Le Comité Européen de Protection des données (ex G29 et EDPB en anglais) a mis à jour ses « Guidelines » sur le consentement, adoptées par le Groupe de l’article 29, le 10 avril 2018[1], sous l’angle des cookies[2].
Le CEPD a souhaité apporter des clarifications concernant la question de la validité du consentement aux cookies et notamment sur deux pratiques très largement utilisées à l’heure actuelle :
- La pratique du « mur de cookies » (A) ;
- La question du scrolling et du consentement (B).
Il convient de noter qu’hormis ces deux points, le reste des Guidelines reste inchangé.
Rappelons qu’un consentement valable implique une manifestation de volonté libre, spécifique, éclairée et univoque. Cette définition s’applique évidemment au consentement aux cookies.
La personne concernée qui donne son consentement au traitement de ses données doit en outre recevoir une information claire et complète sur la manière dont sont traitées ses données.
A. La pratique du « mur de cookies »
Il s’agit de la pratique consistant à implémenter au site web des bandeaux ou fenêtres qui bloquent l’accès de l’internaute au service souhaité sauf consentement global à tous les cookies.
L’article 7.4 du RGPD précise que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».
Le CEPD insiste sur le fait que le consentement doit être donné de manière libre.
Ainsi, une plateforme ne saurait conditionner la fourniture du service au consentement de l’internaute.
Par conséquent, est illicite la pratique qui consiste à mettre en place dans le script du site web un mécanisme qui bloque l’accès au contenu du site si l’internaute n’a pas cliqué sur le bouton « accepter les cookies ».
Le consentement ne saurait être libre dans la mesure où l’internaute ne dispose pas d’un véritable choix. Soit il accepte les cookies et accède aux contenus du site, soit il ne les accepte pas et n’aura alors pas accès à ces contenus. Cette pratique est totalement contraire au RGPD et aux Guidelines.
Cette analyse est conforme aux recommandations de la CNIL sur le sujet. Ainsi, dans la Délibération CNIL n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux cookies et autres traceurs publiée le 19 juillet 2019, cette dernière précisait déjà que le refus des cookies ne doit pas entraîner de conséquences négatives pour l’utilisateur[3].
B. L’exigence d’un acte clair et positif de la part de l’internaute
Le consentement doit être donné par un acte positif clair qui se distingue de tous les autres actes. Cela signifie qu’il ne doit exister aucune ambiguïté sur la teneur et l’étendue du consentement.
Dans le cadre du consentement aux cookies, le fait de continuer à naviguer sur un site web, d’utiliser ou bien de faire défiler la page d’un site web ne saurait constituer un consentement valable.
Cette vision est conforme aux exigences de la CNIL qui prévoit que les traceurs et autres cookies nécessitant un recueil du consentement ne peuvent être utilisés « tant que l’utilisateur n’a pas préalablement manifesté son consentement de manière libre, spécifique, éclairée et univoque ».
Depuis 2019, il est clair en France que la poursuite de la navigation ne vaut plus consentement aux cookies.
La révision de ces Guidelines axée sur la problématique des cookies nous apparaît être lié à l’adoption prochaine du Règlement Eprivacy qui traitera précisément de ces sujets. Le CEPD semble, tout comme la CNIL, s’emparer de ces sujets pour apporter d’ores et déjà des précisions pratiques et législatives aux acteurs de la donnée personnelle.
La Délibération CNIL n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux cookies et autres traceurs publiée le 19 juillet 2019 est néanmoins beaucoup plus précise.
Charlotte GALICHET
Sophie RENAUDIN
[1] http://avocatspi.com/2019/01/15/un-consentement-valide-au-sens-du-rgpd/
[2] Guidelines 05/2020 on consent under Regulation 2016/679
[3] http://avocatspi.com/2019/07/22/cookies-la-poursuite-de-la-navigation-ne-vaut-plus-acceptation/