Google avait été identifié comme le moteur de recherche épuré, sobre avec sa page d’accueil vierge de toute publicité apparente et c’est sans doute un peu ironique de constater qu’il est devenu un géant du cookie publicitaire… finalement comme la vérité … la publicité est ailleurs.  

Le 7 décembre 2020, la CNIL a frappé un grand coup, en sanctionnant les deux géants du net Google et Amazon pour non-respect de la réglementation en matière de gestion des cookies pour un montant total de 135 millions d’euros.

En cause ? Le non-respect de la directive européenne ePrivacy, transposée en droit français par la Loi Informatique et Libertés du 6 janvier 1978.

La CNIL semble fort active en cette fin d’année puisqu’elle a également récemment sanctionné le géant de la grande distribution Carrefour pour non-conformité à la Loi Informatique et Libertés ainsi qu’au Règlement général sur la protection des données (RGPD), et ce, à hauteur de 3 millions d’euros.

La CNIL reproche aux deux géants informatiques d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche www.google.fr et de la marketplace www.amazon.fr sans consentement préalable ni information satisfaisante.

Synthèse de ce que l’on retient :

1.       Les conditions pour des cookies conformes au droit de l’Union et au droit français restent les même 

                     i.            Pas de dépôt de cookies publicitaires sans consentement préalable ;

                   ii.            Il faut une information directe, complète, claire et il doit être facile de retirer son consentement ;

                 iii.            Si l’utilisateur refuse le dépôt de cookies alors cette opposition doit être prise en compte.

2.       La compétence de la CNIL réaffirmée en matière de cookies déposés par des entreprises américaines

La CNIL affirme être compétente matériellement car le dépôt de cookies relève de la directive ePrivacy et non du RGPD, dès lors le mécanisme dit du guichet unique, qui aurait pu attribuer une compétence à une autre autorité, n’a pas vocation à s’appliquer.

La CNIL a considéré qu’elle était compétente territorialement car le recours à des cookies est effectué dans le « cadre des activités » des sociétés GOOGLE France et AMAZON France qui constituent chacune un « établissement » sur le territoire français.

3.       La qualification contractuelle est sans effet pour la CNIL 

La CNIL indique que la désignation contractuelle d’une entreprise comme étant un sous-traitant n’a aucune incidence sur son statut juridique vis-à-vis de l’autorité.

Dès lors ce qui est retenu est la réalité des faits : la qualification de responsable de traitement se déduit des faits et non de la qualification contractuelle.

La CNIL, comme tout juge, n’est donc pas tenue par la qualification retenue par les parties dans un contrat.

Faits et procédure :

Après une série de contrôles effectués en ligne sur le site web www.amazon.fr entre décembre 2019 et mai 2020 et sur le site web www.google.fr en mars 2020, la Commission a relevé que des cookies publicitaires étaient automatiquement déposés sur l’ordinateur de l’utilisateur et cela sans action de sa part.

Solution :

La CNIL a considéré qu’en déposant automatiquement des cookies sans information ni consentement préalable, Google et Amazon empêchaient nécessairement les internautes d’exprimer valablement leur consentement.

1)      Qui dit dépôt de cookies publicitaires dit consentement obligatoire

La Commission rappelle que seuls les cookies étant strictement nécessaires au bon fonctionnement du site sont exemptés du consentement de l’internaute. Les cookies déposés par Google et Amazon, n’étant pas essentiels au service, ils ne peuvent être déposés qu’après l’acceptation de l’utilisateur.

L’article 82 de la Loi Informatique et Libertés mis en cause dans ces affaires, dispose très clairement que le dépôt de cookies publicitaires ne peut se faire qu’après l’accord préalable de la personne concernée. Cette obligation de consentement, est d’autant plus renforcée par la définition donnée par le RGPD, selon laquelle le consentement se doit d’être recueilli de façon « libre, spécifique, éclairée et univoque ».

Ainsi la pratique des deux géants du net, de déposer des cookies publicitaires automatiquement à l’arrivée sur leur site était une pratique ne respectant pas le principe du consentement préalable.

