Logo Logo
Cookiebot

 

La décision de la CJUE interprète le RGPD et la directive « ePrivacy » (ePR) en statuant que les cases cochées par défaut des bandeaux de consentement aux cookies ne sont pas une forme valide de consentement, sauf pour les cookies strictement nécessaires au fonctionnement du site web.

 

Essayez gratuitement notre test de conformité pour vérifier si l'utilisation de cookies sur votre site web et le suivi en ligne sont conformes au RGPD / ePR.

D'après la décision de la CJUE le consentement actif est le consentement explicite, c'est-à-dire sans cases cochées par défaut.

La première cour de l’UE crée un précédent pour une protection plus efficace de la vie privée.



Le 1er octobre 2019, la plus haute autorité juridique de l’Europe, la Cour de justice de l’Union européenne (CJUE) a rendu une décision sur l’affaire Planet49, indiquant que la seule forme valide de consentement pour le traitement des données personnelles des utilisateurs dans l’UE est le consentement explicite, c’est-à-dire un consentement donné activement et expressément au site web par les utilisateurs, par exemple en cochant une case.

Ce verdict est le premier depuis l’entrée en vigueur du RGPD qui tranche explicitement sur le consentement concernant les cookies et les traceurs des sites web. Cette décision est donc d’une grande importance pour le secteur de la protection de la vie privée et pour tous les propriétaires de sites web. Elle établit un précédent juridique qui de facto a un impact sur les obligations légales concernant les cookies en attendant que le nouveau règlement « ePrivacy » (de son nom officiel « règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques ») entre en vigueur.

Dans cet article, nous apportons plus de clarté sur la décision de la CJUE, en définissant les termes liés au consentement (explicite/implicite, actif/« opt in » passif) et en expliquant concrètement qu’elles sont les conséquences pour les propriétaires et les opérateurs de sites web, non seulement au sein de l’UE mais aussi dans le monde entier.

Il s’agit d’un tournant décisif pour la protection des données dans l’Union Européenne.

La décision dans l’affaire Planet49 va avoir des conséquences considérables non seulement sur la protection des données mais aussi sur le fonctionnement d’Internet.

La CJUE est la plus haute instance juridique de l’Union Européenne et son verdict – un fil rouge qui lie les législations européennes existantes sur la confidentialité des données – crée un précédent de taille qui change considérablement les règles sur l’utilisation des données dans l’UE et pour les citoyens européens.

Un précédent qui ne peut être annulé que par l’adoption de nouvelles lois sur la protection des données, comme le futur règlement « ePrivacy » prévu pour 2020.



Les cookies peuvent-ils être sélectionnés par défaut ?


Le communiqué de presse officiel de la CJUE dissipe toute confusion : il s’intitule « Le placement de cookies requiert le consentement actif des internautes » et indique clairement qu’ « une case cochée par défaut est donc insuffisante ».

Tous les cookies qui ne sont pas strictement nécessaires et qui sont cochés par défaut sont interdits, que les données utilisées soient considérées personnelles ou non.

.

Forme valide de consentement pour les bandeaux cookies d'après la CJUE suite à l'affaire Planet49.

C’est à présent la seule forme valide de bandeau cookies dans l’UE après la décision de la CJUE.



CJUE et Planet 49


La Cour de justice de l’Union européenne (CJUE) est la plus haute instance juridique dans l’UE. Elle comprend deux juridictions : la Cour de justice et le Tribunal. La Cour de justice se compose d’un juge par État membre de l’UE et de onze avocats généraux, tandis que le Tribunal est composé de deux juges par État membre

La CJUE interprète le droit européen pour s’assurer qu’il s’applique de la même façon dans tous les pays de l’UE, résout les litiges entre les gouvernements nationaux et les institutions de l’UE et, dans notre cas, interprète le droit européen pour faire jurisprudence.

L'affaire Planet49

Pour comprendre le contexte de la décision de la CJUE sur les formes valides de consentement dans l’UE, expliquons rapidement l’affaire Planet49.

Cela pourrait être un roman de science-fiction des années 50 mais c’est en fait une entreprise allemande de jeux en ligne qui en 2013 a organisé une loterie promotionnelle demandant aux utilisateurs de partager des informations personnelles pour participer.

Les champs de saisie, où les utilisateurs devaient entrer leurs données, étaient accompagnés de deux espaces de texte explicatif et de cases à cocher. L’une d’entre-elles était cochée par défaut.

