulată „Criterii privind legitimitatea prelucrării datelor”, articolul 7 prevede la litera (a):

„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:

(a) persoana vizată și‑a dat consimțământul neechivoc;

[…]”

6. Articolul 10 din aceeași directivă, intitulat „Informațiile în cazurile de colectare a datelor de la persoana vizată”, are următorul conținut:

„Statele membre prevăd ca operatorul sau reprezentantul său să furnizeze persoanei de la care colectează date care o privesc cel puțin informațiile menționate mai jos, cu excepția cazului în care persoana este deja informată cu privire la aceste date:

(a) identitatea operatorului și, dacă este cazul, a reprezentantului;

(b) scopul prelucrării căreia îi sunt destinate datele;

– destinatarii sau categoriile de destinatari ai datelor;

– dacă răspunsurile la întrebări sunt obligatorii sau voluntare, precum și consecințele posibile ale evitării răspunsului;

– existența dreptului de acces la datele care o privesc și de rectificare a datelor cu caracter personal,

în măsura în care, ținând seama de circumstanțele specifice în care sunt colectate datele, astfel de informații suplimentare sunt necesare pentru asigurarea unei prelucrări corecte a datelor cu privire la persoana vizată.”

2. Directiva 2002/58/CE(4)

7. Considerentele (24) și (25) ale Directivei 2002/58/CE(5) au următorul cuprins:

„(24) Echipamentul terminal al utilizatorului de rețele de comunicații electronice și orice informație stocată în acesta fac parte din sfera privată a utilizatorului protejată conform Convenției Europene pentru Protecția Drepturilor Omului și a Libertăților Fundamentale. Așa‑numitele spyware, web bugs, hidden identifiers și alte procedee similare pot să acceseze terminalul utilizatorului fără știrea acestuia și să acceadă la informații, să copieze informații ascunse sau să urmărească activitatea utilizatorului și pot încălca flagrant confidențialitatea datelor acestor utilizatori. Folosirea de astfel de procedee trebuie permisă doar în scopuri legitime, cu informarea utilizatorilor în cauză.

(25) Cu toate acestea, aceste procedee, de exemplu așa‑numitele «cookies», pot fi un instrument legitim și util, spre exemplu pentru analizarea eficienței designului și publicității efectuate pe un site și pentru verificarea identității utilizatorilor angajați în tranzacții on‑line. Atunci când aceste instrumente sunt folosite în scopuri legitime, ca de exemplu pentru facilitarea furnizării de servicii ale societății informaționale, folosirea lor ar trebui permisă, cu condiția ca utilizatorilor să li se furnizeze informații clare și precise, conform Directivei 95/46/CE, cu privire la scopul acestor cookies sau al instrumentelor similare, pentru ca utilizatorii să știe ce informații sunt introduse în echipamentul terminal pe care îl folosesc. Utilizatorii trebuie să aibă posibilitatea să refuze stocarea de astfel de instrumente în echipamentul lor terminal. Acest lucru este important în special în cazurile în care și alți utilizatorii decât utilizatorul principal au acces la acel terminal și, prin urmare, la orice date ce conțin informații confidențiale stocate în acesta. Informațiile și dreptul de a refuza pot să fie oferite o singură dată pentru folosirea diferitelor instrumente ce se vor instala în echipamentul terminal în timpul unei singure conexiuni și pot să se refere de asemenea la utilizările ce se vor da instrumentelor respective în timpul conexiunilor ulterioare. Metodele de furnizare a informațiilor, de oferire a dreptului de a refuza și de cerere a acordului trebuie să fie cât mai prietenoase cu putință. Accesul la un anumit conținut al unui site poate fi condiționat de acceptarea în cunoștință de cauză a unui cookie sau a unui instrument similar, în cazul în care acesta este folosit într‑un scop legitim.”

8. Articolul 2 din directiva menționată, intitulat „Definiții”, prevede, la litera (f):

„Cu excepția cazurilor în care se precizează altfel, se aplică definițiile din Directiva 95/46/CE și din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul comun de reglementare a rețelelor și serviciilor de comunicații electronice (Directiva‑cadru)^[(6)^].

Se aplică de asemenea următoarele definiții:

[…]

(f) «acordul» unui abonat sau utilizator înseamnă consimțământul acordat de subiectul datelor din Directiva 95/46/CE;

[…]”

9. Articolul 5 alineatul (3) din această directivă, articol care este intitulat „Confidențialitatea comunicațiilor”, prevede:

„Statele membre se asigură că folosirea rețelelor de comunicații electronice pentru a stoca sau a accesa informații stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să fi primit informații clare și complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopul prelucrării de către controlerele de date. Aceasta nu interzice stocarea sau accesul tehnic cu unicul scop de a efectua sau de a facilita transmisia comunicației printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării unui serviciu al societății informaționale cerut în mod explicit de către abonat sau utilizator.”

3. Directiva 2009/136/CE(7)

10. Considerentul (66) al Directivei 2009/136/CE(8) are următorul cuprins:

„Terții ar putea dori să stocheze informații cu privire la echipamentul unui utilizator sau să obțină acces la informațiile deja stocate dintr‑un număr de motive, care pot varia de la motive legitime (de exemplu, anumite tipuri de cookies) la cele care privesc intruziunile nejustificate în sfera privată (de exemplu, programele spyware sau virușii). Prin urmare, este de importanță capitală ca utilizatorilor să li se furnizeze informații clare și complete în momentul în care doresc să efectueze o activitate care poate rezulta într‑o asemenea stocare sau accesare nedorită. Metodele folosite pentru furnizarea informațiilor și oferirea dreptului de a refuza ar trebui să fie cât mai prietenoase cu putință. Derogarea de la obligația de a furniza informații și de a oferi dreptul de a refuza ar trebui să se limiteze la situațiile în care stocarea tehnică sau accesul sunt strict necesare pentru scopul legitim de a permite folosirea unui serviciu specific solicitat explicit de abonat sau de utilizator. În cazul în care acest lucru este posibil din punct de vedere tehnic și eficient, în conformitate cu dispozițiile aplicabile din Directiva 95/46/CE, acordul utilizatorului privind procesarea se poate exprima prin folosirea setărilor adecvate ale unui browser sau ale unei alte aplicații. Asigurarea respectării acestor cerințe ar trebui eficientizată prin acordarea unor puteri extinse autorităților naționale competente.”

4. Regulamentul 2016/679

11. Considerentul (32) al Regulamentului 2016/679 are următorul cuprins:

„Consimțământul ar trebui acordat printr‑o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ. Consimțământul ar trebui să vizeze toate activitățile de prelucrare efectuate în același scop sau în aceleași scopuri. Dacă prelucrarea datelor se face în mai multe scopuri, consimțământul ar trebui dat pentru toate scopurile prelucrării. În cazul în care consimțământul persoanei vizate trebuie acordat în urma unei cereri transmise pe cale electronică, cererea respectivă trebuie să fie clară și concisă și să nu perturbe în mod inutil utilizarea serviciului pentru care se acordă consimțământul.”

12. Articolul 4, punctul 11 din acest regulament, care este intitulat „Definiții”, prevede:

„În sensul prezentului regulament:

[…]

(11) «consimțământ» al persoanei vizate înseamnă orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate;

[…]”

13. Articolul 6 din același regulament, intitulat „Legalitatea prelucrării”, prevede:

„(1) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(a) persoana vizată și‑a dat consimțământul pentru prelucrarea datelor sale cu caracter personal pentru unul sau mai multe scopuri specifice;

[…]”

14. Articolul 7 din Regulamentul 2016/679 este intitulat „Condiții privind consimțământul”. Potrivit articolului 7 alineatul (4), „[a]tunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de faptul că, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract”.

B. Dreptul german

1. Codul civil german

15. Articolul 307(9) din Bürgerliches Gesetzbuch (Codul civil german, denumit în continuare „BGB”) prevede:

„(1) Clauzele condițiilor generale sunt nule în cazul în care, contrar cerinței respectării principiului bunei‑credințe, acestea dezavantajează în mod nejustificat contractantul în raport cu utilizatorul. Un dezavantaj nejustificat poate rezulta de asemenea din faptul că dispoziția nu este clară și inteligibilă.

(2) În caz de dubiu, dezavantajul nejustificat se va prezuma că există, în cazul în care o clauză:

1. nu este compatibilă cu principiile esențiale ale reglementării legale de la care aceasta derogă sau

2. limitează drepturile sau obligațiile esențiale inerente naturii contractului, în așa măsură încât este compromisă îndeplinirea scopului contractului.

(3) Alineatele (1) și (2) de mai sus, precum și articolele 308 și 309 se aplică numai clauzelor condițiilor generale pe baza cărora sunt încheiate acorduri care derogă de la dispozițiile legale sau măsuri care completează aceste dispoziții legale. Alte clauze pot fi ineficiente în temeiul dispozițiilor coroborate ale primei și ale celei de a doua teze a alineatului (1) menționat de mai sus.”