2)      Une information claire avant tout

Le gendarme français des données relève aussi le manquement à l’obligation d’informer de façon « claire et complète » (article 82 de la Loi Informatique et Libertés), les utilisateurs de services de communications. Le défaut d’information des deux géants du numérique, se manifestait par l’absence d’informations directes ainsi que par des pratiques d’acceptation et de refus des cookies trop complexes.

·       Il est ainsi reproché à Google de ne pas informer suffisamment les internautes utilisant son moteur de recherche. En effet, malgré la présence d’un bandeau d’informations en pied de page, portant la mention « Rappel concernant les règles de confidentialité de Google », aucune information sur le dépôt automatique de cookies sur le terminal de l’utilisateur ne lui était fourni.

De plus, le droit d’opposition de l’utilisateur n’était pas respecté car malgré le refus de ce dernier, un cookie publicitaire était toujours stocké sur son terminal « l'information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d'être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser ».

·       Même constat du côté d’Amazon. De façon similaire, l’autorité de contrôle s’est rendue compte qu’en naviguant sur le site www.amazon.fr, le bandeau d’information ne présentait que d’une manière générale et approximative, les finalités des traceurs déposés, via la mention « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus ».  Ainsi l’internaute ne pouvait comprendre que les cookies déposés avaient pour objectif de lui proposer de la publicité personnalisée mais surtout qu’il lui était possible de les refuser.

Pire encore, lorsqu’un utilisateur arrivait sur le site www.amazon.fr en ayant cliqué sur une publicité provenant d’un site web tiers (par exemple : une liste de résultats dans un moteur de recherche), le défaut d’informations était encore plus accablant.

La CNIL précise en ce sens :

« A cet égard, à l’article 2 de sa recommandation de 2013, la Commission rappelait notamment que l’information devait être préalable au recueil du consentement mais également visible, mise en évidence et complète. En conséquence, la Commission recommandait aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes :

- première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience. »

3)      La compétence de la CNIL

Google remet en cause la compétence matérielle de la CNIL en vertu du « mécanisme de guichet unique » posé par le RGPD, selon lequel c’est l’autorité de contrôle irlandaise (DPC) en tant qu’autorité « chef de file », qui aurait dû se prononcer. On appelle « autorité chef de file », l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise.

Or Google Ireland Limited a son établissement principal en Irlande. En réponse, le régulateur français précise que le mécanisme de guichet unique ne s’applique pas en l’espèce car il ne concerne que les dispositions du RGPD. Or, l’utilisation des cookies est encadrée par la directive e-Privacy, transposée en droit interne par la Loi Informatiques et Libertés.

En ce sens, la CNIL indique notamment :

« L’avis du CEPD du 19 novembre 2020, invoqué par les sociétés dans leur note en délibéré du 2 décembre 2020, corrobore cette analyse dès lors que dans cet avis le CEPD se borne à appeler de ses vœux l’application du guichet unique au futur règlement, preuve qu’en l’état du droit positif, ce mécanisme ne s’applique pas aux dispositions cookies de la directive ePrivacy en vigueur. »

Concernant sa compétence territoriale, la Commission se fonde sur l’article 3 de la Loi précitée, qui dispose que « l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ». Ainsi le recours aux traceurs est considéré comme une activité de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited et y assure la promotion de leurs produits et services.

Le même raisonnement a été utilisé pour Amazon Europe Core, qui a pour établissement sur le territoire français Amazon France dont l’une des activités est le recours aux cookies. C’est cette même interprétation extensive des traitements effectués « dans le cadre des activités d’un établissement national lorsque le traitement est en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne », qui avait était admis dans l’arrêt de la Cour de Justice de l’Union européenne Facebook Ireland Ltd.[1]

4) La responsabilité des traitements

La CNIL a considéré que Google LLC et Google Ireland Limited étaient deux responsables de traitement conjoints dans le cadre du dépôt des cookies sur le site www.google.fr.

