Tous les articles du blog

Le consentement explicite et l’affaire Planet49 | CJUE | RGPD & ePR

La décision de la CJUE interprète le RGPD et la directive ePrivacy (ePR) en statuant que les cases cochées par défaut des bandeaux de consentement aux cookies ne sont pas une forme valide de consentement, sauf pour les cookies strictement nécessaires au fonctionnement du site web.

Mise à jour le 25 juin 2020.

Le 1er octobre 2019, la plus haute autorité juridique de l’Europe, la Cour de justice de l’Union européenne (CJUE) a rendu une décision sur l’affaire Planet49, indiquant que la seule forme valide de consentement pour le traitement des données personnelles des utilisateurs dans l’UE est le consentement explicite, c’est-à-dire un consentement donné activement et expressément au site web par les utilisateurs, par exemple en cochant une case.

Ce verdict est le premier depuis l’entrée en vigueur du RGPD qui tranche explicitement sur le consentement concernant les cookies et les traceurs des sites web. Cette décision est donc d’une grande importance pour le secteur de la protection de la vie privée et pour tous les propriétaires de sites web. Elle établit un précédent juridique qui de facto a un impact sur les obligations légales concernant les cookies en attendant que le nouveau règlement ePrivacy (de son nom officiel « règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques ») entre en vigueur.

Dans cet article, nous apportons plus de clarté sur la décision de la CJUE, en définissant les termes liés au consentement (explicite/implicite, actif/« opt in » passif) et en expliquant concrètement qu’elles sont les conséquences pour les propriétaires et les opérateurs de sites web, non seulement au sein de l’UE mais aussi dans le monde entier.

D'après la décision de la CJUE le consentement actif est le consentement explicite, c'est-à-dire sans cases cochées par défaut.

Il s’agit d’un tournant décisif pour la protection des données dans l’Union Européenne.

La décision dans l’affaire Planet49 va avoir des conséquences considérables non seulement sur la protection des données mais aussi sur le fonctionnement d’Internet.

La CJUE est la plus haute instance juridique de l’Union Européenne et son verdict – un fil rouge qui lie les législations européennes existantes sur la confidentialité des données – crée un précédent de taille qui change considérablement les règles sur l’utilisation des données dans l’UE et pour les citoyens européens.

Un précédent qui ne peut être annulé que par l’adoption de nouvelles lois sur la protection des données, comme le futur règlement ePrivacy.

Vous avez des doutes sur la conformité de votre site web avec le RGPD ? Vérifiez votre site web grâce au test de conformité gratuit Cookiebot.

Essayez la plateforme de gestion des consentements Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.

Les cookies peuvent-ils être sélectionnés par défaut ?

Le communiqué de presse officiel de la CJUE dissipe toute confusion : il s’intitule « Le placement de cookies requiert le consentement actif des internautes » et indique clairement qu’ « une case cochée par défaut est donc insuffisante ».

Tous les cookies qui ne sont pas strictement nécessaires et qui sont cochés par défaut sont interdits, que les données utilisées soient considérées personnelles ou non.

Logo banner powered by Cookiebot by Usercentrics
C’est à présent la seule forme valide de bandeau cookies dans l’UE après la décision de la CJUE.

Lignes directrices du EDPB sur le consentement valide

En mai 2020, le Comité européen de protection des données (EDPB) a adopté des lignes directrices sur le consentement valide dans l’UE. Les lignes directrices du EDPB soutiennent l’arrêt de la CJUE dans l’affaire Planet49, mais couvrent également d’autres aspects de ce qui constitue un consentement valide selon le RGPD.

Les lignes directrices du EDPB précisent que :

  • Aucune case cochée par défaut n’est autorisée sur le bandeau de consentement.
  • Le défilement et la poursuite de la navigation ne constituent pas un consentement valide.
  • Les cookie walls (consentement forcé) ne sont pas une forme de consentement valide.

