Affaire C‑673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV
contre
Planet49 GmbH
(demande de décision préjudicielle,introduite par le Bundesgerichtshof)
Arrêt de la Cour (grande chambre) du 1er octobre 2019
« Renvoi préjudiciel – Directive 95/46/CE – Directive 2002/58/CE – Règlement (UE) 2016/679 – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Cookies – Notion de consentement de la personne concernée – Déclaration de consentement au moyen d’une case cochée par défaut »
1. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Cookies – Consentement de la personne concernée – Notion – Déclaration de consentement au moyen d’une case cochée par défaut – Exclusion
[Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 11, et 6, § 1, a) ; directives du Parlement européen et du Conseil 95/46, art. 2, h), et 2002/58, telle que modifiée par la directive 2009/136, art. 2, f), et 5, § 3]
(voir points 49-58, 60-63, disp. 1)
2. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Cookies – Consentement de la personne concernée – Notion – Informations stockées ou consultées constituant ou non des données à caractère personnel – Absence d’incidence
[Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 11, et 6, § 1, a) ; directives du Parlement européen et du Conseil 95/46, art. 2, h), et 2002/58, telle que modifiée par la directive 2009/136, art. 2, f), et 5, § 3]
(voir points 68-71, disp. 2)
3. Rapprochement des législations – Secteur des télécommunications – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58 – Cookies – Information claire et complète devant être donnée par le fournisseur de services – Notion – Durée de fonctionnement des cookies – Inclusion – Possibilité ou non pour des tiers d’avoir accès aux cookies – Inclusion
(Directive du Parlement européen et du Conseil 2002/58, telle que modifiée par la directive 2009/136, art. 5, § 3)
(voir points 74-81, disp. 3)
Résumé
Le placement de cookies requiert le consentement actif des internautes
Par l’arrêt du 1er octobre 2019, Planet49 (C‑673/17), la Cour, réunie en grande chambre, a jugé que le consentement au stockage d’informations ou à l’accès à des informations par l’intermédiaire de cookies installés sur l’équipement terminal de l’utilisateur d’un site Internet n’est pas valablement donné lorsque l’autorisation résulte d’une case cochée par défaut, et ce indépendamment du fait que les informations en cause constituent ou non des données à caractère personnel. En outre, la Cour a précisé que le fournisseur de services doit indiquer à l’utilisateur d’un site Internet la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.
Le litige au principal portait sur l’organisation d’un jeu promotionnel par Planet49 sur le site Internet www.dein-macbook.de. Pour participer, les internautes devaient communiquer leurs nom et adresse sur une page web où se trouvaient des cases à cocher. La case autorisant l’installation des cookies était cochée par défaut. Saisi d’un recours par la Fédération allemande des associations de consommateurs, le Bundesgerichtshof (Cour fédérale de justice, Allemagne) éprouvait des doutes sur la validité de l’obtention du consentement des utilisateurs au moyen de la case cochée par défaut ainsi que sur l’étendue de l’obligation d’information pesant sur le fournisseur de service.
La demande de décision préjudicielle portait essentiellement sur l’interprétation de la notion de consentement visée par la directive vie privée et communications électroniques (1), lue en combinaison avec la directive 95/46 (2), ainsi qu’avec le règlement général sur la protection des données (3).
Premièrement, la Cour a observé que l’article 2, sous h), de la directive 95/46, à laquelle renvoie l’article 2, sous f), de la directive vie privée et communications électroniques, définit le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Elle a relevé que l’exigence d’une « manifestation » de volonté de la personne concernée évoque clairement un comportement actif et non pas passif. Or, un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur d’un site Internet. En outre, la genèse de l’article 5, paragraphe 3, de la directive vie privée et communications électroniques, qui prévoit depuis sa modification par la directive 2009/136 que l’utilisateur doit avoir « donné son accord » au placement de cookies, tend à indiquer que le consentement de l’utilisateur ne peut dorénavant plus être présumé et doit résulter d’un comportement actif de ce dernier. Enfin, un consentement actif est désormais prévu par le règlement général sur la protection des données (4), dont l’article 4, point 11, requiert une manifestation de volonté prenant la forme, notamment, d’un « acte positif clair » et dont le considérant 32 exclut expressément qu’il y ait un consentement « en cas de silence, de cases cochées par défaut ou d’inactivité ».
La Cour a dès lors jugé que le consentement n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. Elle a ajouté que le fait pour un tel utilisateur d’activer le bouton de participation au jeu promotionnel en cause ne saurait suffire à considérer qu’il a valablement donné son consentement au placement de cookies.
Deuxièmement, la Cour a constaté que l’article 5, paragraphe 3, de la directive vie privée et communications électroniques vise à protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel. Il en résulte que la notion de consentement ne doit pas être interprétée différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel.
Troisièmement, la Cour a relevé que l’article 5, paragraphe 3, de la directive vie privée et communications électroniques exige que l’utilisateur ait donné son accord, après avoir reçu une information claire et complète, notamment sur la finalité du traitement. Or, une information claire et complète doit permettre à l’utilisateur de déterminer facilement les conséquences du consentement qu’il pourrait donner et garantir que ce consentement soit donné en pleine connaissance de cause. À cet égard, la Cour a considéré que la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies font partie de l’information claire et complète devant être donnée à l’utilisateur d’un site Internet par le fournisseur de services.