En 1994, une forme de capitalisme sans précédent a fait son chemin dans l'histoire, presque sans prévenir, et si le cookie réalise une entrée discrète dans l'univers du web, il est à présent au centre des débats sociologiques, juridiques et politiques. Il bouscule notre droit et notre conception de la vie privée, il évolue et s'immisce toujours plus loin dans notre quotidien. Le "Big Brother" d'Orwell est dépassé, maintenant les cookies se chargent de répertorier et de stoker vos goûts, vos préférences, vos intérêts professionnels et personnels, et s’immiscent insidieusement dans votre vie pour mieux cibler vos besoins ou les créer. D'ailleurs, Eric Schmidt, PDG de GOOGLE prévient "Nous n'avons pas besoin que vous tapiez quoi que ce soit. Nous savons où vous êtes, nous savons où vous avez été. Nous pouvons savoir plus ou moins ce que vous pensez."
En France, le législateur français identifie assez rapidement les risques que constitue l’identification des utilisateurs sur le web. Il agit au travers de la loi n°78-17 du 6 janvier 1978 afin d’encadrer l’utilisation et la récolte des données personnelles des utilisateurs internet.
Notre droit considère alors que cet encadrement est nécessaire dès lors que les fichiers "permettent d'identifier l'utilisateur lors de sa connexion et de mémoriser celle-ci" (A. LEPAGE : Libertés et Droits Fondamentaux à l’Épreuve de l’Internet).
Or, le cookie, dans sa dimension de traçage, n’a pas tout de suite été reconnu comme un outil de collecte des données à caractère personnel.
Mais, qu'est-ce qu'un cookie ?
Conformément à l'article 2 de la loi du 6 janvier 1978, "constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée (...) par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres."
Le cookie ne constitue pas, à la lecture du texte, une donnée à caractère personnel.
Pourtant, la CJUE l'assimile comme telle dans sa décision Planet49 en date du 1er octobre 2019, après qu'elle ait été saisie par le Bundesgerichtshof (Cour fédérale de justice allemande) de la légalité des cases pré-cochées.
En effet, il est incontestable qu'il représente un outil de traçage, un traitement des données personnelles, permettant d'identifier un utilisateur après avoir récolté ses données personnelles. À titre d’exemple, les cookies peuvent contenir le nom et l'adresse mail de l'utilisateur, qui ne sont autres que des données personnelles.
C'est donc à ce titre, qu'il fait l'objet d'une sujétion au RGPD, au même titre que l'adresse IP depuis l'arrêt Breyer (CJUE, 19 oct. 2016, aff. C-582/14).
Sur ce point, la position de la CJUE suit la logique soutenue par des autorités de protection telle que la CNIL.
L'appréciation dans l'usage de cookies ne cesse donc d'évoluer dans une perspective toujours plus protectrice de l'utilisateur.
Quels cookies nécessitent l’accord des utilisateurs ?
L’article 2 de la loi n°2004-801 du 6 août 2004, concernant la protection des personnes physiques pour le traitement de données à caractère personnel, vient modifier la loi du 6 janvier 1978 et encadrer cette problématique du respect de la vie privée des clients en instaurant la mise en place systématique de cookies.
Toutefois, cette loi n’a pas apporté de protection suffisante aux utilisateurs, c’est pourquoi une ordonnance du 24 août 2011 a tenté de remédier à cette lacune.
Cette ordonnance a eu pour effet d’imposer une obligation d’information claire et concise sur les cookies et sur les moyens pour l'utilisateur de les refuser.
Le consentement de l'utilisateur, présumé et garanti par une procédure d'"opt-out", n’est possible que lorsque le cookie a pour but de faciliter ou de permettre certaines communications par voie électronique, ou lorsqu'il n'est pas strictement nécessaire au bon fonctionnement du site internet.
On retrouve d'autres catégories de cookies ne nécessitant pas, a priori, de consentement à l'instar des cookies d’authentification puisqu’ils sont strictement nécessaires à la fourniture du service demandé par l'utilisateur.
En revanche, un cookie de personnalisation de l’interface de l’utilisateur, tel que le choix de la langue du site, requiert le consentement préalable du client.