2. Legea privind concurența neloială

16. Gesetz gegen den unlauteren Wettbewerb (Legea privind concurența neloială, denumită în continuare „UWG”) interzice practicile comerciale care constituie un abuz nejustificat pentru un participant de pe piață. Articolul 7 alineatul 2 din UWG prevede, la punctul 2, că abuzul nejustificat se prezumă întotdeauna în caz de […] publicitate efectuată prin intermediul unui apel telefonic către un consumator fără consimțământul său expres prealabil sau către un alt participant de pe piață fără cel puțin consimțământul prezumat al acestuia din urmă.

3. Legea privind serviciile de telecomunicații

17. Articolul 12 alineatul 1 din Telemediengesetz (Legea privind serviciile de telecomunicații, denumită în continuare „TMG”) transpune articolul 7 litera (a) din Directiva 95/46 și stabilește condițiile în care un furnizor de servicii este autorizat să colecteze și să utilizeze date cu caracter personal în scopul punerii lor la dispoziția mediilor electronice. În temeiul acestui articol, un furnizor de servicii are dreptul să colecteze și să utilizeze date cu caracter personal pentru punerea lor la dispoziția mediilor electronice numai dacă TMG sau un alt instrument juridic care reglementează în mod expres mediile electronice îl autorizează să facă acest lucru sau dacă utilizatorul și‑a dat consimțământul cu privire la acest lucru.

18. Articolul 12 alineatul 3 din TMG prevede că legislația în vigoare care reglementează datele cu caracter personal trebuie să fie aplicată chiar dacă datele nu sunt supuse unei prelucrări automate.

19. Articolul 13 alineatul (1) din TMG obligă furnizorul de servicii să informeze utilizatorul, la începutul utilizării, în legătură cu natura, întinderea și scopul prelucrării datelor cu caracter personal, precum și în legătură cu prelucrarea datelor care nu intră în domeniul de aplicare al Directivei 95/46.

20. Articolul 15 alineatul (1) din TMG prevede că furnizorii de servicii pot colecta și prelucra date cu caracter personal doar dacă acestea sunt necesare pentru o utilizare media online sau în scopul emiterii unei facturi referitoare la această utilizare (denumite în continuare „datele utilizatorilor”). Datele utilizatorilor sunt definite, printre altele, ca date care permit identificarea utilizatorilor.

21. Articolul 15 alineatul 3 din TMG transpune articolul 5 alineatul (3) din Directiva 2002/58 și autorizează un furnizor de servicii să stabilească profiluri de utilizatori cu ajutorul pseudonimelor în scopuri publicitare, de analiză a pieței sau de configurare a mediilor electronice, cu condiția ca utilizatorul să nu se opună acestui lucru și ca furnizorul de servicii să fi informat utilizatorul în legătură cu dreptul său de refuz, în conformitate cu obligația de a furniza informații în temeiul articolului 13 alineatul (1) din TMG.

4. Legea federală privind protecția datelor

22. Articolul 3 alineatul 1 din Bundesdatenschutzgesetz (Legea federală privind protecția datelor, denumită în continuare „BDSG”)(10) transpune articolul 2 litera (a) din Directiva 95/46 și definește expresia „date cu caracter personal” ca însemnând date privind situația personală sau materială a unei persoane fizice identificate sau identificabile.

23. Articolul 4 bis din BDSG transpune în dreptul național articolul 2 litera (h) din Directiva 95/46 și prevede că consimțământul nu este valabil decât atunci când acesta rezultă din decizia luată în mod liber de persoana interesată.

III. Situația de fapt, procedura și întrebările preliminare

24. La 24 septembrie 2013, Planet49 GmbH a organizat un joc de noroc la adresa de internet www.dein‑macbook.de(11). Pentru a participa la acest joc promoțional, un utilizator de internet trebuia să își înregistreze codul poștal, ceea ce îl conducea pe o pagină care cuprindea câmpuri de completat cu numele și adresa utilizatorului. Sub câmpurile de completat pentru adresă se găseau două serii de mențiuni explicative însoțite de casete de selectare. Vom face referire la acestea în continuare sub denumirea de „prima casetă de selectare” și de „a doua casetă de selectare”. Prima mențiune explicativă, a cărei casetă nu era selectată din oficiu, avea următorul conținut:

„Sunt de acord să primesc, prin poștă, prin telefon sau prin e‑mail/SMS, informații cu privire la oferte din domeniul de activitate comercială al unor sponsori sau parteneri, pe care, dacă nu îi numesc eu aici, îi va selecta organizatorul. Pot revoca acest acord oricând. Informații suplimentare în legătură cu acest aspect, pot fi găsite aici”.

25. A doua mențiune explicativă, a cărei casetă era selectată din oficiu, avea următorul conținut:

„Sunt de acord cu utilizarea, în cazul meu, a serviciului de analiză web Remintrex, ceea ce înseamnă că organizatorul jocului promoțional, societatea Planet49 GmbH, va instala cookie‑uri, după înregistrarea mea în cadrul jocului de noroc, ceea ce îi va permite să exploateze cu ajutorul Remontrex navigările mele pe internet și vizitele mele pe site‑urile de internet ale partenerilor publicitari și, astfel, să îmi adreseze publicitate axată pe interesele mele. Pot șterge din nou cookie‑urile în orice moment. Puteți citi mai multe detalii în legătură cu acest aspect aici”.

26. Participarea la jocul de noroc era posibilă numai după bifarea cel puțin a primei casete de selectare.

27. Linkul care figura în prima mențiune explicativă sub cuvintele „sponsori și parteneri” și „aici” conducea la o listă care cuprindea 57 de societăți, adresele acestora, domeniul de activitate care trebuia promovat și modul de comunicare utilizat pentru publicitate (e‑mail, poștă sau telefon), precum și cuvântul subliniat „dezabonează”, care figura după denumirea fiecărei societăți. Lista era precedată de următoarea indicație:

„Prin accesarea linkului «dezabonează», decid ca partenerul/sponsorul menționat să nu primească permisiunea să îmi poată transmite informații publicitare. În situația în care nu m‑am dezabonat de la niciunul dintre parteneri/sponsori sau dacă nu m‑am dezabonat de la un număr suficient de mare de parteneri/sponsori, Planet49 va selecta, în mod discreționar, în numele meu, un număr maxim de 30 de parteneri/sponsori”.

28. Atunci când era accesat linkul electronic care figura în cea de a doua mențiune explicativă sub cuvântul „aici” erau afișate următoarele informații:

„Cookie‑urile cu denumirea ceng_cache, ceng_etag, ceng_png și gcr sunt mici fișiere dedicate care se stochează pe hard disk cu ajutorul browserului utilizat de dumneavoastră și prin intermediul cărora se transmit anumite informații care permit efectuarea unei publicități mai prietenoase pentru utilizator și mai eficiente. Cookie‑urile includ un anumit număr generat în mod aleatoriu (ID) care este atribuit concomitent și datelor dumneavoastră de înregistrare. În cazul în care veți vizita în continuare pagina de internet a unui partener publicitar înregistrat în cadrul Remintrex (pentru a verifica existența unei înregistrări, vă rugăm să consultați declarația privind protecția datelor dată de partenerul publicitar), se va consemna în mod automat, pe baza unei etichete IFrame introduse acolo de Remintrex faptul că dumneavoastră (mai precis utilizatorul cu ID‑ul stocat) ați vizitat pagina de internet respectivă, produsul pentru care ați manifestat interes, precum și dacă s‑a încheiat o tranzacție cu privire la acest produs.

În continuare, pe baza acordului cu privire la primirea de publicitate exprimat cu ocazia înregistrării în cadrul jocului de noroc, Planet49 GmbH vă poate transmite prin e‑mail mesaje publicitare care țin cont de interesele dumneavoastră, manifestate pe pagina de internet a partenerului publicitar. După revocarea permisiunii de a transmite mesaje publicitare, veți înceta desigur să primiți publicitate prin e‑mail.

Informațiile transmise prin intermediul acestor cookie‑uri se utilizează exclusiv în scopul publicității la produsele partenerului publicitar. Informațiile se colectează, se stochează și se utilizează separat, pentru fiecare partener publicitar. Nu se vor întocmi în niciun caz profiluri ale utilizatorilor pentru mai mulți parteneri publicitari. Niciunul dintre aceștia din urmă nu va primi date cu caracter personal.

În măsura în care nu vă mai interesează utilizarea cookie‑urilor, le puteți șterge oricând prin intermediul browserului dumneavoastră. Veți găsi instrucțiuni în acest sens în cadrul funcției de ajutor a acestuia.

Prin intermediul cookie‑urilor nu este posibilă executarea unor programe sau transmiterea unor viruși.

Aveți desigur posibilitatea să revocați acest acord oricând, printr‑o scrisoare adresată societății PLANET49 GmbH [adresă]. Cu toate acestea, este suficient și să se transmită un e‑mail către serviciul clienți [adresa de e‑mail]”.

29. Reclamanta din procedura principală, Bundesverband der Verbraucherzentralen (Federația germană a organizațiilor de consumatori, denumită în continuare „federația”) este înscrisă pe lista organismelor competente în temeiul articolului 4 din Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Legea privind acțiunile în încetare în cazul încălcării dreptului consumatorilor sau a altor drepturi, denumită în continuare „UKlaG”). Potrivit federației, declarațiile de consimțământ mai sus menționate utilizate de Planet49 nu îndeplineau condițiile cerute de dispozițiile articolului 307 din BGB, ale articolului 7 alineatul (2) punctul 2 din UWG și ale articolului 12 și următoarele din TMG. Somația extrajudiciară comunicată în acest sens a rămas fără rezultat.