Or, la firme de Mountain View a réfuté la responsabilité conjointe de traitement existante entre Google LLC et Google Ireland Limited, et ce notamment pour réduire le montant de la sanction pécuniaire. Elle a considéré que Google LLC, société mère, n’était qu’un sous-traitant car c’était ce qui était stipulé dans le contrat conclu entre Google LLC et Google Ireland Limited.

Cependant ce moyen fut contredit par la CNIL qui releva que les deux entités déterminent ensemble les finalités et les moyens liés à l’usage des cookies, faisant d’elles des responsables de traitement conjoints. La CNIL considère en outre que l’existence d’un contrat de sous-traitance entre Google LLC et Google Ireland Limited établissant que Google LLC n’est qu’un sous-traitant est sans valeur quant à la réelle qualification juridique de Google LLC :

« La formation restreinte considère que (…) malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause. Elle détermine également les moyens du traitement étant donné que, comme évoqué ci-avant, c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens. Dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement. »

5) Un bras de fer qui se poursuit …

C’est une véritable première car aucune autorité européenne n’avait sanctionné d’un tel montant un manquement aux règles encadrant le dépôt de cookies.

Google LLC est ainsi condamnée au paiement d’une amende de 60 millions d’euros et sa filiale Google Ireland Limited à une amende de 40 millions d’euros au motif d’un manquement aux principes de consentement, d’information et d’opposition en matière de dépôt de cookies.

Amazon est quant à elle, sanctionnée à payer 35 millions d’euros pour dépôt de traceurs sans consentement de l’utilisateur et cela peu important sa provenance.

La Commission justifie les montant des sanctions par le fait que Google en tant que principal moteur de recherche dispose d’une part de marché supérieure à 90% en France. De ce fait, alors que ces pratiques ont affecté près de 50 millions d’utilisateurs, Google a enregistré d’énormes bénéfices grâce aux « revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires ». Pour le porte-parole de la firme de Mountain View la décision de la CNIL « fait l'impasse sur les efforts du groupe en matière de transparence et de protection des utilisateurs. (…) Elle ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. (…) Nous poursuivons nos échanges avec la Cnil ».

De son côté Amazon dispose d’une part de marché de 20% en France. Ainsi le dépôt de cookies non consentis a permis au site d’e-commerce d’augmenter grandement sa visibilité et donc la consultation de ses produits. La firme d’e-commerce exprime aussi son désaccord, en affirmant que : « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons ».

Depuis Septembre 2020, la CNIL a relevé que le dépôt de cookies publicitaires sans le consentement des utilisateurs, n’est plus pratiqué par les deux géants. Cependant le bandeau d’information ne permet toujours pas de comprendre clairement les finalités des cookies publicitaires et notamment dans le cas de Google, la possibilité pour les internautes de refuser les traceurs.

Ainsi malgré les contestations des deux protagonistes à l’encontre des sanctions allouées à leur encontre, le temps est compté car ils ne disposent que de 3 mois pour se conformer aux exigences de la CNIL. A défaut ils s’exposeront à une pénalité de 100 000 euros par jour de retard.

Google et Amazon pourront ainsi s’aider des lignes directrices de la CNIL du 1er octobre 2020 ainsi que des recommandations portant sur l’usage des cookies et autres traceurs, afin de se conformer aux obligations en matière de publicité ciblée.

A noter que la nouvelle règlementation impose aux sites web d’afficher un bouton « tout accepter » et « tout refuser » lors du recueil du consentement aux cookies. Attention, à partir du 1er Avril 2021, la CNIL n’hésitera pas à sanctionner tout manquement à ces règles !

Retrouvez nos analyses sur les recommandations de la CNIL en matière de dépôt de cookies ainsi que les jurisprudences applicables :

Alerte publicité en ligne : la CNIL dit stop au dépôt de cookies sauvages

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les décisions de la CNIL :

Décision CNIL/ Google LLC et Google Ireland Limited

Décision CNIL/Amazon Europe Core

[1] CJUE, 5 juin 2018, C-210/16

RAPPEL DU CONTEXTE : feuilleton interminable… ou presque

Depuis 2013, ce sujet est récurrent dans les tribunes de la CNIL qui publie régulièrement des recommandations. Depuis l’entrée en vigueur du RGPD, les choses ne se sont pas simplifiées. Dans ce cadre, la CNIL a publié ses lignes directrices en matière de cookies le 4 juillet 2019 (règles applicables). En janvier dernier, elle a publié un projet de recommandation des modalités pratiques du recueil de consentement conforme aux règles applicables, ouvert à consultation publique.

