CJUE 1er octobre 2019, affaire Planet49, n° C‑673/17

Planet49 GmbH, une société de jeux en ligne, propose un service de loterie en ligne. Pour utiliser le service, les utilisateurs devaient s’inscrire et fournir des données personnelles. Le formulaire d’inscription contenait deux cases à cocher :

  • La première demandait aux utilisateurs de cocher une case permettant à Planet49 de partager leurs données avec des partenaires commerciaux. Cocher cette case était obligatoire pour participer à la loterie.
  • La deuxième case à cocher était pré-cochée et permettait aux utilisateurs de refuser d’autres cookies en décochant la case.

Pas de case pré-cochées

La CJUE a jugé qu’une case pré-cochée pour les cookies ne fournit pas un consentement juridiquement valable en vertu du RGPD et de la Directive ePrivacy.

Il faut un acte positif du visiteur du site. D’autant que l’on peut supposer que ce visiteur n’a pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’a tout simplement pas vu cette case, avant de poursuivre sa visite.

En pratique, suite à cette décision, les entreprises :

  • Ne pourront plus utiliser des cases pré-cochées pour légitimer le stockage et / ou la lecture de cookies ;
  • Ni placer des cookies par défaut ou par inaction, en se contentant d’informer les utilisateurs de la présence de cookies et en leur indiquant comment les désactiver.

Le consentement doit être spécifique

Pour que le consentement soit valide en vertu du RGPD, il doit être « spécifique » et ne saurait être déduit d’une manifestation de volonté ayant un objet distinct.

En l’occurrence, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies.

Question non traitée

La cour indique qu’elle aurait pu (ou du) être saisie de la question de savoir si le fait de ne permettre la participation au jeu qu’aux seuls utilisateurs ayant consenti au traitement de leurs données personnelles à des fins publicitaires, est compatible avec l’exigence d’un consentement « libre ».

Il ne s’agit pas d’une question anodine compte tenu de la nouvelle Directive (UE) 2019/770 qui prévoit des contrats digitaux dans lesquels « le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel (autres que les données nécessaires à l’exécution du contrat) ». Ceci semble permettre de demander des données personnelles en échange de prestations de service et éviterait donc la question du consentement libre, voire spécifique.

Informations à fournir aux utilisateurs (exigence de transparence)

La CJUE précise que les informations fournies aux utilisateurs doivent inclure la durée de fonctionnement des cookies, ainsi que la possibilité ou non pour des tiers d’y avoir accès.

Données personnelles ou non

Pour la Cour, que les informations stockées ou consultées via l’équipement de l’utilisateur constituent ou non des données à caractère personnel n’influe pas sur ce résultat. En effet, le droit de l’Union vise à protéger l’utilisateur de toute ingérence dans sa vie privée, notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu.

Ce qui précède est à mettre en perspective avec les nouvelles lignes directrices sur les cookies et autres traceurs, publiées par la CNIL en juillet 2019 dans l’attente d’une nouvelle recommandation, qui précisera, au premier trimestre 2020, les modalités pratiques de recueil du consentement.

Cet article fait partie d’un panorama des décisions récentes de la Cour de Justice de l’Union Européenne, en matière de marketing et de cookies ainsi qu’en matière de droit au déréférencement, fondé sur la protection des données personnelles ou sur la réglementation sur le commerce électronique.