30. Federația a inițiat o procedură în fața Landgericht Frankfurt am Main (Tribunalul regional din Frankfurt pe Main, Germania) solicitând ca Planet49 să înceteze să utilizeze clauzele mai sus menționate(12) și să se oblige această societate să îi plătească suma de 214 EUR majorată cu dobânzi începând cu 15 martie 2014.

31. Landgericht Frankfurt am Main (Tribunalul regional din Frankfurt pe Main) a admis anumite motive ale cererii și a respins cererea în ceea ce privește restul motivelor. Ca urmare a unui apel(13) introdus în fața Oberlandesgericht Frankfurt am Main (Tribunalul regional din Frankfurt pe Main), Bundesgerichtshof (Curtea Federală de Justiție) a fost sesizată cu un recurs(14).

32. Bundesgerichtshof (Curtea Federală de Justiție) consideră că succesul recursului depinde de interpretarea articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 litera (h) din Directiva 95/46, precum și a Articolul 6 alineatul (1) litera (a) din Regulamentul 2016/679 și a adresat Curții următoarele întrebări preliminare:

„(1) a) Se consideră că există un consimțământ valabil, în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva 2002/58/CE, coroborat cu articolul 2 litera (h) din Directiva 95/46/CE, atunci când stocarea de informații sau dobândirea accesului la informații deja stocate în echipamentul terminal al utilizatorului este permisă pe baza unei casete de selectare predefinite, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul vizat?

b) În cazul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58/CE, coroborat cu articolul 2 litera (h) din Directiva 95/46/CE, prezintă relevanță aspectul dacă informațiile stocate sau accesate constituie date cu caracter personal?

c) În condițiile menționate la întrebarea preliminară 1 a), există un consimțământ valabil în sensul articolului 6 alineatul (1) litera (a) din Regulamentul (UE) nr. 2016/679?

(2) În conformitate cu articolul 5 alineatul (3) din Directiva 2002/58/CE, ce date trebuie să comunice furnizorul de servicii utilizatorului, astfel încât acestea să constituie informații clare și complete în sensul acestei dispoziții? Este obligatoriu ca aceste date să se refere și la durata de funcționare a cookie‑urilor și la aspectul dacă terții pot să dobândească acces la acestea?”

33. Decizia de trimitere a fost primită de Curte la 30 noiembrie 2017. Planet49, federația, guvernele portughez și italian, precum și Comisia Europeană au depus observații scrise. La 13 noiembrie 2018 a avut loc o ședință la care au participat Planet49, federația, guvernul german și Comisia.

IV. Apreciere

34. Ambele întrebări formulate de Bundesgerichtshof (Curtea Federală de Justiție) cu titlu preliminar se referă la consimțământul acordat pentru stocarea informațiilor și pentru dobândirea accesului la informațiile deja stocate în echipamentul terminal al utilizatorului, și anume la consimțământul primirii de cookie‑uri, în contextul specific al dispozițiilor Directivei 2002/58, interpretate coroborat cu cele ale Directivei 95/46 sau ale Regulamentului 2016/679.

35. Cu titlu de observații preliminare, considerăm că este util să furnizăm câteva precizări de natură factuală în ceea ce privește fenomenul cookie‑urilor și în ceea ce privește terminologia aferentă, precum și o clarificare juridică cu privire la instrumentele juridice aplicabile cauzei în litigiu.

A. Observații preliminare

1. Cu privire la cookie‑uri

36. Un cookie reprezintă o modalitate de colectare a informațiilor generate de un site internet și salvată de browserul unui utilizator de internet(15). Acesta reprezintă o mică cantitate de date sau de fișier conținând text, a cărui mărime nu depășește în general un kilobyte, pe care un site internet îl solicită browserului unui utilizator de internet să îl stocheze pe hard disk‑ul local al calculatorului sau al aparatului mobil al utilizatorului(16).

37. Un cookie permite site‑ului internet să „memoreze” acțiunile sau preferințele utilizatorului de‑a lungul timpului. Majoritatea browserelor de internet acceptă cookie‑urile, însă utilizatorii își pot configura browserele atât pentru a le refuza, cât și pentru a le șterge oricând doresc acest lucru. De fapt, mulți utilizatori își configurează setările prestabilite ale cookie‑urilor în browserele lor pentru a șterge automat cookie‑urile implicit, atunci când fereastra browserului este închisă. Acestea fiind spuse, dovezile empirice demonstrează în mod masiv că utilizatorii de internet modifică arareori setările prestabilite din oficiu, fenomen cunoscut sub denumirea de „inerție implicită”(17).

38. Site‑urile internet utilizează cookie‑uri în scopul identificării utilizatorilor, prin memorarea preferințele lor și permițând acestora să‑și îndeplinească sarcinile fără a trebui să introducă din nou informațiile atunci când navighează de la o pagină la alta sau atunci când vizitează site‑ul ulterior.

39. Cookie‑urile pot fi de asemenea utilizate pentru a colecta informații în scopul adaptării publicității și marketingului la comportamentele online(18). De exemplu, societățile utilizează programe software pentru a urmări comportamentul utilizatorilor și pentru a stabili profile de utilizatori, ceea ce permite prezentarea către aceștia din urmă de materiale publicitare pertinente în raport cu căutările lor anterioare(19).

40. Există diferite tipuri de cookie‑uri, printre care cele clasificate în funcție de durata lor de viață (de exemplu cookie‑urile de sesiune și cookie‑urile persistente) și cele bazate pe domeniul căruia îi aparține cookie‑ul (de exemplu, cookie‑urile proprietare și cookie‑urile terțe)(20). Atunci când serverul web care furnizează pagina web stochează cookie‑uri pe calculatorul sau pe aparatul mobil al utilizatorului, acestea sunt cunoscute sub numele de cookie‑uri „http”(21). Un alt mod de a stoca cookie‑uri este prin utilizarea codului JavaScript care figurează sau care este menționat în această pagină(22). Totuși, valabilitatea consimțământului cu privire la instalarea cookie‑urilor și aplicabilitatea eventualelor excepții pertinente trebuie să se aprecieze ținând cont nu de caracteristicile tehnice ale cookie‑ului, ci de scopul acestuia(23).

2. Cu privire la instrumentele juridice aplicabile

41. Cadrul legislativ aplicabil procedurii principale a evoluat de‑a lungul anilor, până la intrare în vigoare, mai recent, a Regulamentului 2016/679.

42. În prezenta cauză sunt aplicabile două serii de instrumente juridice ale Uniunii. În primul rând, Directiva 95/46 și Regulamentul 2016/679. În al doilea rând, Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136(24).

43. Am dori să facem două observații cu privire la aceste două serii de instrumente.

44. Prima observație se referă la aplicabilitatea Directivei 95/46 și a Regulamentului nr. 2016/679.

45. Regulamentul 2016/679, care a fost aplicabil de la 25 mai 2018(25), a abrogat Directiva 95/46 cu efect de la aceeași dată(26).

46. Această dată de 25 mai 2018 este ulterioară ultimei ședințe desfășurate în fața instanței de trimitere, la 14 iulie 2017, precum și datei de 5 octombrie 2017, când Curtea a fost sesizată cu prezenta cauză în scopul pronunțării unei hotărâri preliminare.

47. Prin urmare, pentru situațiile anterioare datei de 25 mai 2018, legislația aplicabilă este Directiva 2002/58 împreună cu Directiva 95/46, în timp ce pentru situațiile apărute începând cu data de 25 mai 2018, legislația aplicabilă este Directiva 2002/58 împreună cu Regulamentul 2016/679.

48. Dat fiind că federația dorește ca prin acțiunea în anulare(27) să împiedice Planet49 să repete comportamentul său în viitor, Regulamentul 2016/679 este aplicabil în prezenta cauză. Pentru a se pronunța asupra recursului în anulare cu efecte aplicabile pentru viitor, Bundesgerichtshof (Curtea Federală de Justiție) va trebui, așadar, să țină cont de cerințele Regulamentului 2016/679. În acest sens, guvernul german subliniază jurisprudența națională constantă referitoare la situația juridică relevantă în materie de acțiuni în anulare(28).

49. Prin urmare, este necesar să se răspundă la întrebarea adresată atât în raport cu Directiva 95/46, cât și cu Regulamentul 2016/679(29).

50. În plus, trebuie menționat că trimiterile făcute în Directiva 2002/58 la Directiva 95/46 se interpretează ca trimiteri la Regulamentul 2016/679(30).

51. A doua observație se referă la evoluția articolului 5 alineatul (3) din Directiva 2002/58.

52. Directiva 2002/58 urmărește să asigure respectarea deplină a drepturilor prevăzute în Carta drepturilor fundamentale a Uniunii Europene și în special a celor prevăzute la articolele 7 și 8 din aceasta(31). Articolul 5 din această directivă urmărește să asigure „confidențialitatea comunicațiilor”. Mai precis, articolul 5 alineatul (3) reglementează utilizarea cookie‑urilor și stabilește cerințele care trebuie respectate înainte ca datele să poată fi stocate sau accesate pe calculatorul unui utilizator prin instalarea unui cookie.

