Contribution de David Rosenthal à l’occasion des cinq ans de LawInside.ch

Pour célébrer les cinq ans de LawInside.ch, nous avons demandé à des personnalités actives dans le monde juridique en Suisse romande et alémanique de commenter un arrêt comme contributeurs externes de LawInside.ch.

Comme deuxième contributeur, nous avons le plaisir d’avoir franchi le röstigraben avec David Rosenthal, chargé de cours à l’EPFZ et à l’Université de Bâle. Il est un spécialiste reconnu en matière de protection des données et droit des nouvelles technologies, matières qu’il a pratiquées durant de nombreuses années au sein de l’Étude d’avocats Homburger à Zurich. Egalement corédacteur d’un ouvrage de référence en matière de protection des données, M. Rosenthal travaille actuellement en tant qu’indépendant.

Vous trouverez ci-dessous le résumé et l’analyse de David Rosenthal en français (version traduite par Simone Schürch) et en allemand (version originale) d’un arrêt de la Cour de justice de l’Union européenne en matière de consentement en lien avec l’utilisation de cookies sur les sites Internet.

CJUE, 01.10.2019, C–673/17 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. c. / Planet49 GmbH)

Dans l’Espace économique européen (EEE), les utilisateurs de sites web et d’applications ne peuvent être surveillés dans leur comportement au moyen de cookies ou de techniques similaires sans qu’ils y aient consenti spécifiquement par un comportement actif. Des cases cochées par défaut ne sont pas suffisantes pour retenir un consentement. Les utilisateurs doivent également avoir été informés de la possibilité d’accès aux cookies par des tiers et de la durée de vie des cookies. Cela s’applique même aux données anonymes. Suite à la décision de la CJUE dans l’affaire « Planet49 » résumée ici, de nombreuses entreprises devront adapter leur approche en matière de cookies. Ces exigences ne sont toutefois pas applicables en Suisse pour l’instant.

Faits

Planet49 GmbH (« Planet49 ») organise un concours en ligne à des fins publicitaires. Pour participer, les internautes doivent cocher une case figurant dans le formulaire d’inscription. Une autre case du formulaire est déjà cochée et permet à Planet49 de stocker des « cookies », utilisés dans le but de collecter des informations sur le comportement de navigation des utilisateurs à des fins publicitaires pour les produits des partenaires de Planet49. Une association allemande de consommateurs ouvre action contre Planet 49. Le Bundesgerichtshof allemand (BGH) saisit la Cour de justice de l’Union européenne (CJUE) de la question de savoir si cette manière de recueillir le consentement au stockage des cookies est valable.

Droit

L’utilisation de cookies et de technologies similaires est réglementée dans l’EEE par le Règlement général sur la protection des données (RGPD) et la Directive vie privée et communications électroniques (et la législation nationale d’application). L’utilisation de cookies (codes d’identification transmis par un serveur au navigateur de l’utilisateur et conservés par ce dernier) permet de suivre l’utilisateur ou son navigateur lors de la navigation sur le site et de le reconnaître lors de sa prochaine visite, et ce même s’il ne s’enregistre pas ou ne se connecte pas personnellement. En vertu de l’art. 5 al. 3 de la Directive vie privée et communications électroniques, l’utilisation de cookies à des fins publicitaires ou de tracement n’est en principe autorisée que si l’utilisateur a « donné son accord ».

Dans son arrêt, la CJUE estime qu’une case cochée par défaut sur un formulaire ne répond pas aux exigences de la Directive vie privée et communications électroniques. En particulier, elle déduit de la formulation du législateur, selon laquelle le consentement doit être « donné », qu’une action (comportement actif) de la part de l’internaute est requise (consid. 49). Si, comme dans le cas présent, la case d’un formulaire de participation est cochée par défaut et l’utilisateur clique sur le bouton de participation du formulaire (en confirmant donc le formulaire dans son ensemble), il est impossible de déterminer si l’utilisateur a également consenti à l’utilisation de cookies ou s’il a simplement négligé de lire la case en question. L’existence du consentement doit en effet être établie « indubitablement », exigence qui ne peut être remplie qu’en présence d’un comportement actif de l’internaute (consid. 54 ss). Partant, la CJUE considère qu’un consentement global n’est pas suffisant pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies (consid. 59).

