Veille juridique : consentement aux cookies

Je pose ça ici :

https://legalnews.be/fr/droit-de-la-vie-privee-ti-et-pi/droit-au-respect-de-la-vie-privee/toestemming-voor-cookies-het-hof-van-justitie-spreekt-zich-uit-claeys-engels/

Dans un arrêt du 1er octobre 2019, la Cour de Justice a estimé que le consentement quant aux cookies présuppose une démarche active de la part des utilisateurs. Les cases à cocher standard ne sont donc pas autorisées. En outre, les administrateurs de sites Web doivent également fournir (le cas échéant) des informations sur les destinataires éventuels, ou sur les catégories de destinataires éventuelles, et sur la durée de vie des cookies.

Sur base de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (« directive e-Privacy »), transposée en droit belge, la règle générale est que le placement de cookies requiert le consentement de l’utilisateur. Certains cookies sont néanmoins exemptés de cette obligation. Indépendamment du fait qu’un consentement soit, ou non, requis, les administrateurs de sites Web doivent également informer les utilisateurs de l’installation de cookies.

Dans un récent arrêt du 1er octobre 2019 (C-673/17, Planet49 GmbH), la Cour de Justice s’est prononcée plus en détails sur (i) les exigences relatives à un consentement valable en matière de cookies et (ii) les informations à fournir sur les cookies installés.

Dans cette affaire, une société allemande avait organisé une loterie publicitaire sur un site Web, permettant aux utilisateurs d’accepter des cookies affichant des publicités personnalisées en fonction de leur comportement de navigation. Ce consentement était demandé via une case à cocher, laquelle était néanmoins cochée par défaut et devait être décochée par les utilisateurs s’ils refusaient de marquer leur consentement.

La Cour de Justice a décidé que le consentement quant aux cookies ne pouvait être obtenu légalement via une case standard cochée. Ce consentement doit répondre aux mêmes exigences que celles prévues par la législation sur la protection des données, ce qui signifie, entre autres, qu’une action doit être posée. Une case préalablement cochée ne répond pas à ce critère.

Selon la Cour de Justice, ce qui précède s’applique d’autant plus dans le cadre du Règlement Général sur la Protection des données (RGPD). En effet, le RGPD prévoit expressément que le consentement doit être actif. Ce n’est pas la seule condition pour obtenir un consentement juridiquement valable, car selon le RGPD, il ne doit pas seulement être univoque (et donc actif), mais aussi libre, spécifique et éclairé.

La Cour de Justice a en outre précisé que, pour la validité du consentement quant aux cookies, il importe peu que les informations stockées contiennent, ou non, des données à caractère personnel. Même si ce n’est pas le cas, le consentement relatif aux cookies nécessite une démarche active. L’obligation de consentement a pour but de protéger les utilisateurs contre toute ingérence possible dans leur vie privée, que cette ingérence concerne ou non des données à caractère personnel.

Selon la Cour de Justice, les informations fournies doivent permettre aux utilisateurs de comprendre les conséquences impliquées en cas de consentement. Cela ne signifie pas seulement que les utilisateurs doivent être informés, par exemple, de l’identité du responsable du traitement et de l’objet des cookies, mais aussi:

des destinataires ou catégories de destinataires des données, lorsque cela est nécessaire pour assurer un traitement loyal à l’égard des utilisateurs; de la durée d’activation des cookies, compte tenu de leur longue durée d’utilisation, voire de leur durée illimitée, ce qui peut entrainer la collecte d’un grand nombre d’informations sur le comportement de navigation des utilisateurs. Au niveau européen, un règlement e-Privacy est en cours d’élaboration, lequel vise à remplacer l’actuelle directive e-Privacy. Ce règlement pourrait modifier à l’avenir le cadre juridique existant en matière de cookies. Il va de soi que nous assurons le suivi de cette matière pour vous.

Il faudra vérifier ce qu’il est possible de faire — le cas échéant — pour être en conformité avec cette jurisprudence. Je ne me souviens plus exactement de la manière dont on consent aux cookies sur ZdS (ça fait un moment que j’ai consenti et j’ai la flemme de supprimer les cookies pour vérifier ).