53. Directiva 2009/136 a introdus importante modificări în ceea ce privește cerințele privind acordarea consimțământului prevăzute la articolul 5 alineatul (3) din Directiva 2002/58 pentru a întări protecția utilizatorilor. Înainte de modificările introduse prin această directivă, articolul 5 alineatul (3) impunea doar ca utilizatorii să aibă dreptul să refuze („opt‑out”), în deplină cunoștință, prelucrarea datelor prin intermediul cookie‑urilor. Cu alte cuvinte, potrivit versiunii inițiale a articolului 5 alineatul (3), atunci când stoca informații pe echipamentul terminal al utilizatorului sau dobândea acces la informațiile stocate pe acesta, furnizorul de servicii nu avea numai obligația informării clare și complete a utilizatorului în special cu privire la scopul prelucrării datelor, ci și obligația de a‑i acorda acestuia dreptul de a refuza o astfel de prelucrare.

54. Directiva 2009/136 a înlocuit această cerință de informare în legătură cu dreptul de refuz cu cerința ca „abonatul sau utilizatorul în cauză să își fi dat acordul”, ceea ce înseamnă că aceasta a înlocuit regimul mai ușor de respectat al dreptului de a renunța (opt‑out) în mod informat cu regimul acordării consimțământului (opt‑in) informat. Sub rezerva unei excepții foarte limitate care nu se aplică prezentei cauze(32), utilizarea de cookie‑uri prevăzută la articolul 5 alineatul (3) din Directiva 2002/58, astfel cum acesta a fost modificat, este permisă doar dacă utilizatorul și‑a dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46/CE, cu privire la motivul pentru care datele sale sunt urmărite, și anume cu privire la scopurile prelucrării(33).

55. După cum vom arăta în detaliu mai jos, scopul obligației de furnizare a informațiilor prevăzute la articolul 5 alineatul (3) din Directiva 2002/58 reprezintă esența cauzei în litigiu, în special în contextul setărilor stabilite din oficiu pentru activitățile desfășurate online.

B. Prima întrebare

56. Prin intermediul primei sale întrebări, litera a), instanța de trimitere dorește să afle dacă consimțământul prevăzut la articolul 5 alineatul (3) și la articolul 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 litera (h) din Directiva 95/46 este valabil dat atunci când stocarea de informații sau accesul la informații deja stocate în echipamentul terminal al utilizatorului este autorizată prin intermediul unei casete selectate din oficiu, pe care utilizatorul trebuie să o deselecteze pentru a refuza să își dea consimțământul. În acest sens, instanța de trimitere se întreabă dacă întrebarea se analizează în mod diferit în funcție de aspectul dacă informațiile stocate sau accesate reprezintă sau nu reprezintă date cu caracter personal [prima întrebare, litera b)]. În sfârșit, instanța de trimitere ar dori să afle dacă, în circumstanțele descrise mai sus, consimțământul în sensul articolului 6 alineatul (1) litera (a) din Regulamentul 2016/679 este dat în mod valabil [prima întrebare, litera c)].

1. Cu privire la consimțământul dat în mod liber și informat

57. Consimțământul este una dintre caracteristicile care stau la baza dreptului Uniunii în materie de protecție a datelor.

58. Înainte de a aborda chestiunea specifică a cookie‑urilor, am dori să stabilim principiile generale care decurg din instrumentele juridice aplicabile în ceea ce privește acordarea consimțământului.

a) În temeiul Directivei 95/46

1) Consimțământul activ

59. Din dispozițiile Directivei 95/46 deducem că consimțământul trebuie să fie manifestat în mod activ(34).

60. Articolul 2 litera (h) din Directiva 95/46 face referire la o manifestare de voință a persoanei în cauză, ceea ce indică în mod clar un comportament activ, mai degrabă decât unul pasiv. Pe lângă acest lucru, articolul 7 litera (a) din Directiva 95/46, care se referă la criteriile care trebuie respectate pentru a legitima prelucrarea datelor (cu caracter personal), prevede că persoana în cauză și‑a dat consimțământul fără echivoc. Din nou, ambiguitatea nu poate fi înlăturată decât printr‑un comportament activ, iar nu printr‑un comportament pasiv.

61. Deducem din acest lucru că nu este suficient în acest sens ca declarația privind consimțământul utilizatorului să fie în prealabil formulată și ca utilizatorul să fie obligat să se opună în mod activ atunci când acesta nu este de acord cu prelucrarea datelor.

62. Astfel, în această ultimă situație, nu se știe dacă un astfel de text formulat în prealabil a fost citit și înțeles. Situația nu este lipsită de ambiguitate. Un utilizator poate sau nu poate să fi citit textul. Acesta poate să fi omis să facă acest lucru din pură neglijență. Într‑o astfel de situație, nu se poate stabili dacă consimțământul a fost acordat în mod liber.

2) Consimțământul distinct

63. Strâns legată de cerința consimțământului activ este cea a consimțământului distinct(35).

64. Am putea susține, la fel cum procedează societatea Planet49, că consimțământul este în mod valabil dat de persoana în cauză nu numai atunci când aceasta nu deselectează o declarație de consimțământ formulată în prealabil, ci și atunci când aceasta „selectează” în mod activ butonul de participare la jocul de noroc desfășurat online.

65. Nu suntem de acord cu o astfel de interpretare.

66. Pentru ca un consimțământ să fie „liber” și „informat”, trebuie ca acesta să fie nu doar activ, ci și distinct. Activitatea pe care un utilizator o întreprinde pe internet (citirea unei pagini web, participarea la un joc de noroc, vizionarea unui videoclip etc.) și manifestarea consimțământului nu pot face parte din același act. În particular, din perspectiva utilizatorului, manifestarea consimțământului nu poate prezenta un caracter auxiliar în raport cu participarea la un joc de noroc. Cele două acțiuni trebuie să fie prezentate pe picior de egalitate, în special din punct de vedere vizual. Prin urmare, ni se pare îndoielnic ca un ansamblu de declarații de intenție, care ar include manifestarea consimțământului, să fie conforme cu noțiunea de consimțământ în temeiul Directivei 95/46.

3) Obligația de a furniza informații complete

67. În acest context, un utilizator trebuie să știe foarte clar dacă activitatea pe care o desfășoară pe internet este condiționată de manifestarea consimțământului. Un utilizator trebuie să fie în situația de a aprecia în ce măsură este dispus să își comunice datele pentru a‑și desfășura activitatea pe internet. Nu trebuie să existe în acest sens nici cea mai mică ambiguitate(36). Un utilizator trebuie să știe dacă și, în caz afirmativ, în ce măsură manifestarea consimțământului său are influență asupra activității pe care acesta o desfășoară pe internet.

b) În temeiul Regulamentului 2016/679

68. Principiile stabilite mai sus sunt valabile și în ceea ce privește Regulamentul 2016/679.

69. Articolul 4 punctul 11 din Regulamentul 2016/679 definește consimțământul persoanei vizate ca însemnând orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr‑o declarație sau printr‑o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate.

70. Trebuie precizat că această definiție este mai strictă decât cea prevăzută la articolul 2 litera (h) din Directiva 95/46 prin faptul că impune o manifestare de voință clară a persoanei în cauză și o acțiune neechivocă care reprezintă acordul său cu privire la prelucrarea datelor cu caracter personal.

71. În plus, considerentele Regulamentului 2016/679 sunt deosebit de edificatoare. Dat fiind că vom face în mare măsură referire la aceste considerente(37), ne vedem nevoiți să reamintim că, deși acestea nu au cu siguranță nicio valoare juridică de sine stătătoare(38), Curtea a recurs în mod frecvent la acestea în interpretarea dispozițiilor unui act juridic al Uniunii. În ordinea juridică a Uniunii, considerentele sunt de natură descriptivă, iar nu normativă. Astfel, problema valorii lor juridice nu se ridică în mod obișnuit pentru simplul motiv că considerentele se reflectă în general în dispozițiile juridice ale unei directive. Regulile de bună practică legislativă ale instituțiilor politice ale Uniunii tind să urmărească situația în care considerentele furnizează un cadru util pentru dispozițiile unui text juridic(39).

72. Potrivit considerentului (32) al Regulamentului 2016/679, consimțământul ar trebui acordat printr‑o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal. Acesta ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal. Prin urmare, absența unui răspuns, căsuțele bifate în prealabil sau absența unei acțiuni nu ar trebui să constituie un consimțământ.

