Le Comité Européen de Protection des données (CEPD et ancien G29) a mis à jour les lignes directrices du 10 avril 2018 du G29 qui clarifient et illustrent par des exemples concrets les nouvelles règles en matière de consentement issues du Règlement européen sur la protection des donnée (RGPD). La version mise à jour précise que l’accès au contenu d’un site Internet ne peut pas être conditionné par l’acceptation des cookies et que la poursuite de la navigation sur un site Internet n’est pas un consentement valable.
Le consentement de la personne concernée est une notion importante en matière de protection des données : le consentement est l’une des hypothèses permettant de légitimer le traitement de données à caractère personnel (il y a d’autres hypothèses, le consentement n’étant pas le seul cas de légitimité).
Le principe est simple mais le diable est – on le sait – dans les détails : quand un consentement est-il valide ? informé ? libre ? univoque ?
Le 28 novembre 2017, le G29 adoptait ses lignes directrices sur le consentement pour aider les entreprises et individus à déterminer quand un consentement est nécessaire et quelles conditions doivent être remplies pour que celui-ci soit valable (lisez ici notre analyse de ces lignes directrices).
Ces lignes directrices – révisées une première fois le 10 avril 2018 – ont été récemment mises à jour. Elles restent pour la majorité inchangées mais le CEPD apporte deux précisions supplémentaires concernant :
Ces deux précisions qui sont insérées respectivement dans les sections sur la conditionnalité (§§ 38 à 41) et sur le consentement univoque (§ 86), concernent les cookies.
Rappelons que le concept de consentement est commun aux deux réglementations (même si le terme utilisé est différent – on parle d’accord pour les cookies – la CJUE a rapproché les notions).
Pour autant, les systèmes ne sont toutefois pas identiques : là où le consentement n’est qu’une des bases de licéité pour traiter des données personnelles (il y a en a d’autres), il est systématiquement requis pour les cookies (« (…) le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord. (…) »).
Pour être valable, le consentement doit être libre. Cela signifie que le consentement doit résulter du libre choix de l’utilisateur. Le consentement ne peut être considéré comme libre lorsque l’utilisateur n’a pas véritablement le choix de refuser ou de retirer son consentement sans subir un désavantage.
Le CEPD donne l’exemple des « cookies walls » (dispositif imposant aux internautes de consentir à l’utilisation de cookies avant même de pouvoir accéder à un site web) pour illustrer les cas où le consentement n’est pas donné librement.
Il explique qu’un fournisseur de site Internet ne peut pas conditionner l’accès à son site – en rendant son contenu illisible/inaccessible – au consentement des utilisateurs au dépôt de traceurs ou à l’accès à des traceurs déjà enregistrés dans leur terminal (smartphone, ordinateur, etc.).
En d’autres mots, l’utilisateur doit pouvoir accéder au site Internet et à ses fonctionnalités sans être obligé d’accepter les cookies (ceci ne concerne pas les cookies « essentiels », à savoir ceux qui sont indispensables au fonctionnement du site Internet).
Mais qu’en est-il des bandeaux cookies qui restent affichés aussi longtemps que l’utilisateur ne les valide pas ? Ou des sites Internet qui ne retiennent que les « choix positifs » mais jamais les « choix négatifs » des utilisateurs et reposent la même question à chaque visite ? Le CEPD ne définit pas et n’explique pas de manière claire ce qu’il faut entendre par « cookies wall » dans ses lignes directrices. Il n’est donc pas certain que ces cas soient assimilés ou assimilables à des cookies walls.
Dans le cadre de sa déclaration sur la révision de la directive ePrivacy 2002/58/CE (qui règlemente actuellement les cookies et qui est vouée à être remplacée par un Règlement) et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques (disponible ici), le CEPD précisait en note de bas de page que « le « cookie wall » empêche les utilisateurs qui ne donnent pas leur consentement d’accéder à un site ou à un service internet ». Partant de cette définition, l’affichage permanant d’un bandeau ou la réitération de la demande en cas de refus ne semblent pas tomber sous le coup de l’interdiction à condition qu’ils n’empêchent pas l’accès au site ou au service.
Oui mais… dans sa recommandation mise à jour, le CEPD précise que l’utilisateur doit non seulement pouvoir accéder au site Internet mais aussi à ses fonctionnalités. Or, l’affichage permanant d’un bandeau est susceptible d’entraver l’accès à certaines fonctionnalités d’un site Internet. C’est le cas par exemple les éléments qui se trouvent en pied de page du site lorsque le bandeau est placé au bas de l’écran (menu, bouton de suivi, horaires, coordonnées, politique de confidentialité, politique de cookies, etc.). Est-ce à dire que ces pratiques violent la réglementation en vigueur ? Rien n’est moins sûr … Ce flou est regrettable dans la mesure où il s’agit là de cas fréquents.
Une chose est certaine à ce stade : le CEPD condamne l’absence totale de choix. Si la seule option possible pour l’internaute qui souhaite poursuivre sa navigation est de cliquer sur un bouton « Accepter les cookies », sans lui laisser la possibilité de refuser les cookies (en cliquant par exemple sur un bouton « Refuser les cookies »), le consentement n’est pas libre.
Le CEPD ajoute un nouvel exemple (numéroté 16) pour expliquer aux responsables du traitement qui doivent élaborer des mécanismes de consentement clairs (déclaration ou acte positif clair), comment éviter toute ambiguïté.
Le G29 avait déjà précisé à l’époque : « Aussi la simple poursuite de l’utilisation ordinaire d’un site Internet n’est-elle pas un consentement qui permet de supposer une manifestation de volonté de la part de la personne concernée visant à donner son accord à une opération de traitement envisagée. ».
Le CEPD précise dans sa recommandation mise à jour que le fait de faire défiler ou parcourir une page Internet ne peut pas être considéré comme un consentement valable : le consentement n’est pas « univoque » ; il ne s’agit pas d’un acte positif clair. Il explique que de telles actions peuvent être difficiles à distinguer d’autres activités ou interactions avec l’utilisateur et qu’il est par conséquent impossible de déterminer avec certitude si oui ou non la personne a entendu consentir en entreprenant ces actions. Le consentement est donc ambigu.
Le CEPD rappelle également que le consentement doit pouvoir être retiré à tout moment et ce, aussi facilement qu’il a été donné. Or cette condition est compliqué à satisfaire dans un cas comme celui-là.
En lisant la recommandation 05/2020 sur le consentement au sens du Règlement 2016/679, disponible en annexe.
Source : Droit & Technologies, Juin 2020, publié par Thierry Léonard, Olivia Guerguinov, Etienne Wery