Bien que la CJUE n’ait pas à juger l’affaire sous l’angle du RGPD, elle estime que la validité du consentement était conforme au standard prescrit par le RGPD et que la conclusion était dès lors la même en application de cette règlementation (consid. 60 ss). La CJUE considère toutefois que cette exigence relative au consentement en ce qui concerne l’utilisation de cookies s’applique même en l’absence de données à caractère personnel et donc même dans les cas où le RGPD en tant que tel n’est pas applicable. La CJUE justifie cela par le fait que la Directive vie privée et communications électroniques vise à protéger la vie privée des utilisateurs, laquelle est toujours affectée si un serveur stocke un cookie ou un autre code d’identification caché sur l’appareil de l’utilisateur à son insu (consid. 70). Ainsi, même pour un « suivi » anonyme au moyen de cookies et de techniques similaires le consentement de l’internaute est nécessaire. En revanche, selon la CJUE, le RGPD ne devrait être applicable que si des cookies personnels sont impliqués, ce qui était le cas dans l’affaire à l’origine de la décision résumée ici (consid. 71).

Enfin, la CJUE estime que le consentement n’est valable que si l’utilisateur a été suffisamment informé à l’avance concernant l’utilisation de cookies, y compris au sujet de la « durée de conservation » des cookies et de la « possibilité pour des tiers d’avoir accès à ces cookies » (consid. 79 ss).

Dans le cas de Planet49, la participation au concours n’était possible que si l’utilisateur acceptait que ses données personnelles fussent également utilisées à des fins publicitaires. La CJUE n’a pas eu à déterminer si ce lien était admissible et a donc laissé la question ouverte (consid. 64).

Note

La plupart des internautes sont agacés par le flot de pop-ups liés aux cookies, ceux-ci empêchant l’accès au contenu des pages consultées lors de la navigation. Ils les perçoivent comme inutiles et harcelants. Une « mentalité de cliquer et fermer sans lire le contenu (Wegclick–Mentalität) » s’est donc développée : la plupart des cases à cocher dans ces pop-ups sont cochées sans être lues et ainsi – soi-disant – acceptées.

Les législateurs et les autorités chargées de la protection des données s’opposent à cette tendance en développant des normes de plus en plus strictes visant à protéger les personnes concernées de leur propre « ignorance ». La décision de la CJUE doit également être appréhendée dans ce contexte. Il est probable qu’à l’avenir les internautes, du moins dans l’EEE, devront se poser d’autant plus la question de savoir si refuser l’utilisation de cookies ou accepter simplement que quelqu’un les « trace » et, dès lors, qu’une publicité personnalisée au lieu de n’importe quel type de publicité leur soit affichée. Le cas de Planet49 concernait précisément de la publicité et la divulgation – nota bene anonyme – des données liées aux cookies. Rien de particulièrement délicat, donc. Cependant, le fait que seules des données anonymes étaient concernées n’était pas pertinent pour la CJUE : dès lors que les données relatives à la reconnaissance de l’utilisateur – à savoir les cookies – étaient stockées sur l’ordinateur de l’utilisateur, sa vie privée était violée et son consentement était donc requis en vertu de la Directive vie privée et communications électroniques. A noter que techniquement parlant, les utilisateurs peuvent aujourd’hui être reconnus et suivis même sans cookies, au moyen de l’empreinte digitale liée à la configuration de leur ordinateur et de certaines parties de l’adresse IP.

Ce n’est pas sans une certaine ironie que la CJUE se considère maintenant appelée à devoir protéger l’utilisateur contre la « mentalité de cliquer et fermer sans regarder » que le législateur européen lui-même a créée. Au vu de la situation, la CJUE n’a pas retenu la validité du consentement recueilli par Planet49 (obtenu en soi de façon exemplaire) car la plateforme devait partir du principe que les utilisateurs ne liraient pas de tels textes. Le fait que les internautes se soient lassés des nombreux consentements requis en matière de cookies est bien entendu le résultat de la réglementation, celle-ci obligeant d’innombrables sites web de l’EEE à demander de tels consentements aux utilisateurs. Cette règlementation est à son tour basée sur la (mauvaise) prémisse que nombre de problèmes en matière de protection des données – et d’utilisation de cookies – puissent être résolus de manière tout à fait élégante en faisant dépendre le traitement des données du consentement de la personne concernée.