En savoir plus sur les lignes directrices du EDPB concernant le consentement valide

CJUE et Planet 49

La Cour de justice de l’Union européenne (CJUE) est la plus haute instance juridique dans l’UE. Elle comprend deux juridictions : la Cour de justice et le Tribunal. La Cour de justice se compose d’un juge par État membre de l’UE et de onze avocats généraux, tandis que le Tribunal est composé de deux juges par État membre

La CJUE interprète le droit européen pour s’assurer qu’il s’applique de la même façon dans tous les pays de l’UE, résout les litiges entre les gouvernements nationaux et les institutions de l’UE et, dans notre cas, interprète le droit européen pour faire jurisprudence.

L’affaire Planet49

Pour comprendre le contexte de la décision de la CJUE sur les formes valides de consentement dans l’UE, expliquons rapidement l’affaire Planet49.

Cela pourrait être un roman de science-fiction des années 50 mais c’est en fait une entreprise allemande de jeux en ligne qui en 2013 a organisé une loterie promotionnelle demandant aux utilisateurs de partager des informations personnelles pour participer.

Les champs de saisie, où les utilisateurs devaient entrer leurs données, étaient accompagnés de deux espaces de texte explicatif et de cases à cocher. L’une d’entre-elles était cochée par défaut.

La fédération allemande des organisations de consommateurs a contesté devant les tribunaux allemands la façon dont Planet49 obtenait le consentement des utilisateurs et a fini par demander à la CJUE d’interpréter le droit européen pour clarifier si le consentement par des cases cochées par défaut était une forme valide de consentement dans l’Union Européenne.

Le jugement prononcé le mardi 1er octobre 2019 par la CJUE efface tout doute sur l’affaire Planet49, mais qui plus est, il crée un précédent de taille en ce qui concerne l’interprétation des lois européennes sur la protection de la vie privée.

Jugement complet de la CJUE en français.

La décision de la CJUE sur le consentement valide

La décision de la CJUE peut être perçue comme un fil qui lie la directive de 2002 sur la protection de la vie privée dans le secteur des communications électroniques (amandée en 2009), l’ancienne directive de 1995 sur la protection des données personnelles et le règlement général sur la protection des données (RGPD) de 2018.

Ces législations européennes sur la protection de la vie privée ont pour objectif de protéger les utilisateurs de toutes interférences avec leur vie privée, en particulier de tous risques que des identifiants cachés et autres dispositifs pénètrent leur équipement de terminal à leur insu.

Consentement actif signifie consentement explicite d'après la décision de la CJUE.
La décision de la CJUE sur le consentement valide change la façon d’analyser le comportement des utilisateurs sur les sites web.

La décision de la CJUE concerne l’interprétation de l’article 2(f) et de l’article 5(3) de la directive ePrivacy 2002/2009, lus en combinaison avec l’article 2(h) de la directive de 1995 et l’article 6(1)(a) du règlement général sur la protection des données.

Le consentement explicite est la seule forme valide de consentement dans l’UE selon la CJUE

La CJUE a statué que les articles mentionnés ci-dessus signifient qu’un consentement n’est pas valide s’il est donné par le biais de cases cochées par défaut que les utilisateurs doivent décocher pour refuser de donner leur consentement.

Toutes les données d’utilisateurs nécessitent le même type de consentement explicite

La CJUE a également déclaré que les articles des législations européennes sur la protection de la vie privée ne doivent pas être interprétés différemment selon le caractère personnel ou non des informations stockées ou consultées.

Obligation d’informer sur la durée et sur l’accès par des tiers

De plus, la CJUE a statué que les fournisseurs de sites web et de services doivent informer leurs utilisateurs de la durée des cookies sur leurs sites et de l’accessibilité éventuelle des données des utilisateurs par des tiers.

Récapitulatif concernant la CJUE et le consentement valide

La seule forme valide de consentement pour le traitement des données des utilisateurs dans l’UE est le consentement explicite. Les cases cochées par défaut sur les bandeaux cookie sont interdites, sauf pour les cookies strictement nécessaires.

Le consentement doit être spécifique et donné activement par l’utilisateur en cochant lui-même une case, et non en désélectionnant une case cochée par défaut. Le consentement est valide seulement si les utilisateurs ont été informés de la durée des cookies opérationnels et de l’accessibilité de leurs données par des tiers.

Consentement explicite vs. Consentement implicite

Vous devez maintenant vous demander comment adapter la gestion du consentement sur votre site web et comment être sûr de se conformer à la décision de la CJUE contraignant juridiquement tous les États membres de l’UE ?