La fédération allemande des organisations de consommateurs a contesté devant les tribunaux allemands la façon dont Planet49 obtenait le consentement des utilisateurs et a fini par demander à la CJUE d’interpréter le droit européen pour clarifier si le consentement par des cases cochées par défaut était une forme valide de consentement dans l’Union Européenne.

Le jugement prononcé le mardi 1er octobre 2019 par la CJUE efface tout doute sur l’affaire Planet49, mais qui plus est, il crée un précédent de taille en ce qui concerne l’interprétation des lois européennes sur la protection de la vie privée.

Jugement complet de la CJUE en français.



La décision de la CJUE sur le consentement valide


La décision de la CJUE peut être perçue comme un fil qui lie la directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (amandée en 2009), l’ancienne directive de 1995 sur la protection des données personnelles et le règlement général sur la protection des données (RGPD) de 2018.

Ces législations européennes sur la protection de la vie privée ont pour objectif de protéger les utilisateurs de toutes interférences avec leur vie privée, en particulier de tous risques que des identifiants cachés et autres dispositifs pénètrent leur équipement de terminal à leur insu.



Consentement actif signifie consentement explicite d'après la décision de la CJUE.

La décision de la CJUE sur le consentement valide change la façon d’analyser le comportement des utilisateurs sur les sites web.



La décision de la CJUE concerne l’interprétation de l’article 2(f) et de l’article 5(3) de la directive « vie privée et communication électronique » 2002/2009, lus en combinaison avec l’article 2(h) de la directive de 1995 et l’article 6(1)(a) du règlement général sur la protection des données.

Le consentement explicite est la seule forme valide de consentement dans l’UE selon la CJUE

La CJUE a statué que les articles mentionnés ci-dessus signifient qu’un consentement n’est pas valide s’il est donné par le biais de cases cochées par défaut que les utilisateurs doivent décocher pour refuser de donner leur consentement.

Toutes les données d’utilisateurs nécessitent le même type de consentement explicite

La CJUE a également déclaré que les articles des législations européennes sur la protection de la vie privée ne doivent pas être interprétés différemment selon le caractère personnel ou non des informations stockées ou consultées.

Obligation d’informer sur la durée et sur l’accès par des tiers

De plus, la CJUE a statué que les fournisseurs de sites web et de services doivent informer leurs utilisateurs de la durée des cookies sur leurs sites et de l’accessibilité éventuelle des données des utilisateurs par des tiers.



Récapitulatif concernant la CJUE et le consentement valide


La seule forme valide de consentement pour le traitement des données des utilisateurs dans l’UE est le consentement explicite. Les cases cochées par défaut sur les bandeaux cookie sont interdites, sauf pour les cookies strictement nécessaires.

Le consentement doit être spécifique et donné activement par l’utilisateur en cochant lui-même une case, et non en désélectionnant une case cochée par défaut. Le consentement est valide seulement si les utilisateurs ont été informés de la durée des cookies opérationnels et de l’accessibilité de leurs données par des tiers.



Consentement explicite vs. Consentement implicite


Vous devez maintenant vous demander comment adapter la gestion du consentement sur votre site web et comment être sûr de se conformer à la décision de la CJUE contraignant juridiquement tous les États membres de l’UE ?

Regardons ensemble quelques termes…

Le consentement explicite est aussi appelé consentement actif dans la décision rendue par la CJUE, car le consentement est défini comme une action affirmative et spécifique effectuée par l’utilisateur final.

Consentement explicite

Le consentement explicite était défini jusqu’à présent comme le type de consentement spécifique qu’un site web devait obtenir lorsque celui-ci traitait des informations personnelles sensibles (telles que des informations sur des convictions politiques, des croyances religieuses ou des données de santé).

Cependant, avec la décision de la CJUE, toutes les données d’utilisateurs – qu’elles soient personnelles, sensibles ou non – ne peuvent être traitées qu’après que les utilisateurs finaux aient donné leur consentement explicite, aussi appelé consentement actif selon la décision officielle de la CJUE.

Consentement implicite

Le consentement implicite est la forme de consentement qui jusqu’alors était valide dans l’UE si votre site web traitait uniquement des données personnelles (et non des données personnelles sensibles).

Cette forme de consentement est aussi connue sous le nom d’option d’adhésion passive (« soft opt in » ou « opt in » passif en anglais). Si un utilisateur visite un site web et se retrouve face à un bandeau de consentement aux cookies et qu’il décide de ne pas cliquer « OK » mais plutôt de continuer à parcourir le site ou de visiter une autre sous-page du domaine, cette activité constituerait une forme valide de consentement de la part de l’utilisateur, même s’il n’en a pas connaissance.

