Les Cookies c'est pas de la tarte

ArticlesJurisprudence
Écrit par Team Labruyère
cookies-CJUE.gif

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les faits semblent familiers. Un site, en l’espèce, édité par la société Planet49, organise un jeu. Les participants remplissent un formulaire d’inscription. La case autorisant l’exploitation de leurs données personnelles à des fins publicitaires est décochée, mais celle autorisant l’installation de cookies publicitaires au bénéfice des plusieurs dizaines de partenaires de Planet49 sur le matériel des participants, elle, l’est bel et bien. Il était également impossible de participer au jeu sans accepter cette condition. La Fédération allemande des organisations de consommateurs a donc assigné Planet49. Le renvoi préjudiciel devant la CJUE a abouti un rejet formel d’une telle pratique par la Cour des "cookies walls"

L’essentiel à retenir : 3 points pratiques

  • Le consentement doit être actif ainsi fini les bandeaux d’information sur les cookies ou les cases cochées par défaut : les juges sont catégoriques sur ce point et jugent intolérable de se contenter de bandeaux informatifs sur les cookies ou de cases cochées par défaut.

  • Tous les cookies sont concernés y compris les cookies nécessaires au fonctionnement du site : Ce principe de consentement actif s’applique aussi aux cookies qui ne collectent pas de données personnelles. Il s’agit d’un apport important, car beaucoup d’entreprises n’offrant pas de service de e-commerce négligent cet aspect de leur site internet ; après tout, leur site n’utilise que des cookies de fonctionnement et/ou de statistiques

  • Les durées de fonctionnement et les tiers qui ont accès doivent être révélés : les responsables de traitement doivent indiquer la durée de fonctionnement des cookies mais aussi la possibilité pour un tiers d’y accéder. Les entreprises devront donc mentionner chacun des partenaires qui ont communication de ces cookies.

Un apport peut-il en cacher un autre ?

Cette décision n’est peut-être pas surprenante car elle confirme des principes de protection des données déjà bien établis, notamment dans le RGPD en matière de consentement et de transparence. Bien que les faits jugés datent de 2013, nous pouvons analyser que cette décision s’applique après l’entrée en vigueur du RGPD.

Selon nous, son véritable apport réside dans la position prise par la Cour de justice de l’Union européenne vis-à-vis des autorités de protection nationales. La Cour donne ainsi le ton. En comparaison, la CNIL avait accordé aux entreprises un délai additionnel d’un an pour se mettre en conformité relativement à l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision de la CJUE est donc une raison de plus d’attendre le verdict du juge administratif dans cette affaire.

Pour aller plus loin : #CJUE #NextInpact #CNIL

Team Labruyère
Précédent

Cookies : recette de l'indigestion

Suivant

Privacy by design & by default : l’exemple d’Enedis à l’épreuve du juge