Ok, "Accepter" n’est pas mis en évidence par défaut (dans l’arrêt, on parle d’une case à cocher mais gardons une similitude pour le raisonnement), on permet aussi aux visiteurs un consentement éclairé en leur donnant la possibilité d’en savoir plus.

Sur ces points, c’est bon à mon sens.

En ce qui concerne les informations sur les cookies, il faudra à mon sens préciser la "durée de stockage/activation" vu que la Cour le mentionne.

Si l’utilisateur visite une autre page ou recharge cette page, les cookies sont considérés comme étant acceptés (car "en poursuivant [sa] navigation sur ce site sans exprimer [son] choix, [l’utilisateur autorise] la mesure d’audience")

Au sens de l’arrêt, ouais ça pose pépin. Nous ne pouvons supposer un consentement.

Pour ce qui est des informations sur les cookies, faut-il les mettre dans la bannière ou dans la page "En savoir plus" ?

Dans la page "En savoir plus". Cela n’est pas gênant du moment que l’on permet un consentement éclairé (donc d’en savoir plus), visiblement.

On en fait déjà trop avec ce ruban en position:fixed;.

Dans cette affaire, une société allemande avait organisé une loterie publicitaire sur un site Web, permettant aux utilisateurs d’accepter des cookies affichant des publicités personnalisées en fonction de leur comportement de navigation.

L’utilisation publicitaire et de mesure d’audience sont deux choses différentes. Pour la mesure d’audience :

• L’éditeur du site doit délivrer une information claire et complète ;
• Un mécanisme d’opposition doit être accessible simplement et doit pouvoir être utilisable sur tous les navigateurs, et tous les types de terminaux (y compris les smartphones et tablettes).
• Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple).
• Le cookie déposé doit servir uniquement à la production de statistiques anonymes ;
• Le cookie ne doit pas permettre de suivre la navigation de l’internaute sur d’autres sites.
• L’adresse IP permettant de géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Concrètement les deux derniers octets de l’adresse IP doivent être supprimés.
• Les cookies permettant la traçabilité des internautes et les adresses IP ne doivent pas être conservés au-delà de 13 mois à compter de la première visite ; les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois.

Ce n’est pas à nous de dire si l’on en fait trop ou pas assez. Il y a une législation et de la jurisprudence, l’association a une obligation légale de s’assurer que ZdS agit conformément avec la législation en vigueur, aussi "chiante" soit-elle.

Le but ici est simplement de s’assurer que l’on respecte au mieux les règles européennes.

C’est la CNIL qui s’occupe de ça avec son budget réduit. A part un serment, une association comme Zeste de Savoir ne craint rien.

Je ne comprend pas le lien avec Zeste de Savoir, notamment parce que c’est sur un usage publicitaire et non de mesure d’audience et que la cour de justice a une autorité discutable dans le sens qu’un arrêt européen ne va pas prendre le dessus sur les recommandations de la CNIL. A la limite, l’arrêt de la cour de justice va préciser un point mais elle ne prendra pas le dessus.

Je ne comprend pas le lien Zeste de Savoir, notamment parce que c’est sur un usage publicitaire

C’est un arrêt de principe. Sa portée dépasse le cadre strict du cas porté devant elle, d’où notamment le lien fait avec le RGPD.

que la cours de justice a une autorité discutable dans le sens qu’un arrêt européen ne va pas prendre le dessus sur les recommandations de la CNIL. A la limite, l’arrêt de la cours de justice va préciser un point mais elle ne prendra pas le dessus.

La CJUE a au contraire une très grande influence sur ce point. Elle est la garante du droit à la vie privée au niveau européen et ses décisions sont suivies par les législations nationales. Il ne s’agit pas de recommandations. C’est un arrêt d’une Cour qui a force de loi. La Cour de justice et le Tribunal, dont la mission première consiste à examiner la légalité des actes de l’Union et à assurer une interprétation et une application uniformes du droit de celle-ci.