73. Prin urmare, consimțământul activ este în prezent prevăzut în mod expres prin Regulamentul 2016/679.

74. În plus, considerentul (43) al acestui regulament enunță că, pentru a garanta faptul că a fost acordat în mod liber, consimțământul nu ar trebui să constituie un temei juridic valabil pentru prelucrarea datelor cu caracter personal în cazul particular în care există un dezechilibru evident între persoana vizată și operator, în special în cazul în care operatorul este o autoritate publică, iar acest lucru face improbabilă acordarea consimțământului în mod liber în toate circumstanțele aferente respectivei situații particulare. Consimțământul este considerat a nu fi acordat în mod liber în cazul în care nu se permite să se acorde consimțământul separat pentru diferitele operațiuni de prelucrare a datelor cu caracter personal, deși acest lucru este adecvat în cazul particular, sau dacă executarea unui contract, inclusiv furnizarea unui serviciu, este condiționată de consimțământ, în pofida faptului că consimțământul în cauză nu este necesar pentru executarea contractului.

75. Prin urmare, necesitatea unui consimțământ distinct este în prezent explicit subliniată în acest considerent.

c) În temeiul Directivei 2002/58 – cazul cookie‑urilor

76. În conformitate cu articolul 5 alineatul (3) din Directiva 2002/58, statele membre trebuie să se asigure că stocarea sau accesarea informațiilor deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46, inter alia, cu privire la scopul prelucrării.

77. Această dispoziție nu stabilește niciun alt criteriu referitor la noțiunea de consimțământ.

78. Cu toate acestea, considerentele Directivei 2002/58 și ale Directivei 2009/136 furnizează orientări referitoare la consimțământ în ceea ce privește cookie‑urile.

79. Astfel, considerentul (17) al Directivei 2002/58 arată faptul că consimțământul poate fi acordat prin orice metodă potrivită acestui scop, care oferă indicații specifice și clare, acordate prin proprie voință, despre dorința utilizatorului, inclusiv prin bifarea unei căsuțe la vizitarea unui site Internet(40).

80. În plus, considerentul (66) al Directivei 2009/136 explică importanța capitală ca utilizatorilor să li se furnizeze informații clare și complete în momentul în care doresc să efectueze o activitate care poate rezulta în stocarea informațiilor cu privire la echipamentul unui utilizator sau în obținerea accesului la informațiile deja stocate, precum și faptul că metodele folosite pentru furnizarea informațiilor și oferirea dreptului de refuz ar trebui să fie cât mai prietenoase cu putință.

81. În acest sens, am dori de asemenea să atragem atenția asupra lucrărilor care nu sunt obligatorii, dar care au totuși caracter edificator, ale grupului de lucru „articolul 29” în ceea ce privește prelucrarea datelor cu caracter personal (denumit în continuare „grupul de lucru «articolul 29»”)(41), potrivit cărora consimțământul presupune o acțiune prealabilă fără echivoc a utilizatorilor referitoare la acceptarea stocării cookie‑ului și la utilizarea cookie‑ului(42). Același grup de lucru arată că noțiunea de „manifestare a voinței” implică în mod necesar o acțiune(43). Alte elemente ale definiției noțiunii de consimțământ, precum și cerința suplimentară prevăzută la articolul 7 litera (a) din Directiva 95/46, potrivit căreia consimțământul trebuie să fie neechivoc, susțin această interpretare(44). Cerința potrivit căreia persoana vizată trebuie să își „dea” consimțământul arată faptul că simpla lipsă a acțiunii este insuficientă și că este necesară o oarecare acțiune pentru a da naștere unui consimțământ, deși sunt posibile diferite tipuri de acțiune care trebuie apreciate „în funcție de context”(45).

2. Aplicabilitatea la cauza în litigiu

82. Am dori acum să aplicăm aceste criterii la cauza în litigiu. În acest sens, vom examina mai întâi prima întrebare literele a) și c), și anume întrebarea dacă consimțământul a fost valabil exprimat în ceea ce privește instalarea și accesul la cookie‑uri. Acest lucru se referă la a doua casetă de selectare.

83. În plus, având în vedere că, după cum tocmai a fost stabilit, cerințele în materie de consimțământ nu diferă foarte mult în ceea ce privește cookie‑urile și, cu titlu mai general, în ceea ce privește prelucrarea datelor cu caracter personal, atât din motive de exhaustivitate, cât și din motive de claritate, chiar dacă întrebarea instanței de trimitere nu se referă în mod explicit la acest aspect, pentru interpretarea corectă și uniformă a dreptului Uniunii, considerăm că este necesar să analizăm succint dacă consimțământul a fost valabil exprimat în ceea ce privește prelucrarea datelor cu caracter personal în contextul primei casete de selectare. Înțeleg de asemenea că, în cadrul procedurii cu care a fost sesizată, Bundesgerichtshof (Curtea Federală de Justiție) va trebui să se pronunțe cu privire la prima casetă de selectare(46).

a) A doua casetă de selectare – prima întrebare literele a) și c)

84. Instanța de trimitere se întreabă dacă există un consimțământ valabil, în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 litera (h) din Directiva 95/46, atunci când stocarea de informații sau dobândirea accesului la informații deja stocate în echipamentul terminal al utilizatorului este permisă pe baza unei casete de selectare predefinite, pe care utilizatorul trebuie să o debifeze în cazul în care refuză să își dea consimțământul vizat.

85. Pentru a răspunde la această întrebare, termenii esențiali ai articolului 2 litera (h) din Directiva 95/46 și ai articolului 4 punctul 11 din Regulamentul 2016/679 sunt „liberă” și „informată”. Se ridică întrebarea dacă, într‑o situație precum cea descrisă de instanța de trimitere, consimțământul poate fi acordat liber și în mod informat.

86. Planet49 consideră că această situație se regăsește în speță. Toate celelalte părți(47) contestă acest lucru. În acest context, dezbaterea juridică dintre părți s‑a axat esențial pe aspectul dacă bifarea sau debifarea unei casete de selectare care era deja bifată din oficiu îndeplinește aceste cerințe. Dezbaterea se axează în jurul chestiunii caracterului activ sau pasiv al acțiunii. Cu toate acestea, acest aspect, oricât de important ar fi, nu reprezintă decât o parte a cerințelor, întrucât abordează doar cerința consimțământului activ, însă nu și aceea a consimțământului distinct.

87. În opinia noastră, pe baza criteriilor stabilite mai sus, răspunsul este acela că, în cauza în litigiu, consimțământul nu a fost dat în mod valabil.

88. În primul rând, a obliga un utilizator să deselecteze în mod explicit o casetă și, prin urmare, aceasta să devină activă în cazul în care acesta nu este de acord cu instalarea cookie‑urilor nu îndeplinește criteriul consimțământului activ. Într‑o astfel de situație, este practic imposibil să se stabilească în mod obiectiv dacă un utilizator și‑a dat sau nu și‑a dat consimțământul pe baza unei decizii adoptate în mod liber și informate. În schimb, a solicita unui utilizator să selecteze o casetă face ca o astfel de afirmație să fie mult mai plauzibilă.

89. În al doilea rând și mult mai important, participarea la jocul de noroc online și acordarea consimțământului cu privire la instalarea de cookie‑uri nu pot face parte din aceeași acțiune. Însă exact aceasta este situația în prezenta procedură. În final, utilizatorul nu apasă decât o singură dată pe butonul de participare pentru a participa la jocul de noroc. În același timp, acesta își dă consimțământul cu privire la instalarea cookie‑urilor. Două manifestări ale voinței (participarea la jocul de noroc și acordarea consimțământului la instalarea cookie‑urilor) sunt formulate în același timp. Aceste două manifestări de voință nu pot avea loc amândouă prin apăsarea aceluiași buton de participare. Astfel, în prezenta cauză, acordarea consimțământului cu privire la instalarea cookie‑urilor pare să aibă un caracter accesoriu, în sensul că nu este deloc clar faptul că acesta face parte dintr‑o acțiune distinctă. Altfel spus, (lipsa) bifării casetei de selectare referitoare la cookie‑uri pare a fi un fel de act pregătitor actului final și obligatoriu din punct de vedere juridic care constă în „apăsarea” butonului de participare.

90. Într‑o astfel de situație, un utilizator nu este în măsură să își dea în mod liber consimțământul distinct în ceea ce privește stocarea informațiilor sau în ceea ce privește accesul la informații deja stocate în echipamentul său terminal.

91. În plus, s‑a stabilit mai sus faptul că participarea la jocul de noroc era posibilă numai dacă era selectată cel puțin prima casetă de selectare. Prin urmare, participarea la jocul de noroc nu era condiționată(48) de acordarea consimțământului cu privire la instalarea și la obținerea accesului la cookie‑uri. Astfel, un utilizator ar fi putut la fel de bine să bifeze (doar) prima casetă de selectare.

92. Din câte știm însă, utilizatorul nu a fost niciodată informat despre aceasta. Acest lucru nu îndeplinește criteriile referitoare la obligația de informare deplină a utilizatorilor stabilite mai sus.