De même, si ce cookie a pour but de mesurer l’audience du site, il n’est plus strictement nécessaire à la fourniture de service du site internet et l'utilisateur doit pouvoir le refuser.
C'est pourquoi, lorsque les cookies ont pour but d’enregistrer des données telles que le profilage ou la publicité ciblée, le consentement actif du client devient indispensable.
A noter néanmoins que certaines solutions d’analyse de mesures d’audience, réalisées dans le but d’obtenir des informations sur le client, peuvent être considérées comme obligatoire pour la réalisation du service demandé par l'utilisateur.
Comment le RGPD a-t-il renforcé le recueil du consentement des clients ?
L’entrée en vigueur du RGPD est venue renforcer la protection du consentement du client, notamment afin de lutter contre les sites obligeant le client à donner son accord sous peine de se voir refuser l’accès.
C’est pourquoi le RGPD est venu préciser que le consentement du client devait être éclairé, c’est-à-dire reposer sur un véritable choix.
Ainsi, le refus d'accéder au site internet opposé à un utilisateur qui refuse de consentir aux cookies est contraire aux prescriptions en vigueur, sauf lorsqu'ils sont strictement nécessaires à la fourniture du service.
Enfin, le consentement du client doit être informatif, c’est-à-dire que la portée des cookies et les conséquences en cas de consentement du client doivent être précisées.
Quelle est la durée de validité des cookies ?
La CNIL, sur le fondement de son pouvoir règlementaire, est venue préciser la durée de validité des cookies dans des lignes directrices en date du 4 juillet 2019. Elle a décidé qu'au terme d'un délai de 13 mois, le consentement du client devrait à nouveau être recueilli.
Quelle est la durée de vie des infos recueillies ?
Toute donnée à caractère personnel ne peut faire l'objet d’une conservation supérieure à 25 mois.
Quelle exécution est faite par la CJUE de la règlementation des cookies ?
Dans sa décision Planet49, une société de droit allemand avait mis en place un jeu concours nécessitant, pour participer, de cocher des cases afin de consentir à l'installation de cookies publicitaires. La première case, non pré-cochée, visait à obtenir l'autorisation des utilisateurs à recevoir des offres promotionnelles.
La seconde, déterminante, était déjà pré-cochée et visait à valider le consentement des utilisateurs à installer des cookies sur leur appareil afin de récolter leurs données personnelles à des fins commerciales.
Rappelons à ce titre, que la directive 2002/58/CE avait mis en place un processus d'acceptation systématique des cookies pour naviguer sur un site dit "opt-out", que la directive 2009/136/CE est venue modifier en instituant un système requérant le consentement actif de l'internaute.
Le terme de "consentement actif" a ici toute son importance puisque cela signifie, pour la première fois, que l'utilisateur doit expressément manifester son accord et que son consentement ne peut être présumé.
La garantie du consentement obtenue est aujourd'hui d'autant plus grande qu’il ressort de la décision Planet49 que le doute doit bénéficier aux utilisateurs.
Ainsi, une case pré-cochée ne permet pas de déterminer avec certitude si l'utilisateur a activement consenti au traitement de ses données personnelles ou bien s'il n'y a tout simplement pas prêté attention.
Cette décision est rendue au visa de l’article 4,11 du RGPD du 21 mai 2019 définissant le consentement comme “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fasse l’objet d’un traitement”.
Il met ainsi en lumière deux éléments essentiels, à savoir la nécessité d’établir le consentement totalement libre et éclairé de l’utilisateur :
- Le consentement libre : cette notion est reprise par les juridictions, dans le prolongement du travail effectué par le législateur européen au travers du RGPD, et confirme la nécessité pour l’utilisateur de donner librement son consentement à la collecte de ses données à caractère personnel.
L’enjeu pour les utilisateurs n'est autre que de donner activement leur consentement afin qu'il soit présumé libre, à savoir cocher une case de leur propre fait.
- Le consentement éclairé : ici les magistrats font application de la directive européenne 2002/58/CE, toujours en vigueur, imposant aux sociétés du numérique une information claire, précise et complète des internautes sur le but poursuivi par l’installation de cookies. Cette information portera également sur la durée de vie des cookies.
Par conséquent, l’appréciation de ces trois caractéristiques sont nécessaires afin d'apporter la preuve que le consentement donné a été éclairé.