Au fil de sa jurisprudence, la Cour de justice a dégagé l’obligation pour les administrations et les juges nationaux d’appliquer pleinement le droit de l’Union à l’intérieur de leur sphère de compétence et de protéger les droits conférés par celui-ci aux citoyens (application directe du droit de l’Union), en laissant inappliquée toute disposition contraire du droit national, qu’elle soit antérieure ou postérieure à la norme de l’Union (primauté du droit de l’Union sur le droit national).

La CNIL devra ainsi évaluer et intégrer la décision dans ses recommandations. Elle ne fait pas ce qu’elle veut. Cet arrêt devra être suivi au niveau national.

Humm, Matomo, humm.

Un jour peut-être.

Ce que je veux dire pas là, c’est qu’étant donné qu’on utilise Google Analytique, on doit obtenir le consentement explicite de l’utilisateur, car on ne maîtrise pas ce qu’en fait Google. Si on gérait l’analyse d’audience nous même, le consentement n’étant pas obligatoire, on pourrait retirer le bandeau quand on veut, voir ne proposer uniquement que « En savoir plus ».

Libre à toi de le mettre en place @ache ! La question est posée à chaque fois qu’on parle de Google Analytics et la réponse est toujours la même : on aimerait bien utiliser Matomo à la place de Google Analytics mais à l’heure actuelle personne n’a à la fois les compétences et le temps pour mettre en place Matomo et le maintenir sur le long terme.

Salut,

Je me permets juste de réagir là-dessus parce que le « force de loi » me fait grincer des dents. Je comprend bien ce que tu veux dire : la CJUE est la garante du respect et de l’interprétation correcte des traîtés et des normes adoptées par les institutions de l’UE. Toutefois, elle n’adopte pas de textes normatifs, uniquement des jugements, confinés à un cas d’espèce (on est bien d’accord, la portée est dans les faits plus large puiqu’un tribunal national adoptera cette position si un cas similaire se présente, mais bref).

Comme c’est GAnalytics qui permet les mesures d’audience, nous n’avons aucun contrôle sur ces différents points.

En particulier, on sait que G recoupe les données entre les différents sites suivis au profit de GAds.

Ce que je veux dire c’est que l’interprétation jurisprudentielle va être assimilée à la loi. La CJUE va interpréter la norme et cette interprétation fera corps avec elle, éclaire la loi par l’interprétation juridique qui en est faite et aura la même force obligatoire.

En effet, « elle l’est d’une manière indirecte, qui procède précisément de son incorporation à la loi ; les décisions qui la méconnaissent sont cassées pour violation de la loi, à travers l’interprétation qui en a été judiciairement donnée » (P. Hébraud, abordant les décisions en cassation, mais ça s’applique également ici : une décision contraire à l’interprétation de la CJUE sera traitée comme une violation de la loi)

L’interprétation donnée dans l’arrêt est liée à la loi. Elle fait corps et les juridictions nationales sont tenues d’en tenir compte dans une situation similaire (bien que le raisonnement pourrait être suivi dans des situations analogues).

Ce dont il est question ici par jurisprudence ayant force de loi est le sens étroit de "jurisprudence", il correspond au phénomène créateur de droit, c’est-à-dire, « l’interprétation d’une règle de droit définie, telle qu’elle est admise par les juges » et qui, in extenso, se verra appliquée par les juges dans des situations similaires voire, en fonction des cas d’espèce et de la motivation des décisions des juges, à des cas analogues. Il advient même de plus que cette interprétation finisse par figurer dans le texte de loi suite à un amendement.

Et c’est d’ailleurs pleinement le cas de la CJUE puisque, rappelons-le, 80% de la réglementation européenne en matière de vie privée telle qu’elle est appliquée est issue de l’interprétation de la CJUE. Cet arrêt est une pierre de plus à l’édifice. Même le RGPD tire en grande partie ses fondements d’arrêts et d’éclaircissements issus de questions préjudicielles.

