On savait déjà que sur le Web, le consentement du consommateur aux conditions générales de vente et aux autres dispositions contractuelles devait être actif.
Aujourd’hui, la CJUE énonce qu’il en est de même, lorsqu’un site web souhaite déposer des cookies sur l’ordinateur de l’internaute.
Est-ce le cas pour tous les cookies ?
La CJUE retient sur le fondement de la protection de la vie privée qu’il est indifférent que les informations traitées par les cookies constituent ou non des données à caractère personnel.
Ainsi, le consentement au stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur, par l’intermédiaire de cookies, doit résulter d’un comportement actif de l’utilisateur, qu’il s’agisse de données à caractère personnel ou non.
Fini l’opt-out, les cases pré cochées, les formules « en cas de silence » ou « en poursuivant votre navigation, vous acceptez » ou toute formule ne permettant pas de déterminer de manière objective que l’internaute a effectivement donné son consentement au traitement de l’information.
Fini également le consentement global donné indistinctement pour le dépôt de cookies et l’accès aux services.
Au-delà de cet acte positif et distinct, la CJUE rappelle que le consentement doit être éclairé.
Il convient donc de donner à l’internaute une information claire et complète lui permettant de déterminer facilement les conséquences du consentement qu’il pourrait donner.
Ainsi, doivent notamment être précisées à l’internaute, l’identité du responsable de traitement, les finalités du traitement, ainsi que toute information supplémentaire telle que la durée de fonctionnement des cookies, la possibilité ou non pour les tiers d’avoir accès aux cookies, le cas échant les destinataires ou catégories de destinataires des informations, les informations relatives au paramétrage des cookies, les droits de l’utilisateur ainsi que les conséquences d’un refus de cookies.
Au détour de cet arrêt, la CJUE soulève une autre interrogation, celle de savoir si le fait de conditionner l’accès de l’internaute aux services, au consentement au traitement de ses données est compatible avec l’exigence du consentement « libre ». Cette interrogation ne faisant pas l’objet de sa saisine, la Cour n’y apporte pas de réponse explicite.
Il conviendra pour le responsable du site web de s’interroger sur l’intérêt de conditionner l’accès à ses services, à la collecte de données personnelles en tenant compte de l’importance pour l’internaute d’accéder au service concerné.