Une entreprise ne peut pas prévoir, sur son site Internet, une case cochée par défaut autorisant le placement de cookies sur l'ordinateur d'un utilisateur, a estimé la Cour de justice de l'Union européenne, dans un arrêt rendu mardi 1er octobre (affaire C-673/17).
La fédération allemande des organisations de consommateurs conteste l’utilisation par la société allemande Planet49 d’une case cochée par défaut par laquelle les internautes souhaitant participer à des jeux promotionnels en ligne expriment leur accord au placement de cookies.
Ces cookies sont des fichiers que le fournisseur d’un site Internet place sur l’ordinateur d’un utilisateur et qui facilitent la navigation, mais permettent aussi d'obtenir des informations sur le comportement de ce dernier, notamment à des fins de publicité pour des tiers.
Saisie par la Cour fédérale de justice allemande, la Cour interprète la directive (2002/58) concernant la protection de la vie privée dans le cadre de la communication électronique. Elle décide que le consentement, que l’utilisateur d’un site Internet doit donner pour le placement et la consultation de cookies sur son équipement, n’est pas valablement donné au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.
Que les informations stockées ou consultées dans l’équipement de l’utilisateur constituent ou non des données à caractère personnel n’influe pas sur ce résultat. En effet, d'après la Cour, le droit de l’Union vise à protéger l’utilisateur de toute ingérence dans sa vie privée, notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu.
En outre, le consentement doit être spécifique. Activer le bouton de participation à un jeu promotionnel ne suffit pas pour considérer qu’un utilisateur a valablement donné son consentement au placement de cookies. Et les informations que le fournisseur de services doit donner à l’utilisateur incluent la durée de fonctionnement des cookies et la possibilité (ou non) pour des tiers d’avoir accès à ces cookies.
Pour l'organisation EDRi, cet arrêt souligne l'importance de débloquer au Conseil la proposition de règlement 'ePrivacy' sur la vie privée en ligne (EUROPE 12333/3).
Voir l'arrêt : http://bit.ly/2oMkrqa (Mathieu Bion)