93. În concluzie, propunem ca răspunsul la întrebarea 1 literele a) și c) să fie acela că nu există un consimțământ valabil exprimat în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 alineatul (h) din Directiva 95/46, într‑o situație precum cea din procedura principală, în care stocarea de informații sau accesul la informații deja stocate în echipamentul terminal al utilizatorului este permisă prin intermediul unei casete de selectare bifate în prealabil pe care utilizatorul trebuie să o debifeze pentru a refuza să își dea consimțământul și în care consimțământul nu este dat în mod distinct, ci în același timp cu confirmarea participării la un joc de noroc desfășurat online. Același lucru este valabil și în ceea ce privește interpretarea articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58 coroborat cu articolul 4 punctul 11 din Regulamentul 2016/679.

b) Prima casetă de selectare

94. Deși întrebările adresate de instanța de trimitere se referă doar la a doua casetă de selectare, am dori să facem două observații specifice în legătură cu prima casetă de selectare, care ar putea fi utile instanței de trimitere în pronunțarea hotărârii sale finale.

95. Pentru a reaminti, prima casetă de selectare nu se referă la cookie‑uri, ci doar la prelucrarea datelor cu caracter personal. În prezenta cauză, un utilizator este de acord nu doar ca informațiile să fie stocate pe echipamentul său, ci și (pur și simplu) să fie contactat de o listă de societăți prin poștă, prin telefon sau prin e‑mail.

96. În primul rând, criteriile referitoare la consimțământul activ și distinct, precum și la informarea completă se aplică fără îndoială și în ceea ce privește prima casetă de selectare. Consimțământul activ nu pare să ridice o problemă, din moment ce caseta de selectare nu este bifată în prealabil. În schimb, avem câteva îndoieli în ceea ce privește consimțământul distinct. Pe baza analizei expuse mai sus(49), în ceea ce privește faptele aferente prezentei cauze, ar fi preferabil dacă, generic vorbind, ar exista un buton separat care să fie apăsat(50), nu doar o simplă casetă care să fie bifată în scopul de exprimării consimțământului cu privire la prelucrarea datelor cu caracter personal.

97. În al doilea rând, în ceea ce privește prima casetă de selectare referitoare la contactarea de către sponsori și partenerii colaboratori, trebuie să se țină seama de articolul 7 alineatul (4) din Regulamentul 2016/679. Potrivit acestei dispoziții, atunci când se evaluează dacă consimțământul este dat în mod liber, se ține seama cât mai mult de împrejurarea dacă, printre altele, executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea acestui contract. Prin urmare, articolul 7 alineatul (4) din Regulamentul 2016/679 codifică în prezent o „interdicție de grupare” a celor două consimțăminte(51).

98. Astfel cum reiese din expresia „se ține seama cât mai mult de faptul că”, interdicția de grupare a celor două consimțăminte nu are caracter absolut(52).

99. În prezenta cauză, revine instanței competente să aprecieze dacă consimțământul cu privire la prelucrarea datelor cu caracter personal este necesar pentru participarea la jocul de noroc. În acest sens, trebuie avut în vedere faptul că scopul care stă la baza participării la jocul de noroc este „vânzarea” datelor cu caracter personal (adică acceptul de a fi contactat de așa‑numiții „sponsori” pentru prezentarea de oferte promoționale). Cu alte cuvinte, furnizarea datelor cu caracter personal este ceea ce constituie principala obligație a utilizatorului pentru participarea la jocul de noroc. Într‑o astfel de situație, considerăm că prelucrarea acestor date cu caracter personal este necesară pentru participarea la jocul de noroc(53).

3. Cu privire la datele cu caracter personal [prima întrebare litera b)]

100. Am dori acum să analizăm dacă, în scopul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 litera (h) din Directiva 95/46, are importanță faptul că informațiile stocate sau accesate reprezintă date cu caracter personal.

101. Această întrebare este cel mai bine înțeleasă în contextul dreptului german care transpune articolul 5 alineatul (3) din Directiva 2002/58(54). De fapt, dreptul german stabilește o diferență între colectarea și utilizarea datelor cu caracter personal și cea a altor date.

102. În temeiul articolului 12 alineatul (1) din TMG, un furnizor de servicii poate colecta și utiliza date cu caracter personal numai în cazul în care, printre altele, utilizatorul și‑a dat consimțământul cu privire la acest lucru.

103. În schimb, conform articolului 15 alineatul (3) din TMG, un furnizor de servicii poate crea profiluri de utilizator prin intermediul pseudonimelor, printre altele, în scopuri publicitare și de cercetare a pieței, cu condiția ca utilizatorul să nu se opună acestui lucru. Prin urmare, în măsura în care nu este vorba despre date cu caracter personal, cerința este mai puțin strictă în temeiul dreptului german: nu este necesar consimțământul, ci doar lipsa de obiecție.

104. Noțiunea de date cu caracter personal este definită din punct de vedere juridic la articolul 4 punctul 1 din Regulamentul 2016/679 ca însemnând „orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată»); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale”.

105. Considerăm că este neîndoielnic faptul că, în ceea ce privește cauza în litigiu, „informațiile” menționate la articolul 5 alineatul (3) din Directiva 2002/58 reprezintă „date cu caracter personal”. Acesta pare a fi și punctul de vedere al instanței de trimitere care arată în mod explicit în decizia sa de trimitere că accesul la date cu ajutorul cookie‑urilor utilizate de pârâtă este supus cerinței consimțământului prevăzute la articolul 12 alineatul (1) din TMG, întrucât datele în discuție în cauză reprezintă date cu caracter personal(55). În plus, părțile din procedura principală nu par să conteste faptul că în speță avem de a face cu date cu caracter personal.

106. Prin urmare, s‑ar putea pune la îndoială pertinența acestei întrebări pentru cauza în litigiu, precum și aspectul dacă aceasta nu este ipotetică(56).

107. Oricum ar fi, considerăm că răspunsul la această întrebare este foarte simplu: nu are importanță dacă informațiile stocate sau accesate constituie date cu caracter personal. Articolul 5 alineatul (3) din Directiva 2002/58 se referă la „[stocarea] sau [la accesarea de] informații [deja] stocate”(57). Este clar că orice astfel de informații au un caracter confidențial, indiferent de aspectul dacă acestea reprezintă sau nu reprezintă „date cu caracter personal” în sensul articolului 4 punctul 1 din Regulamentul 2016/679. Astfel cum subliniază în mod întemeiat Comisia, articolul 5 alineatul (3) din Directiva 2002/58 urmărește să protejeze utilizatorul de orice ingerință în sfera sa privată, indiferent dacă această ingerință se referă la date cu caracter personal sau la alte date.

108. O astfel de interpretare a articolului 5 alineatul (3) din Directiva 2002/58 este confirmată în plus de considerentele (24)(58) și (25)(59) ale acestei directive, precum și de avizele grupului de lucru „articolul 29”. Astfel, potrivit acestui grup de lucru, „articolul 5 alineatul (3) se aplică «informațiilor» (stocate și/sau accesate). Acesta nu definește astfel de informații. Faptul că acestea din urmă reprezintă date cu caracter personal în sensul Directivei 95/46 nu constituie o condiție prealabilă pentru aplicarea acestei dispoziții”(60).

109. Prin urmare, se pare că articolul 15 alineatul (3) din TMG nu transpune pe deplin cerințele prevăzute la articolul 5 alineatul (3) din Directiva 2002/58 în dreptul german(61).

110. Prin urmare, propunem ca răspunsul la prima întrebare litera b) să fie acela că, în scopul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 litera (h) din Directiva 95/46, nu prezintă importanță dacă informațiile stocate sau accesate reprezintă date cu caracter personal.

C. A doua întrebare

111. Prin intermediul celei de a doua întrebări, instanța de trimitere dorește să afle care sunt informațiile pe care trebuie să le ofere furnizorul de servicii utilizatorului în cadrul obligației de furnizare a informațiilor clare și complete, în conformitate cu articolul 5 alineatul (3) din Directiva 2002/58, precum și dacă această obligație include durata de funcționare a cookie‑urilor și aspectul dacă terților le este permis accesul la cookie‑uri.

1. Cu privire la furnizarea de informații clare și complete

112. Articolele 10 și 11 din Directiva 95/46 (precum și articolele 13 și 14 din Regulamentul 2016/679) prevăd obligația de a furniza informații persoanelor vizate. Această obligație de informare este legată de consimțământ în măsura în care informațiile trebuie întotdeauna să fie furnizate înainte ca un consimțământ să poată fi dat.

113. Având în vedere similitudinea noțiunii de utilizator de internet (și de furnizor) cu cea de consumator (și de comerciant)(62), am putea recurge în această etapă la noțiunea de consumator european mediu care este normal informat și suficient de atent și de avizat(63) și care este în măsură să ia decizia de a se angaja în deplină cunoștință de cauză(64).

114. Cu toate acestea, din cauza complexității tehnice a cookie‑urilor, a informării inegale care există între furnizor și utilizator și, cu titlu mai general, a lipsei relative de cunoștințe a oricărui utilizator de internet mediu, nu ne putem aștepta ca utilizatorul de internet mediu să aibă un nivel ridicat de cunoștințe în materie de funcționare a cookie‑urilor.

115. Astfel, o informare clară și completă presupune faptul că un utilizator este în măsură să poată stabili cu ușurință consecințele oricărui consimțământ pe care acesta l‑ar putea da. În acest scop, acesta trebuie să poată aprecia efectele acțiunilor sale. Informația furnizată trebuie să fie ușor de înțeles și să nu lase loc niciunei ambiguități sau interpretări. Acestea trebuie să fie suficient de detaliată pentru a permite utilizatorului să înțeleagă modul de funcționare a cookie‑urilor care sunt efectiv utilizate.

