RGPD : les pays européens précisent la définition d’un consentement valable au dépôt de cookies.

L’adoption d’un règlement par l’Union européenne unifiant, même si partiellement seulement, la protection des données personnelles, a été efficace. Les autorités espagnoles et françaises ont d’ailleurs récemment précisé ce que signifie techniquement le consentement au dépôt de cookies par un site internet.
Retour sur cette riche actualité européenne …

En France, le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices relatives à l’utilisation de cookies rappelant le droit applicable enrichi par l’entrée en application du règlement général sur la protection des données (RGPD), le 25 mai 2018.

En particulier, les exigences en matière de validité du consentement se sont vues renforcées. Ainsi, les lignes directrices de la CNIL rappellent à cette occasion deux principales « nouveautés ». D’une part, la simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. D’autre part, les opérateurs exploitant des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement de l’internaute .

Le mouvement initié par les régulateurs européens se poursuit également en Espagne. Le 16 octobre dernier, l’AEPD équivalente espagnole de la CNIL, a sanctionné financièrement (30 000 euros) la compagnie aérienne Vueling pour non-respect de sa politique cookies au regard de la règlementation en vigueur.

L’AEPD reproche principalement à la compagnie aérienne de ne pas proposer aux internautes un panneau de configuration pour la gestion des cookies. La seule possibilité laissée aux visiteurs pour exercer leur droit d’opposition est un renvoi vers les paramètres du navigateur internet, installé directement sur leur terminal. Or, pour être recevable, le consentement suppose un échange entre celui qui collecte l’information et celui dont l’information est collectée. Suivant cette logique, la compagnie aérienne ne peut pas prouver, en l’espèce, le consentement réel de l’internaute.

L’AEPD, dans une décision pédagogique, sanctionne Vueling en estimant qu’un consentement implicite est donné par le visiteur du site sans que la compagnie aérienne fournisse un « système de gestion ou de panneau de configuration des cookies permettant à l’utilisateur de les éliminer de manière granulaire ». L’AEPD recommande ainsi de mettre en place « un mécanisme ou un bouton pour rejeter tous les cookies, un autre pour activer tous les cookies ou pour le faire de manière granulaire afin de gérer les préférences » en considérant que le seul accès aux paramètres du navigateur n’est pas suffisant à cet égard.

Cette décision fait écho à celle du Conseil d’Etat (Conseil d’État, 10e– 9e chambres réunies, 06/06/2018, 412589) ayant sanctionné le site Challenges.fr pour des faits similaires, le site n’offrant aucune possibilité de gestion des cookies à l’exception des paramètres navigateur.

En France toujours, le 30 septembre 2019, la CNIL avait mis en demeure la société du Figaro de prendre les mesures et modifications qui s’imposent afin de mettre en conformité sa politique cookies qui ne respectait pas les conditions du consentement de l’utilisateur, à savoir un consentement « libre, éclairé, spécifique et univoque » (Article 7 du RGPD).

Au regard de cette actualité, l’importance d’être en conformité avec les différentes dispositions du RGPD et des lignes directrices de la CNIL ne semble pas discutable. Ces exemples doivent être perçus comme un avertissement pour l’ensemble des sociétés n’ayant pas encore pris les mesures nécessaires pour s’y conformer.

Et ceci, d’autant plus que le Conseil d’Etat a cette semaine jugé légale la décision de la CNIL d’engager une concertation pour définir les nouvelles modalités pratiques d’expression du consentement en matière de publicité ciblée, et de laisser aux acteurs du secteur une période d’adaptation, à partir du 1er trimestre 2020, de 6 mois pour s’y conformer (Décision N°433069, 16 octobre 2019).

Pour retrouver la décision de l’AEPD dans son intégralité (en langue espagnole).

Hervé Gabadou

Avocat Associé, Hervé dirige l’activité juridique, Digital & Innovation, du cabinet d’avocats Deloitte Legal. Il accompagne différents acteurs du secteur privé et public dans leurs projets de transformation numérique faisant […]

Tony Baudot

Tony est avocat Senior Manager du département juridique en charge du droit de l’informatique et de la protection des données. Il a rejoint Deloitte Société d’Avocats en 2016 en qualité d’avocat.  Tony intervient régulièrement sur l’ensemble des problématiques juridiques de l’informatique, notamment dans le […]