La liste de souhaits des protecteurs de données s’allonge

La CJUE n’est pas la seule entité à s’interroger sur la manière dont le consentement des utilisateurs pourrait être obtenu pour qu’il ait une quelconque valeur compte tenu de la mentalité de clique qui prévaut sur Internet. Le commissaire britannique à la protection des données, l’Information Commissioner (ICO) a notamment publié l’année dernière de nouvelles lignes directrices sur l’utilisation des cookies, selon lesquelles un certain nombre de sites web devraient être considérés comme illégaux pour ce qui est des cookies : selon l’ICO, il ne suffit plus aujourd’hui qu’un internaute confirme le placement de cookies. En plus du bouton « OK » pour accepter l’utilisation de cookies, il devrait y avoir au moins un autre bouton pour rejeter tous les cookies. Un tel bouton ne devrait pas être relégué à un second niveau où l’on peut trouver des informations complémentaires en cliquant sur un lien. On relèvera qu’il y a quelques années encore, l’ICO considérait que le fait de poursuivre la navigation malgré un avertissement concernant les cookies était une expression suffisante du consentement de l’utilisateur.

Les autorités allemandes de protection des données vont encore plus loin dans leur perfectionnisme habituel : elles exigent que chaque utilisateur puisse non seulement accepter ou refuser les cookies, mais aussi qu’il ait la possibilité de prendre des décisions différenciées, c’est-à-dire qu’il puisse déterminer séparément pour chaque type de cookie s’il peut être placé ou non. Le fait que, dans la pratique, pratiquement aucun utilisateur ne fasse usage de cette liberté de choix, simplement parce qu’il n’a pas le temps et la patience nécessaires, est aussi peu pertinent que l’effort lié à une telle approche. Ainsi, il existe une catégorie de personnes qui profite de cette liste de souhaits de plus en plus longue en matière de protection des données: les fournisseurs de logiciels du type « Cookie Consent Manager », avec lesquels les entreprises peuvent mettre en œuvre les exigences en constante évolution imposées par les organismes de protection des données s’agissant des déclarations de consentement. Ainsi, depuis de nombreuses années les producteurs de ces softwares font de très bonnes affaires.

Et en Suisse ?

En Suisse, rien de tout cela ne trouve application à présent – ce qui paraît raisonnable – et il n’est pas prévu de modifier la loi pour le moment. Dans notre pays, les informations sur les cookies doivent être fournies dès qu’elles sont personnelles. Dans de rares cas, le consentement est également nécessaire; ceux qui ne veulent pas de cookies peuvent sans autres les bloquer efficacement dans leur navigateur.

La validité des consentements est jugée selon les principes habituels applicables en droit suisse de la protection des données. En soumettant un formulaire, l’utilisateur transmet une déclaration de volonté correspondant au contenu du formulaire; si dans un tel formulaire une case de consentement est cochée, peu importe si celle-ci était déjà cochée auparavant. Seul importe que la case était placée de manière bien visible au-dessus du bouton par lequel l’utilisateur confirme l’ensemble du formulaire et de son contenu. En droit suisse, un tel consentement est non seulement explicite mais est aussi donné par un comportement actif dès lors qu’il nécessite que l’utilisateur clique sur la souris.

Ce point de vue est cohérent et existe depuis longtemps. Dans le cas d’un formulaire sur papier, personne n’affirmerait que des parties du formulaire ne seraient pas couvertes par la volonté du déclarant simplement parce qu’elles n’auraient pas fait l’objet d’une confirmation séparée par celui-ci. Le consentement ne pourrait être remis en question que pour ce qui concerne des contenus insolites sur lesquels l’attention de la personne concernée n’aurait pas été attirée. C’est pourquoi, en droit suisse, une case peut être cochée par défaut sur un formulaire de consentement. Cela ne devrait pas changer avec l’actuelle révision de la LPD.