Regardons ensemble quelques termes…

Le consentement explicite est aussi appelé consentement actif dans la décision rendue par la CJUE, car le consentement est défini comme une action affirmative et spécifique effectuée par l’utilisateur final.

Consentement explicite

Le consentement explicite était défini jusqu’à présent comme le type de consentement spécifique qu’un site web devait obtenir lorsque celui-ci traitait des informations personnelles sensibles (telles que des informations sur des convictions politiques, des croyances religieuses ou des données de santé).

Cependant, avec la décision de la CJUE, toutes les données d’utilisateurs – qu’elles soient personnelles, sensibles ou non – ne peuvent être traitées qu’après que les utilisateurs finaux aient donné leur consentement explicite, aussi appelé consentement actif selon la décision officielle de la CJUE.

Consentement implicite

Le consentement implicite est la forme de consentement qui jusqu’alors était valide dans l’UE si votre site web traitait uniquement des données personnelles (et non des données personnelles sensibles).

Cette forme de consentement est aussi connue sous le nom d’option d’adhésion passive (« soft opt in » ou « opt in » passif en anglais). Si un utilisateur visite un site web et se retrouve face à un bandeau de consentement aux cookies et qu’il décide de ne pas cliquer « OK » mais plutôt de continuer à parcourir le site ou de visiter une autre sous-page du domaine, cette activité constituerait une forme valide de consentement de la part de l’utilisateur, même s’il n’en a pas connaissance.

Cette forme de consentement n’est plus valide dans l’UE.

Cependant, cette forme de consentement est toujours valide dans d’autres législations autour du monde, telles que la LGPD au Brésil élaborée à partir du RGPD.

Avant la décision de la CJUE, une forme valide de bandeau de consentement pouvait contenir des cases cochées par défaut pour les cookies nécessaires, statistiques et de préférence – pas pour les cookies marketing.

Avec la décision de la CJUE, seuls les cookies nécessaires peuvent être cochés par défaut.

Gestion du consentement sur votre site web

Avec la décision de la CJUE, les sites web ne peuvent plus avoir des bandeaux cookies avec des cases cochées par défaut. L’équipe derrière Cookiebot CMP est en première ligne dans le combat pour la protection de la vie privée, en protégeant la vie privée de vos utilisateurs finaux tout en apportant une gestion proportionnée et complète du consentement sur votre site.

Cookiebot CMP est une solution pour la gestion des consentements qui scanne votre domaine, trouve tous les cookies et les traceurs et les bloque jusqu’à ce que vos utilisateurs finaux aient donné leur consentement explicite, puis stocke tous les consentements comme preuve de légalité.

Logo banner powered by Cookiebot by Usercentrics
Notre solution de consentement permet de se mettre en conformité avec la décision de la CJUE.

Cookiebot CMP permet à votre site web d’être en conformité avec la décision de la CJUE (avec la directive ePrivacy et le RGPD), ainsi qu’avec d’autres lois concernant la protection des données et de la vie privée dans le monde, du CCPA (California Consumer Privacy Act) à la LGPD.

Essayez Cookiebot CMP gratuitement aujourd’hui.

Les conséquences pour vous, propriétaire ou opérateur du site web

La décision de la CJUE a des conséquences pour presque tous les sites web dans l’UE, quel que soit leur taille et leur forme, s’ils utilisent des cookies qui ne sont pas strictement nécessaires à leur fonctionnement de base.

La décision de la CJUE a aussi des conséquences pour les sites web en dehors de l’UE. Si votre site web est localisé à l’extérieur de l’Europe mais que certains de vos utilisateurs sont européens et donc que vous traitez les données de citoyens européens, vous êtes dans l’obligation de respecter la décision de la CJUE.

Vous devez obtenir le consentement explicite des citoyens européens avant de placer des cookies non nécessaires sur leurs appareils.

Analyse web et consentement valide

Il n’est pas surprenant qu’être en conformité avec la décision de la CJUE implique des changements importants pour la gestion de votre site web.

Si vous utilisez Google Analytics, Matomo ou d’autres outils d’analyse, comme le font la plupart des sites web dans le monde pour optimiser un site et ses opérations, cette décision peut mettre à mal vos renseignements et vos statistiques.