116. După cum sugerează în mod întemeiat instanța de trimitere, acest mod de funcționare cuprinde atât durata de funcționare a cookie‑urilor, cât și problema de a ști dacă terții au acces la cookie‑uri.

2. Cu privire la informațiile referitoare la durata de funcționare a cookie‑urilor

117. În temeiul considerentelor (23) și (26) ale Directivei 2002/58, durata de funcționare a cookie‑urilor constituie unul dintre elementele cerinței consimțământului informat, și anume că furnizorii de servicii trebuie „să‑și informeze întotdeauna abonații cu privire la tipurile de date pe care le prelucrează și la scopul și durata prelucrării”. Chiar dacă cookie‑ul este esențial, problema caracterului său intruziv trebuie să fie examinată în funcție de circumstanțele care îl înconjoară în scopul consimțământului. Pe lângă faptul de a dori să afle care sunt datele pe care le deține fiecare cookie și dacă acestea sunt legate de orice alte informații deținute în legătură cu utilizatorul, furnizorii de servicii trebuie să țină cont de durata de viață a cookie‑ului și de aspectul dacă această durată este adecvată în lumina scopului cookie‑ului.

118. Durata de funcționare a cookie‑urilor este legată de cerințele explicite privind un consimțământ informat referitoare la calitatea și la accesibilitatea informațiilor pentru utilizatori. Aceste informații sunt esențiale pentru a permite persoanelor în cauză să ia decizii în deplină cunoștință de cauză înainte de prelucrarea datelor lor(65). Astfel cum au susținut guvernele portughez și italian, dat fiind că datele colectate cu ajutorul cookie‑urilor trebuie eliminate odată ce acestea nu mai sunt necesare pentru a atinge scopul inițial, rezultă că perioada de stocare a datelor colectate trebuie comunicată în mod clar utilizatorului.

3. Cu privire la informațiile referitoare la accesul terților

119. În speță, Planet49 susține că, în cazul în care terții dobândesc acces la un cookie, utilizatorii trebuie să fie de asemenea informați despre acest lucru. Cu toate acestea, în cazul în care, la fel ca în cauza în litigiu, doar un furnizor care dorește să instaleze cookie‑ul are acces la acesta, este suficient să se atragă atenția asupra acestei împrejurări. Faptul că alți terți nu au acces la cookie nu trebuie să fie subliniat în mod distinct. O astfel de obligație nu ar fi compatibilă cu intenția legiuitorului, potrivit căreia dispozițiile privind protecția datelor trebuie să rămână concise și prietenoase pentru utilizator.

120. Nu putem fi de acord cu o astfel de interpretare. Dimpotrivă, pentru ca informațiile să fie clare și complete, un utilizator trebuie să fie în mod explicit informat în legătură cu aspectul dacă terții au sau nu au acces la cookie‑urile instalate. Iar în cazul în care terții au acces la acestea, identitatea lor trebuie să fie dezvăluită. Astfel cum subliniază în mod întemeiat federația, acest lucru este indispensabil pentru a asigura faptul că este furnizat un consimțământ informat.

4. Rezultat

121. Prin urmare, propunem ca răspunsul la cea de a doua întrebare să fie acela că informațiile clare și complete pe care un furnizor de servicii trebuie să le ofere unui utilizator în temeiul articolului 5 alineatul (3) din Directiva 2002/58 cuprind durata de funcționare a cookie‑urilor și aspectul dacă terții au sau nu au acces la cookie‑uri.

V. Concluzie

122. În lumina considerațiilor care precedă, propunem Curții să răspundă la întrebările preliminare adresate de Bundesgerichtshof (Curtea Federală de Justiție, Germania) după cum urmează:

„(1) Consimțământul în sensul articolului 5 alineatul (3) și al articolului 2 litera (f) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Directiva vieții private și a comunicațiilor electronice) coroborat cu articolul 2 litera (h) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date nu este dat în mod valabil într‑o situație precum cea din procedura principală, în care stocarea de informații sau accesul la informații deja stocate în echipamentul terminal al utilizatorului este permisă prin intermediul unei casete de selectare bifate în prealabil, pe care utilizatorul trebuie să o debifeze pentru a refuza să își dea consimțământul și în care consimțământul nu este dat în mod distinct, ci în același timp cu confirmarea participării la un joc de noroc desfășurat online.

(2) Același lucru este valabil și în ceea ce privește interpretarea articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 4 punctul 11 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor).

(3) În scopul aplicării articolului 5 alineatul (3) și a articolului 2 litera (f) din Directiva 2002/58, coroborat cu articolul 2 litera (h) din Directiva 95/46, nu prezintă importanță aspectul dacă informațiile stocate sau accesate constituie date cu caracter personal.

(4) Informațiile clare și complete pe care un furnizor de servicii trebuie să le ofere unui utilizator în temeiul articolului 5 alineatul (3) din Directiva 2002/58 cuprind durata de funcționare a cookie‑urilor și aspectul dacă terții au sau nu au acces la cookie‑uri.”

1 Limba originală: engleza.

2 Directiva Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

3 Regulamentul Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).

4 Adesea cunoscută sub numele de „Directiva vieții private și a comunicațiilor electronice”.

5 Directiva Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice (Directiva vieții private și a comunicațiilor electronice) (JO L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11).

6 JO 2002, L 108, p. 33.

7 Cunoscută adesea sub numele de „directiva cookie”.

8 Directiva Parlamentului European și a Consiliului din 25 noiembrie 2009 de modificare a Directivei 2002/22/CE privind serviciul universal și drepturile utilizatorilor cu privire la rețelele și serviciile de comunicații electronice, a Directivei 2002/58/CE și a Regulamentului (CE) nr. 2006/2004 privind cooperarea dintre autoritățile naționale însărcinate să asigure aplicarea legislației în materie de protecție a consumatorului (JO 2009, L 337, p. 11). Conținutul normativ al Directivei 2009/136 este așadar cuprins în prezent în aceste din urmă directive, precum și în regulamentul menționat, astfel cum a fost modificat [iar, în ceea ce privește prezenta cauză, la articolul 5 alineatul (3) din Directiva 2002/58], acesta fiind motivul pentru care, în prezenta cauză, este citat doar un considerent al Directivei 2009/136.

9 Suntem foarte conștienți de faptul că, strict vorbind, ar trebui să facem referire la „alineate”, iar nu la articole. Într‑adevăr, în Germania, acestea din urmă sunt rareori utilizate, iar, în caz afirmativ, atunci sunt utilizate numai în texte foarte importante, cum ar fi codurile. Cu toate acestea, pentru a facilita aceste referiri, ne vom referi însă la „articole”.

10 Trebuie subliniat că aceasta reprezintă versiunea anterioară a BDSG din 20 decembrie 1990, astfel cum a fost modificată, iar nu versiunea actuală din 30 iunie 2017.

11 Ne putem face idee în legătură cu modul în care arăta site‑ul propriu‑zis la adresa: https://web.archive.org/web/20130902100750/http:/www.dein‑macbook.de:80/

12 Precum și alte clauze care nu sunt relevante pentru cauza în litigiu.

13 „Berufung”.

14 „Revision”.

15 A se vedea de asemenea Concluziile avocatului general Bot prezentate în cauza Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, punctul 5).

16 A se vedea Lynskey, O., „Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens”, în European Law Review, Sweet & Maxwell, 2011, p. 874-886, în special p. 875 și 876.

17 A se vedea Lynskey, O., ibidem, p. 878.

18 A se vedea, în general, Clifford, D., „EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster – Tracking the crumbs of online user behaviour”, în Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, p. 195-196.

19 A se vedea http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

20 A se vedea Clifford, D., ibidem, p. 195-196.

21 A se vedea http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

22 A se vedea http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm

23 A se vedea, de exemplu, Avizul 04/2012 privind excepția de la obligația de acordare a consimțământului pentru anumite cookie‑uri adoptat de grupul de lucru „articolul 29” la 7 iunie 2010 (00879/12/EN, WP 194, p. 12).

24 Pentru a completa tabloul, am putea adăuga că și Directiva 2002/58 a fost modificată prin Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51). Cu toate acestea, în primul rând, așa cum rezultă din articolul 11 din Directiva 2006/24, această modificare era minoră și nu privea decât un articol al Directivei 2002/5 și, în al doilea rând și mult mai important, Directiva 2006/24 a fost între timp declarată nevalidă; a se vedea Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238, punctul 71).

25 Conform articolului 99 alineatul (2) din Regulamentul 2016/679.

26 A se vedea articolul 94 alineatul (1) din Regulamentul 2016/679.

27 În limba germană: „Unterlassungsanspruch”.

28 A se vedea Bundesgerichtshof, 23 februarie 2016, XI ZR 549/14, punctul II.1., Neue Juristische Wochenschrift (NJW), 2016, p. 1882. Dat fiind că acțiunea în anulare a reclamantei este îndreptată către viitor, recursurile în anulare ale căror temeiuri juridice s‑au modificat în cursul procedurii judiciare trebuie examinate de instanța de apel ținând conte de situația juridică actuală, chiar dacă modificarea juridică nu a intrat în vigoare decât după încheierea ședinței orale a celei de a doua instanțe sau în cursul procedurii de recurs. A se vedea și Bundesgerichtshof, 13 iulie 2004, KZR 10/03, punctul I., Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, p. 64.