La CNIL a adopté la version finalisée le 17 septembre 2020, version révélée aujourd’hui, 1er octobre 2020.

Ni prescriptive ni exhaustive, cette recommandation a pour but de guider les professionnels ayant recours aux cookies afin qu’ils recueillent le consentement des internautes en bonne et due forme.

2 objectifs affichés :

• Clarifier la situation en orientant les acteurs sur le cadre applicable ;

• Informer l’internaute sur le contrôle qu’il peut exercer sur ces traceurs.

Quelles sont les principales avancées de cette recommandation ?

·         Adieu les cookies walls : désormais, le simple fait de continuer sa navigation sur un site internet ne vaudra pas consentement au dépôt de cookies.

Consentement : l’internaute doit consentir au dépôt de cookies par un acte positif clair, tel que le fait de cocher une case « accepter le dépôt des cookies ».

Réciprocité : aussi simple d’accepter et de refuser ! Le retrait du consentement doit être accessible facilement et à tout moment pour l’internaute. Le refus du dépôt de cookies doit être aussi facile d’accès que l’acceptation du dépôt de cookies.

Informations : les internautes doivent être clairement informés de l’intérêt d’installer chaque cookie et des conséquences en cas de refus ou d’acceptation. Les internautes doivent également être informés de l’identité des acteurs utilisant les traceurs.

·         Les acteurs exploitant ces traceurs doivent pouvoir prouver à tout moment qu’ils ont recueilli un consentement libre, éclairé, spécifique et univoque de l’internaute.

Quels sont les conseils ergonomiques de la CNIL ?

 1. Sur le consentement

La CNIL recommande vivement aux acteurs de proposer 2 boutons dès le premier stade d’information :

- un bouton tout accepter

- un bouton tout refuser

Elle recommande également de prévoir 1 bouton permettant de consentir ou refuser, finalité par finalité, au deuxième niveau d’information. Exemple : j’accepte le dépôt de cookies à des fins statistiques mais je refuse le dépôt de cookies à des fins publicitaires.

2. Sur l’information

La CNIL propose l’illustration suivante pour informer les internautes des finalités de dépôt de cookies. Elle recommande de le faire au premier niveau d’information :  

POLITIQUE COOKIES

Publicité personnalisée : (nom de votre site/application et des sociétés partenaires) utilise(nt) des traceurs dans le but de mesure l’audience de la publicité (nom de votre site) sans vous profiler.

La CNIL recommande ensuite de mettre en place un bouton de menu déroulant permettant à l’internaute d’obtenir plus de détails sur les finalités du dépôt. Par exemple, le fait que la publicité personnalisée permette de ne pas présenter de manière trop répétitive une même publicité à un internaute.

Pour encore plus de transparence, le responsable de traitement peut également indiquer les catégories de données collectées.

3. Sur la durée de conservation de l’acceptation ou du refus de dépôt de cookies

La CNIL suggère aux acteurs de conserver le refus de l’internaute « pendant un certain temps » afin de ne pas le réinterroger à chaque connexion au site internet.

Elle recommande également de ne plus afficher le bandeau « cookies » au bout d’un laps de temps court de navigation dès lors que l’internaute n’a pas manifesté son choix d’accepter le dépôt de cookies. L’apparition de ce bandeau pourrait conditionner le confort de navigation de l’internaute et le pousser à accepter le dépôt de cookies.

Enfin, elle considère que le fait de conserver l’acceptation ou le refus pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.

4. Sur le retrait du consentement

Un lien accessible à tout moment sur le service concerné afin de retirer ce consentement serait une bonne pratique pour permettre à l’internaute de retirer facilement son consentement.