Cette forme de consentement n’est plus valide dans l’UE.

Cependant, cette forme de consentement est toujours valide dans d’autres législations autour du monde, telles que la LGPD au Brésil élaborée à partir du RGPD.

Avant la décision de la CJUE, une forme valide de bandeau de consentement pouvait contenir des cases cochées par défaut pour les cookies nécessaires, statistiques et de préférence – pas pour les cookies marketing.

Avec la décision de la CJUE, seuls les cookies nécessaires peuvent être cochés par défaut.



Gestion du consentement sur votre site web


Avec la décision de la CJUE, les sites web ne peuvent plus avoir des bandeaux cookies avec des cases cochées par défaut. A Cookiebot, nous sommes en première ligne dans le combat pour la protection de la vie privée, en protégeant la vie privée de vos utilisateurs finaux tout en apportant une gestion proportionnée et complète du consentement sur votre site.

Cookiebot est une solution pour la gestion du consentement qui scanne votre domaine, trouve tous les cookies et les traceurs et les bloque jusqu’à ce que vos utilisateurs finaux aient donné leur consentement explicite, puis stocke tous les consentements comme preuve de légalité.



Cookiebot vous permet d'être en conformité avec la décision de la CJUE en obtenant le consentement explicite de vos utilisateurs finaux.

Notre solution de consentement permet de se mettre en conformité avec la décision de la CJUE.



Cookiebot permet à votre site web d’être en conformité avec la décision de la CJUE (avec la directive « ePrivacy » et le RGPD), ainsi qu’avec d’autres lois concernant la protection des données et de la vie privée dans le monde, du CCPA (California Consumer Privacy Act) à la LGPD.

Essayez Cookiebot gratuitement aujourd'hui.



Les conséquences pour vous, propriétaire ou opérateur du site web


La décision de la CJUE a des conséquences pour presque tous les sites web dans l’UE, quel que soit leur taille et leur forme, s’ils utilisent des cookies qui ne sont pas strictement nécessaires à leur fonctionnement de base.

La décision de la CJUE a aussi des conséquences pour les sites web en dehors de l’UE. Si votre site web est localisé à l’extérieur de l’Europe mais que certains de vos utilisateurs sont européens et donc que vous traitez les données de citoyens européens, vous êtes dans l’obligation de respecter la décision de la CJUE.

Vous devez obtenir le consentement explicite des citoyens européens avant de placer des cookies non nécessaires sur leurs appareils.

Analyse web et consentement valide

Il n’est pas surprenant qu’être en conformité avec la décision de la CJUE implique des changements importants pour la gestion de votre site web.

Si vous utilisez Google Analytics, Matomo ou d’autres outils d’analyse, comme le font la plupart des sites web dans le monde pour optimiser un site et ses opérations, cette décision peut mettre à mal vos renseignements et vos statistiques.

Pourquoi ? Parce que vous ne pouvez pas avoir de cases cochées par défaut sur votre bandeau de consentement, à l’exception des cookies strictement nécessaires. Cela signifie que vous devez compter sur vos utilisateurs pour adhérer activement (« opt in » actif) aux catégories qui vous servent à obtenir des informations statistiques et analytiques concernant leur comportement sur votre domaine.

Être en conformité avec le précédent établi par la CJUE signifie une protection plus forte et plus concrète de la vie privée des utilisateurs finaux européens, mais probablement une perte des données analytiques concernant les utilisateurs de votre site web.

Pour l’instant, voici le nouveau panorama sur la protection de la vie privée dans l’UE. Cela accroît sans aucun doute l’attente du règlement « ePrivacy », prévu pour 2020, qui pourrait consolider ce développement de la protection de la vie privée ou encore définir de nouvelles frontières juridiques.



Ressources


Communiqué de presse officiel de la décision de la Cour de justice de l’Union européenne

Jugement complet de la CJUE en français

Résumé de la décision de la CJUE par le cabinet juridique Hogan Lovells (en anglais)

« La première cour européenne  déclare que le consentement actif est nécessaire pour les cookies » - TechCrunch (en anglais)

Qu’est-ce que le RGPD ?

« Quels impacts concrets ont les nouvelles décisions de la CJUE sur l’Adtech ? » - Article du cabinet juridique Fieldfisher (en anglais)

Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui

Faites un essai gratuit