Pourquoi ? Parce que vous ne pouvez pas avoir de cases cochées par défaut sur votre bandeau de consentement, à l’exception des cookies strictement nécessaires. Cela signifie que vous devez compter sur vos utilisateurs pour adhérer activement (« opt in » actif) aux catégories qui vous servent à obtenir des informations statistiques et analytiques concernant leur comportement sur votre domaine.

Être en conformité avec le précédent établi par la CJUE signifie une protection plus forte et plus concrète de la vie privée des utilisateurs finaux européens, mais probablement une perte des données analytiques concernant les utilisateurs de votre site web.

Pour l’instant, voici le nouveau panorama sur la protection de la vie privée dans l’UE. Cela accroît sans aucun doute l’attente du règlement ePrivacy, qui pourrait consolider ce développement de la protection de la vie privée ou encore définir de nouvelles frontières juridiques.

FAQ

Qu’est-ce que la CJUE ?

La Cour de justice de l’Union européenne (CJUE) est la plus haute instance juridique de l’UE. Ses arrêts et décisions créent des précédents sur la manière dont le droit communautaire est interprété et appliqué dans chaque État membre de l’UE. La CJUE se compose d’un juge de chaque pays de l’UE et de onze avocats généraux.

En savoir plus sur le RGPD

En quoi consiste l’arrêt Planet49 de la CJUE ?

L’arrêt rendu par la CJUE dans l’affaire Planet49 concerne l’interprétation de l’exigence de consentement du RGPD comme base juridique du traitement légal des données à caractère personnel. La société allemande de jeux en ligne Planet49 a obtenu le consentement des utilisateurs sur son site web en utilisant des cases cochées par défaut, et la CJUE a jugé que le consentement n’est pas valide s’il est donné au moyen de cases pré-cochées que les utilisateurs doivent désélectionner pour refuser le consentement.

En savoir plus sur les lignes directrices du EDPB sur la validité du consentement dans l’UE

Que signifie l’arrêt de la CJUE pour mon site web ?

L’arrêt de la CJUE – ainsi que les lignes directrices du EDPB sur le consentement valide depuis mai 2020 – signifie que votre site web n’est pas autorisé à avoir des cases cochées par défaut sur ses bandeaux de consentement. La seule forme de consentement valide dans l’UE selon le RGPD est celle où l’utilisateur prend une décision claire et positive, par exemple en cochant une case et en cliquant ensuite sur OK.

En savoir plus sur le RGPD et le consentement

Comment mon site web peut-il être conforme au RGPD ?

Votre site web doit toujours obtenir le consentement préalable de ses utilisateurs avant de traiter leurs données personnelles. La plupart des cookies traitent des données personnelles telles que les adresses IP, le navigateur et l’historique des recherches. Une plateforme de gestion du consentement peut être un moyen facile de s’assurer que tout traitement de données sur votre domaine se fait en toute légalité.

Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous en avez un petit pour toujours.

Ressources

Communiqué de presse officiel de la décision de la Cour de justice de l’Union européenne

Jugement complet de la CJUE en français

Résumé de la décision de la CJUE par le cabinet juridique Hogan Lovells (en anglais)

« La première cour européenne  déclare que le consentement actif est nécessaire pour les cookies » – TechCrunch (en anglais)

Qu’est-ce que le RGPD ?

« Quels impacts concrets ont les nouvelles décisions de la CJUE sur l’Adtech ? » – Article du cabinet juridique Fieldfisher (en anglais)

    Suivez l’actualité

    Rejoignez dès maintenant notre communauté grandissante d’amateurs de la confidentialité des données. Abonnez-vous à la newsletter de Cookiebot™ et recevez les dernières actualités directement dans votre boîte mail.

    En cliquant sur "S'abonner", je confirme que je souhaite m'abonner à la newsletter de Cookiebot™. Je peux facilement me désabonner de la newsletter de Cookiebot™ et révoquer le consentement à l'utilisation de mes données en cliquant sur le lien de désabonnement ou je peux écrire à [email protected] pour en faire la demande. Politique de confidentialité.

    Rendez l’utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd’hui

    FAITES UN ESSAI GRATUIT