07.01.20
(mis à jour le 10.05.24)
Les cookies, ces traceurs informatiques notamment déposés et lus « par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé » selon la définition de la CNIL, sont l’objet d’une actualité juridique fournie.
En effet, aussi bien la Cour de justice de l’Union européenne (Planet49, du 1er octobre 2019 - aff. C-673/17) que le Conseil d’État (Section du contentieux, 16 oct. 2019, 10ème et 9ème ch. réunies, n°433069) ont eu l’occasion de rendre récemment des décisions importantes sur le sujet. Quant à la CNIL, elle a publié une délibération le 4 juillet 2019, dite « lignes directrices sur les cookies », qui focalise l’attention.
Encore faudrait-il ajouter le futur règlement européen e-privacy, qui a pour vocation de s’intéresser à la question. Son avenir étant toutefois compromis, le conditionnel reste de mise : le commissaire européen au Marché intérieur et au numérique, Thierry Breton, a ainsi annoncé le 3 décembre 2019 que toutes les options étaient sur la table concernant ce projet de texte, y compris celle de « faire une nouvelle proposition ».
Sur l’analyse juridique précise des décisions de la Cour de justice de l’Union européenne et du Conseil d’État, nous renvoyons le lecteur à notre article à paraître dans Dalloz IT/IP sur le sujet. L’objet de la présente chronique est de synthétiser les nouvelles règles applicables concernant la gestion des cookies sur un site internet ou une application, ceux-ci représentant la partie la plus visible de la conformité à la protection des données personnelles d’un acteur économique.
En résumé, les principes à appliquer sont les suivants :
- le recueil du consentement à l’utilisation de cookies, par le biais d’une case précochée, ne constitue pas un consentement valable, de même que la simple poursuite de la navigation sur internet. Aussi le consentement n’est-il valable que lorsque l’utilisateur doit, par lui-même, cocher une case ou adopter un autre comportement actif tel qu’activer un « bouton radio » ;
- le consentement, pour être valide, doit être « libre » : il ne peut y avoir de contrepartie à l’existence de ce consentement (ex : la participation à un jeu, etc.) ;
- le consentement doit être spécifique et propre, en l’occurrence, aux cookies. Il ne peut résulter du consentement donné pour un autre objet (participation à un jeu, acceptation de CGU, etc.). La CNIL demande même un consentement spécifique par finalité (art. 2 des lignes directrices sur les cookies), ce que certains opérateurs ont déjà mis en œuvre en proposant aux visiteurs de leur site un « tableau de bord » permettant de donner un consentement de manière fine, par type de cookies.
- Ces règles ne concernent plus seulement les cookies, mais bien les traceurs en ligne, une catégorie plus large (cf. les techniques de fingerprinting).
- Les opérateurs économiques doivent se mettre en conformité avec ces exigences dès que possible, étant toutefois précisé que la CNIL doit indiquer les modalités pratiques d’application dans un texte à paraître au 1er trimestre et qui sera définitivement applicable 6 mois après sa publication.
De façon certaine, le sujet n’est pas clos. Nous suivrons les évolutions législatives et réglementaires attentivement et mettrons à jour cette chronique au fil des évènements émaillant l’actualité juridique.
François Coupez, Avocat à la cour, Associé, spécialiste en droit des nouvelles technologies
Parmi ses domaines d’expertises : droit de l’innovation, cybersécurité, droit de l’internet, contrats informatiques, protection des données personnelles, propriété intellectuelle.
Me François Coupez est avocat à la Cour, associé en charge de la practice Droit du numérique/Data. Titulaire des certifications « nouvelles technologies » délivré par le CNB et DPO (agrément CNIL), François met sa double compétence en droit et technologies de l’information au service de nombreuses grandes entreprises depuis près de 20 ans afin de les conseiller et de les assister face à leurs contraintes réglementaires.
Vice-président du club R2GS, il est également Senior Advisor du Cybercercle et membre de l’ANJB, de Cyberlex, ou encore de l’AFCDP. Il est l’auteur de nombreux articles de doctrine, conférencier et formateur (en Master II à Paris II, au CELSA, à Dauphine, au CNAM, etc.).
Géraldine Péronne, Avocat à la Cour, Docteur en droit
Parmi ses domaines d’expertises : protection des données personnelles, droit de l’internet, cybersécurité, contentieux.
Géraldine est avocate au Barreau de Paris depuis 2014 et docteur en droit.
Chargée d’enseignements pendant sept ans à l’Université (Paris I et UPEC), elle a ensuite exercé en qualité d’avocate dans un cabinet parisien spécialiste du contentieux pénal et civil pendant quatre ans, avant d’intégrer ATIPIC Avocat/implid Legal.
Elle intervient sur des dossiers de droit des nouvelles technologies et droit des données personnelles (audits de conformité RGPD notamment) tant en conseil qu’en contentieux et commente régulièrement l’actualité juridique sur ces sujets, dans le cadre de rédaction d’articles.
Elle est certifiée DPO (agrément CNIL).