5. Sur la preuve du recueil conforme du consentement

Cette preuve pourrait notamment être une capture d’écran du site ou de l’application, horodatée, pour chaque version.

Quels sont les traceurs exemptés du recueil du consentement ?

-          Les traceurs destinés à s’authentifier auprès d’un service

-          Ceux destinés à garder en mémoire le panier d’achat de l’internaute sur un site marchant

-          Certains traceurs de statistiques de fréquentation

Cette liste n’est pas exhaustive et a vocation à simplement donner des illustrations en la matière.

La CNIL indique que le délai de mise en conformité est de 6 mois. Autrement dit, à compter de mars 2021, la CNIL pourra faire des contrôles et sanctionner les organismes qui ne se conforment pas aux nouvelles règles de protection !

Pour lire la recommandation c’est par ici !

Retrouvez nos articles sur cette saga cookies :

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Ainsi que notre infographie sur la meilleure recette de cookies pour être conforme :

Il y a moins d’une semaine, nous vous briefions sur la position récente de la CJUE sur les cookies. A peine cette brève publiée que le Conseil d’Etat dévoile sa décision sur le sujet, en complète opposition avec la Cour de Justice.

Rappel du contexte

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte exige des éditeurs de sites internet qu’ils s’assurent que l’internaute consente explicitement à l’installation de cookies et autres traceurs dans son appareil à des fins de publicité ciblée.

Plus d’un an après, bien des entreprises ne se sont pas mises en conformité. La CNIL a choisi de leur accorder un délai supplémentaire d’un an pour se mettre en conformité concernant l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision

Dans cette décision, le juge administratif se montre plus réservé, surtout par rapport au juge européen. Alors que ce dernier militait en faveur de la vie privée, le Conseil d’Etat se retranche derrière le « large pouvoir d’appréciation » de la CNIL.

Le Conseil d’Etat estime que les tolérances accordées aux entreprises leur permettent de s’approprier les nouvelles règles issues du RGPD et de les respecter d’ici l’été 2020. Ainsi, les pratiques de ces entreprises ne sont ni illégales, ni une violation de la vie privée des personnes physiques. Il serait possible d’y voir un délai de mise en conformité accordé jusqu’en mai 2020.

Toutefois, la décision n’empêchera pas la CNIL de contrôler et de sanctionner les manquements les plus graves, une opportunité des poursuites qu’elle pratique déjà. Mais comment justifiera-t-elle auprès des entreprises sanctionnées le choix des poursuites ?  

De leur côté, les associations, dont la Quadrature du Net, pourront tout de même poursuivre les éditeurs fautifs au civil et au pénal : les lignes directrices de la CNIL n’ont aucun pouvoir contraignant sur ces juridictions.

Entre conformité actuelle et conformité future, que choisir ?

La décision du Conseil d’Etat est compliquée à mettre en œuvre à plusieurs égards.

1 - Elle entre en contradiction directe avec la décision de la CJUE dans l’arrêt « Planet49 ». 

Celle-ci affirme sans ambiguïté que les simples bandeaux d’information sont inacceptables. Un geste positif de consentement de la part de l’internaute est indispensable. Si la décision a pour fondement la Directive ePrivacy de 2002 et non pas le RGPD, les deux textes sont étroitement liés. En effet, ils ont vocation à former le « Package européen Vie Privée » une fois la directive révisée. La solution a vocation à s’appliquer tout autant sur la base de RGPD. 

2 - Le Conseil d’Etat ne respecte pas la hiérarchie des normes.

L’arrêt « Planet49 », rendu au titre d’une demande préjudicielle, donne l’interprétation officielle de la CJUE sur les textes concernés. Cette interprétation est, légalement, immédiatement applicable dans tous les Etats membres. En effet, les décisions de la CJUE forment un ordre juridique propre depuis les arrêts Van Gend en Loos du 5 février 1963 et Costa contre ENEL du 15 juillet 1964.

La tolérance accordée par la CNIL et la volonté de contradiction affichée par le juge administratif sont d’autant plus surprenantes que les autres autorités de contrôle européennes n’hésitent pas à sanctionner l’installation de cookies sans véritable consentement.

