Le Comité européen de la protection des données (CEPD) s'oppose aux 'cookie walls', cette pratique qui veut qu'un utilisateur ne puisse accéder à un contenu qu'à condition d'avoir accepté d'être tracé. Dans ses nouvelles lignes directrices publiées mercredi 6 mai, il estime aussi que le fait de faire défiler un contenu (scrolling) ne correspond pas à la notion de consentement actif prévue par le règlement général.
Ces lignes directrices sont une mise à jour du document adopté par le groupe de travail 'Article 29' (le prédécesseur du CEPD) en avril 2018, quelques semaines avant la mise en œuvre du règlement général pour la protection des données.
Pour rappel, le règlement général sur la protection des données (2016/679) impose des exigences détaillées aux entreprises et organisations en ce qui concerne la collecte, la conservation et la gestion des données à caractère personnel. Le consentement est l'une des six bases légales pour le traitement des données personnelles, telles qu'énumérées à l'article 6 du règlement (dit RGPD). Ce consentement doit être libre, spécifique, éclairé et univoque, et faire l'objet d'une demande formulée en des termes clairs et simples.
Et c'est ce que rappelle le CEPD dans sa mise à jour du document de 2018. Il se penche sur deux situations particulières. La première porte sur la validité du consentement en cas de cookie wall. À ce propos, le CEPD indique que « pour que le consentement soit librement accordé, l'accès aux services et fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage des informations ou à l'accès à des informations déjà stockées dans l'équipement terminal d'un utilisateur (ce qu'on appelle des murs de cookies) ».
La seconde situation a trait au consentement en cas de défilement. Ici, l'organe européen indépendant invoque le considérant 32 du RGPD pour conclure que « des actions telles que le défilement ou le glissement sur une page Internet ou une activité utilisateur similaire ne satisfont en aucun cas à l'exigence d'une action claire et affirmative ». Selon lui, il est en effet très difficile de déterminer si un consentement sans ambiguïté a été obtenu de ces actions ou non. En outre, il est également difficile de fournir à l'utilisateur un moyen de retirer son consentement d'une manière aussi simple (qu'au moment où il l'a donné).
Il est à noter que, selon le calendrier provisoire de la Commission européenne daté du 5 mai, cette dernière entend présenter le 3 juin son rapport de mise en œuvre et de réexamen du RGPD (EUROPE 12459/24).
Voir le rapport : https://bit.ly/2zh1zEW (Sophie Petitjean)