Par cette décision, la Cour de Justice Européenne se positionne en garant des ingérences des sociétés du numérique dans l'obtention du consentement des utilisateurs.
Quelle application en France des directives européennes par la CNIL ?
Depuis la directive de 2009, le législateur européen ainsi que les législateurs nationaux n'ont eu de cesse de renforcer la protection portée à la récolte des données personnelles par le biais de cookies.
En France, ce sont les lignes directrices de la CNIL du 4 juillet 2019 qui s'imposent comme fondement de ce droit encore en gestation.
Par ailleurs, le Conseil d'État est venu confirmer l'essentiel des interprétations formulées par l’autorité française par un arrêt du 19 juin 2020, à savoir que :
- les utilisateurs doivent disposer de la faculté de renoncer à donner leur consentement, aussi simplement et facilement que pour la faculté de donner leur accord ;
- la seule poursuite de l'activité sur le site internet par l'utilisateur ne peut plus suffire à caractériser un consentement valide ;
Ici, le principe de précaution posé par la CNIL et repris dans Planet49 s'impose : la lutte contre la généralisation d'un consentement donné "en bloc" ne fait plus aucun doute.
- les utilisateurs doivent pouvoir retirer leur consentement tout aussi facilement qu'ils l'ont donné ;
- le consentement de l'utilisateur doit porter sur chacune des finalités, ce qui implique notamment une information spécifique ;
- les utilisateurs doivent être informés de l'identité des responsables du traitement déposant les cookies, la liste contenant l'identité des responsables de traitement doit être mise à leur disposition lors du recueil du consentement et être mise à jour régulièrement ;
- les responsables de traitement doivent être en mesure de démontrer à la CNIL qu'ils ont recueilli un consentement valide.
En revanche, le Conseil d'État a rejeté un point des lignes directrices de la CNIL qui considérait que l'accès à un site internet ne pouvait pas entraîner l'acceptation de "cookies wall" (cookies permettant de refuser l'accès à un site si l'utilisateur ne consent pas aux cookies dudit site).
Le Conseil d'État a ici estimé que la CNIL avait outrepassé la fonction légale d'interprétation des lignes directrices, qui ne sont que du "droit souple".
Force est de constater que ces lignes directrices s’inscrivent dans la continuité des législations européennes et viennent ainsi renforcer la protection des utilisateurs, voire, s'en porter garant.
Quel avenir pour le tracking publicitaire des entreprises du numérique ?
Après un tel arrêt, il est légitime de se demander si le tracking publicitaire des entreprises du numérique est réellement mis à mal.
Nous ne pouvons pas être catégorique sur ce point car il est certain que les professionnels du web et du digital trouveront un moyen de contourner les principes récemment érigés.
C'est pourquoi, ce nouveau paradigme de la transformation de la législation en matière de digital nécessitera l'implication constante des législateurs européens et nationaux dans la création de nouvelles normes juridiques adaptatives, dans le but de garantir une règlementation satisfaisante face aux nouvelles pratiques des entreprises du numérique.
Un nouveau règlement bientôt adopté ?
Avec la censure du Privacy shield, permettant aux sociétés commerciales américaines de stocker des données à caractère personnel de l'Union-européenne vers les États-Unis, la CJUE a encore fait un nouveau pas dans la protection de l'utilisation des données à caractère personnel face aux entreprises du numérique.
De surcroît, le nouveau règlement "e-privacy" est en projet.
Il aura notamment pour tâche d'imposer aux entreprises du numérique l'établissement d'un processus garantissant aux clients la possibilité de refuser ou d’accepter l'ensemble des cookies lors de la consultation d'un site web.
Avec un tel Règlement, le législateur européen met en exergue sa volonté d'instaurer des règles plus contraignantes dont la seule finalité est de protéger la vie privée des citoyens européens sur Internet. L'élaboration et le renforcement d'un tel cadre législatif est de toute manière nécessaire car "chaque fois que nous utilisons l'internet, nous cédons inconsciemment une partie de notre souveraineté personnelle à un pouvoir opaque" (Joaquin ESTEFANÍA, El Pais - 26 septembre 2020).
Pas de contribution, soyez le premier