29 În ceea ce privește aplicabilitatea Directivei 95/46 și a Regulamentului 2016/679 în contextul unei acțiuni în declararea nevalidității (Feststellungsklage) în temeiul dreptului procedural german, a se vedea Hotărârea din 16 ianuarie 2019, Deutsche Post (C‑496/17, EU:C:2019:26, punctul 39) și Concluziile avocatului general Campos Sánchez‑Bordona prezentate în cauza Deutsche Post (C‑496/17, EU:C:2018:838, punctul 32): „[r]evine instanței de trimitere sarcina de a interpreta dreptul procedural național, în privința căruia Curtea nu se poate pronunța. Prin urmare, în cazul în care, în temeiul normelor naționale, instanța de trimitere consideră că litigiul trebuie soluționat ratione temporis în conformitate cu Regulamentul 2016/679, iar nu cu Directiva 95/46, Curtea trebuie să asigure interpretarea regulamentului respectiv, iar nu a directivei”.

30 A se vedea articolul 94 alineatul (2) din Regulamentul 2016/679.

31 A se vedea în general considerentul (2).

32 În temeiul articolului 5 alineatul (3) al doilea paragraf din Directiva 2002/58, cerința acordării consimțământului nu interzice stocarea sau accesul în cazul în care unicul scop este de a efectua transmisia comunicației printr‑o rețea de comunicații electronice sau în cazul în care stocarea sau accesul este strict necesar în vederea furnizării utilizatorului cu un serviciu al societății informaționale cerut în mod explicit de către acesta. În prezenta cauză, stocarea sau accesul la informații nu este necesară din punct de vedere tehnic, în sensul articolului 5 alineatul (3) al doilea paragraf din Directiva 2002/58/EG, ci este utilizată în scopuri publicitare; prin urmare, excepția de la cerința acordării consimțământului nu se aplică.

33 A se vedea, de asemenea, Bond, R., „The EU E‑Privacy Directive and Consent to Cookies”, în The Business Lawyer, vol. 68, nr. 1, American Bar Association, noiembrie 2012, p. 215.

34 În loc de a utiliza cele două noțiuni „activ” și „pasiv”, am putea la fel de bine să facem referire la noțiunile „explicit” și „implicit”.

35 Propriu‑zis, cerința consimțământului distinct include deja cerința consimțământului activ. Deoarece numai dacă criteriul consimțământului se aplică în mod distinct, acesta nu poate fi „strecurat” prin intermediul setărilor predefinite selectate din oficiu.

36 Aceasta nu înseamnă că participarea la un joc de noroc nu poate fi subordonată unui consimțământ. Acest consimțământ trebuie însă să fie distinct, iar utilizatorul trebuie să fie pe deplin informat. Vom reveni mai jos asupra acestui aspect.

37 Și pentru că am făcut deja referire la considerentele Directivelor 2002/58 și 2009/136, mai sus.

38 Hotărârea din 19 noiembrie 1998, Nilsson și alții (C‑162/97, EU:C:1998:554, punctul 54), Hotărârea din 24 noiembrie 2005, Deutsches Milch‑Kontor (C‑136/04, EU:C:2005:716, punctul 32), și Concluziile avocatului general Ruiz‑Jarabo Colomer prezentate în cauza TeliaSonera Finlanda (C‑192/08, EU:C:2009:309, punctele 87-89).

39 A se vedea de asemenea Concluziile pe care le‑am prezentat în cauzele conexate X și Visser (C‑360/15 și C‑31/16, EU:C:2017:397, punctul 132).

40 A se vedea a doua teză a considerentului (17) al Directivei 2002/58.

41 Acesta reprezintă un organism cu caracter consultativ instituit în temeiul articolului 29 din Directiva 95/46. Odată cu intrarea în vigoare a Regulamentului 2016/679, grupul de lucru „articolul 29” a fost înlocuit de Comitetul european pentru protecția datelor [a se vedea articolul 68 și articolul 94 alineatul (2) din Regulamentul 2016/679].

42 A se vedea Avizul 2/2010 privind publicitatea comportamentului online, adoptat de grupul de lucru „articolul 29”, la 22 iunie 2010 (00909/10/EN, WP 171, p. 16, punctul 4.1.3.).

43 Avizul 15/2011 privind definiția noțiunii de consimțământ, adoptat de grupul de lucru „articolul 29” la 13 iulie 2011 (01197/11/EN, WP 187, p. 12).

44 Avizul 15/2011 privind definirea noțiunii de consimțământ, adoptat de grupul de lucru „articolul 29” la 13 iulie 2011 (01197/11/EN, WP 187, p. 12).

45 Avizul 15/2011 privind definiția noțiunii de consimțământ, adoptat de grupul de lucru „articolul 29” la 13 iulie 2011 (01197/11/EN, WP 187, p. 12).

46 Acest aspect, care rezultă deja din decizia de trimitere, a fost explicit confirmat de federație în cursul ședinței, în răspuns la o întrebare adresată de Curte.

47 Și anume, federația, guvernele german, italian și portughez, precum și Comisia.

48 A se vedea articolul 7 alineatul (4) din Regulamentul 2016/679.

49 A se vedea în special punctul 66 din prezentele concluzii.

50 Un buton precum butonul de participare.

51 În terminologia germană: „Kopplungsverbot”; a se vedea printre altele Ingold, A. în G. Sydow (ed.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden‑Baden, 2017, articolul 7, punctul 30.

52 A se vedea Heckmann, D., Paschke, A. în E. Ehmann, M. Selmayr (ed.), DS‑GVO (Datenschutz‑Grundverordnung), Kommentar, C. H. Beck, München, 2017, articolul 7, punctul 53.

53 A se vedea în acest sens și Buchner, J., Kühling, B. în J. Buchner, B. Kühling (ed.), Datenschutz‑Grundverordnung/BDSG, Kommentar, ediția a 2‑a, 2018, C. H. Beck, Munich, articolul 7 DS‑GVO, punctul 48.

54 Astfel cum a fost modificată prin Directiva 2009/136.

55 A se vedea punctul 24 din decizia de trimitere.

56 Într‑adevăr, în cursul ședinței, reprezentantul federației a subliniat că o clarificare din partea Curții referitoare la prima întrebare litera b) ar fi foarte utilă având în vedere existența unui litigiu în doctrina juridică germană referitor la aspectul dacă articolul 15 alineatul (3) din TMG este sau nu este conform cu dreptul Uniunii.

57 Sublinierea noastră.

58 A se vedea cadrul juridic expus mai sus.

59 Idem.

60 A se vedea Avizul 2/2010 privind publicitatea comportamentală online, adoptat de grupul de lucru „articolul 29” la 22 iunie 2010 (00909/10/RO, WP 171, pagina 9, punctul 3.2.1). În același sens, în Avizul 2/2013 privind dispozitivele inteligente, adoptat de grupul de lucru „articolul 29” la 27 februarie 2013 (00461/13/RO, WP 202, pagina 7, punctul 3.1), se menționează că „cerința consimțământului prevăzută la articolul 5 alineatul (3) se aplică tuturor informațiilor, indiferent de natura datelor stocate sau accesate. Domeniul de aplicare nu se limitează la datele cu caracter personal; informațiile pot cuprinde orice tip de date stocate pe dispozitiv”.

61 Pentru a fi mai preciși: cerințele prevăzute în Directiva 2009/136 de modificare, printre altele, a Directivei 2002/58.

62 Cu privire la terminologia din domeniul protecției consumatorilor, a se vedea articolul 2 din Directiva 2011/83/UE a Parlamentului European și a Consiliului din 25 octombrie 2011 privind drepturile consumatorilor, de modificare a Directivei 93/13/CEE a Consiliului și a Directivei 1999/44/CE a Parlamentului European și a Consiliului și de abrogare a Directivei 85/577/CEE a Consiliului și a Directivei 97/7/CE a Parlamentului European și a Consiliului (JO 2011, L 304, p. 64).

63 Aceasta fiind terminologia clasică utilizată de Curte pentru a descrie consumatorul european mediu. A se vedea, cu titlu de exemplu, Hotărârea din 7 august 2018, Verbraucherzentrale Berlin (C‑485/17, EU:C:2018:642, punctul 44), Hotărârea din 7 iunie 2018, Scotch Whisky Association (C‑44/17, EU:C:2018:415, punctul 47), și Hotărârea din 16 iulie 1998, Gut Springenheide și Tusky (C‑210/96, EU:C:1998:369, punctul 31).

64 A se vedea Concluziile avocatului general Saugmandsgaard Øe prezentate în cauza slewo (C‑681/17, EU:C:2018:1041, punctul 55).

65 Avizul 15/2011 privind definiția consimțământului, adoptat de grupul de lucru „articolul 29” la 13 iulie 2011 (01197/11/EN, WP 187, p. 37).