La CJUE est une juridiction particulière sur ce point vu qu’elle a une très, très grande influence sur le droit européen par le fait même qu’elle doit interpréter les textes qui devront s’appliquer uniformément dans toute l’Union. Dans les faits, les arrêts de la CJUE ont une énorme portée. Quand on regarde le nombre de législations européennes qui ont intégrées dans le texte même l’interprétation de la CJUE… Il est ainsi difficile de nier la force légale des décisions de la CJUE.

D’un point de vue terminologique, tu as raison hein. Mais bon, pour le coup, ce sont les faits qui m’intéressent.

En tant que représentant de l’asso, je vois qu’il y a une discussion et que l’asso doit donner sa position : en termes de justice, de respect de la vie privée, et de conformité au RGPD, il vaut mieux en faire trop que pas assez.

ZdS a toujours porté assez haut le respect de ses visiteurs, ne serait-ce qu’en étant créé sans pub, c’est un choix fort, qui impose que l’on soit cohérent en termes d’image, et donc le plus carrés possible sur tout le reste.

Par ailleurs, en tant que président actuel, au regard de la justice Française (donc a fortiori européenne), si jamais ZdS devait répondre de ce que l’on fait sur le site au regard de la loi, je serais en première ligne.

Pour cette raison, je remercie Arius d’avoir porté cette jurisprudence à notre connaissance, et je suis pour suivre ses recommandations.

Peut-être que c’est superflu, peut-être que la CNIL ne viendra jamais nous faire les gros yeux, peut-être… mais ne serait-ce que pour respecter réellement l’état d’esprit de ZdS, je pense que nous avons tout à gagner étant très scrupuleux sur le sujet.

C’est à la fois une question de principes et d’image.

Comme c’est GAnalytics qui permet les mesures d’audience, nous n’avons aucun contrôle sur ces différents points.

Pour un projet j’avais regardé précisément ce qu’attendait la CNIL, j’avais conclu que GA correspond aux attentes de la CNIL, et qu’on n’a pas besoin de recueillir le consentement à l’avance. Il faut toutefois permettre d’autoriser la désactivation.

Si j’ai bien compris, l’équipe technique doit :

• laisser afficher la bannière tant que l’utilisateur n’a pas fait un choix entre "Accepter" et "Refuser"
• préciser la page "À propos des cookies" en ce qui concerne "l’identité du responsable du traitement et de l’objet des cookies", les "destinataires ou catégories de destinataires des données", "la durée d’activation des cookies, compte tenu de leur longue durée d’utilisation, voire de leur durée illimitée", etc

laisser afficher la bannière tant que l’utilisateur n’a pas fait un choix entre "Accepter" et "Refuser"

AMHA, oui. Car on a une différence de traitement qui n’est pas justifiée. Si on demande le consentement, alors on ne peut pas considérer que le visiteur a dit oui juste parce qu’il a rechargé la page. Il n’a pas donné son consentement.

Pour le reste, faut voir ce qui pourrait être précisé.

Ça par exemple :

Le délais par défaut est d’un an il me semble (et ça se paramètre).

Cela peut être bien de le dire.

Je précise juste que ce n’est pas urgent dans le sens où l’on ne va pas se faire taper sur les doigts demain. On a le temps de réfléchir à la question, voir ce qui peut être précisé ou doit être fait. On peut également se renseigner auprès de la CNIL pour avoir leur recommandation en tenant compte de l’arrêt. Bref, il s’agit simplement de vérifier si notre utilisation est conforme à ce que la jurisprudence semble soulever.

Hello à tous!

Il me semble qu’il ne faut pas donner à cette décision plus de porter qu’elle n’en a. Le dispositif de la décision dit que le consentement n’est pas valablement donné quand il est issu d’un case précoché sur "Accepter", car il n’y a pas de comportement actif de l’utilisateur.

Ca ne dit rien d’autre.

Concernant le dernier comportement, il suffit pour être conforme, à mon avis, qu’il soit considéré un refus des cookies. En cliquant ailleurs que sur les boutons "En savoir plus", "Accepter" ou "Refuser", l’utilisateur adopte un comportement ambigu. On ne peut dégager aucune certitude sur le consentement ou non par ce comportement. Il ne peut donc pas être considéré comme actif ni clair ou encore explicite.