Les cookies ne sont pas toujours des données personnelles

Deux autres aspects de la décision de la CJUE méritent d’être mentionnés : premièrement, la décision précise que les cookies ne sont pas per se des données à caractère personnel. En Suisse, ceci n’est pas nouveau – les cookies ne sont considérés comme des données personnelles que si la personne qui les place et peut y accéder sait qui est la personne touchée. Toutefois, les autorités de protection des données de l’EEE ont à plusieurs reprises estimé que le RGPD s’appliquait également à l’utilisation de cookies anonymes. Elles voulaient ainsi que le champ d’application de la loi sur la protection des données comprenne également la surveillance anonyme de personnes. En termes techniques, il s’agit de données qui « singularisent » un utilisateur, c’est-à-dire qui le distinguent de tous les autres, sans toutefois l’identifier.

Dans la décision résumée ici, la CJUE clarifie que malgré le fait que la Directive vie privée et communications électroniques – laquelle requiert le consentement – couvre également les cookies anonymes, une distinction doit être faite quant à savoir si les cookies ont effectivement un lien à la personne ou non en application du RGPD. La singularisation, comme c’est le cas pour les cookies anonymes, n’est donc pas suffisante pour conclure à l’applicabilité du RGPD. Si le RGPD n’est pas applicable, à défaut d’être en présence de données personnelles, les dispositions y relatives s’agissant des amendes ainsi que son extraterritorialité ne s’appliquent pas non plus. Ainsi, si un site web suisse suit le comportement de ses utilisateurs mais ne les identifie pas, le RGPD ne devrait pas trouver application.

Deuxièmement, la CJUE indique clairement au Bundesgerichtshof allemand, qui avait soumis les questions préjudicielles, que les dispositions de droit européen telles que la Directive vie privée et communications électroniques doivent être interprétées de manière autonome et non selon une interprétation nationale (à savoir allemande). À l’heure actuelle, l’Allemagne a transposé l’exigence de consentement prévue par la Directive vie privée et communications électroniques dans le droit national d’une manière différente de ce qui est prévu par la Directive. Dès lors, la disposition correspondante de la loi allemande sur les télécommunications devra faire l’objet d’une révision.

Effets de la décision

De nombreux exploitants de sites web dans l’EEE devront adapter leurs bannières de cookies et prévoir la possibilité de refuser l’utilisation de cookies qui ne sont pas strictement nécessaires au fonctionnement du site web aussi facilement que le consentement peut être donné. Le nombre de « boutons » auxquels un utilisateur sera confronté est donc destiné à augmenter.

Cela vaut également en ce qui concerne les informations qui doivent être fournies à l’utilisateur: bien que Planet49 fournissait de nombreuses informations sur l’utilisation des cookies, cela n’a pas suffi à la CJUE, celle-ci ayant demandé que davantage d’informations soient fournies. En théorie on comprend aisément pourquoi un utilisateur devrait savoir combien de temps un cookie reste fonctionnel, soit afin de pouvoir prendre une décision en connaissance de cause sur le sujet. Cependant, la CJUE ne tient pas en compte le fait que les utilisateurs sont déjà submergés par les avis liés à protection des données qui leur sont constamment affichés et qu’ils ne veulent donc pas du tout prendre de décision, mais plutôt faire disparaître le plus rapidement possible les pop-ups liés aux cookies.

Il serait plus judicieux d’avoir un règlement qui permette à l’utilisateur de contrôler, via son navigateur, qui est autorisé à le tracer et comment. Jusqu’à présent, l’industrie n’a pas vraiment su se mettre d’accord sur ce point, pas plus que le législateur. Le projet de règlement destiné à succéder à la Directive vie privée et communications électroniques, le Règlement sur la vie privée et les communications électroniques, a échoué jusqu’à présent en raison de divergences politiques notamment en ce qui concerne le traitement des cookies

Proposition de citation : David Rosenthal, Cookies: comment la CJUE lutte-t-elle contre la mentalité du « cliquer et fermer sans regarder », in: https://lawinside.ch/883/