A titre d’exemple, l’autorité de contrôle espagnole (AEPD) a récemment sanctionné la compagnie aérienne Vueling en raison de la gestion non conforme des cookies sur son site internet. Vueling a accepté sa faute et a payé rapidement ; sa sanction a donc été réduite de 30 000€ à 18 000 €. Ces sommes n’approchent manifestement pas les plafonds de 20 Millions d’euros et 4% du Chiffre d’Affaires mondial annuel, mais la pratique a tout de même été sanctionnée.

3 - Elle crée un important facteur de risque pour les entreprises.

Ces dernières ont maintenant deux choix. Premièrement, elles peuvent suivre la position de la CJUE et se mettre en conformité maintenant. Deuxièmement, elles peuvent compter sur cette « période de tolérance » pour ne pas se mettre en conformité. Dans ce cas, elles ne sont tout de même pas à l’abri :

• D’une sanction de la CNIL, celle-ci se réservant toujours le droit de sanctionner les atteintes qu’elle estime « particulièrement graves ».

• De plaintes des particuliers et/ou associations, qui aura toutes les chances d’aboutir, la tolérance de la CNIL ne valant que pour elle.

En conclusion, cette décision crée plus de questions qu’elle n’en résout. Surtout, prendre la CNIL au mot crée un véritable risque pour les entreprises. En cas de doute, il nous semble plus sûr de suivre la position européenne.

Source

Pour lire la décision, c’est par ici !

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les faits semblent familiers. Un site, en l’espèce, édité par la société Planet49, organise un jeu. Les participants remplissent un formulaire d’inscription. La case autorisant l’exploitation de leurs données personnelles à des fins publicitaires est décochée, mais celle autorisant l’installation de cookies publicitaires au bénéfice des plusieurs dizaines de partenaires de Planet49 sur le matériel des participants, elle, l’est bel et bien. Il était également impossible de participer au jeu sans accepter cette condition. La Fédération allemande des organisations de consommateurs a donc assigné Planet49. Le renvoi préjudiciel devant la CJUE a abouti un rejet formel d’une telle pratique par la Cour des "cookies walls"

L’essentiel à retenir : 3 points pratiques

• Le consentement doit être actif ainsi fini les bandeaux d’information sur les cookies ou les cases cochées par défaut : les juges sont catégoriques sur ce point et jugent intolérable de se contenter de bandeaux informatifs sur les cookies ou de cases cochées par défaut.

• Tous les cookies sont concernés y compris les cookies nécessaires au fonctionnement du site : Ce principe de consentement actif s’applique aussi aux cookies qui ne collectent pas de données personnelles. Il s’agit d’un apport important, car beaucoup d’entreprises n’offrant pas de service de e-commerce négligent cet aspect de leur site internet ; après tout, leur site n’utilise que des cookies de fonctionnement et/ou de statistiques

• Les durées de fonctionnement et les tiers qui ont accès doivent être révélés : les responsables de traitement doivent indiquer la durée de fonctionnement des cookies mais aussi la possibilité pour un tiers d’y accéder. Les entreprises devront donc mentionner chacun des partenaires qui ont communication de ces cookies.

Un apport peut-il en cacher un autre ?

Cette décision n’est peut-être pas surprenante car elle confirme des principes de protection des données déjà bien établis, notamment dans le RGPD en matière de consentement et de transparence. Bien que les faits jugés datent de 2013, nous pouvons analyser que cette décision s’applique après l’entrée en vigueur du RGPD.

Selon nous, son véritable apport réside dans la position prise par la Cour de justice de l’Union européenne vis-à-vis des autorités de protection nationales. La Cour donne ainsi le ton. En comparaison, la CNIL avait accordé aux entreprises un délai additionnel d’un an pour se mettre en conformité relativement à l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision de la CJUE est donc une raison de plus d’attendre le verdict du juge administratif dans cette affaire.

Pour aller plus loin : #CJUE #NextInpact #CNIL