Traduction
C-673/17 - 10
Observations de l’Italie
Affaire C-673/17 *
Pièce déposée par :
République italienne
Nom usuel de l’affaire :
PLANET 49
Date de dépôt :
21 mars 2018
I.
LES QUESTIONS PRÉJUDICIELLES
1
Par décision du 5 octobre 2017, parvenue à la Cour le 30 novembre 2017, le
Bundesgerichtshof (Cour fédérale de justice, Allemagne) a posé à la Cour, dans le
cadre de la procédure précitée, les questions suivantes :
1. a) Le consentement visé à l’article 5, paragraphe 3, et de l’article 2, sous f), de
la directive 2002/58/CE lus conjointement avec l’article 2, sous h), de la
directive 95/46/CE est-il valablement donné lorsque le stockage d’informations ou
l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est
autorisé par une case cochée par défaut que l’utilisateur [Or. 2] doit décocher
pour refuser de donner son consentement ?
b)
L’article 5, paragraphe 3, et l’article 2, sous f), de la directive 2002/58/CE
lus conjointement avec l’article 2, sous h), de la directive 95/46/CE reçoivent-ils
une application différente selon que les informations stockées ou consultées sont
des données à caractère personnel ?
c)
Dans les circonstances évoquées dans la question préjudicielle 1, sous a), le
consentement visé à l’article 6, paragraphe 1, sous a), du règlement (UE)
no 2016/679 est-il valablement donné ?
2.
Quelles sont les informations que le fournisseur de service doit donner à
l’utilisateur au titre de l’information claire et complète voulue par l’article 5,
paragraphe 3, de la directive 2002/58/CE ? La durée de fonctionnement des
cookies et l’accès ou non de tiers aux cookies en font-ils partie ?
* Langue de procédure : l’allemand.
FR
AFFAIREC-673/17-10
II.
LES FAITS, LE LITIGE DANS L’AFFAIRE AU PRINCIPAL ET LES
MOTIFS DE LA JURIDICTION DE RENVOI
2
La société Planet49 GmbH, opérateur économique qui propose de participer à des
jeux promotionnels sur Internet, a organisé le 24 septembre 2013 un jeu
promotionnel à l’adresse Internet www.dein-macbook.de sur laquelle s’affichait
une page destinée à être remplie avec les données de l’utilisateur (en particulier, le
code postal, le nom et l’adresse).
3
Sous les cases à remplir se trouvaient deux mentions à cocher :
– La première mention qui n’était pas cochée par défaut concernait l’acceptation
de recevoir de la part de sponsors et partenaires des informations sur les
promotions dans leur domaine d’activité respectif. Elle permettait notamment à
l’utilisateur de choisir lui-même les personnes autorisées à lui envoyer des
offres de promotion et de révoquer à tout moment son acceptation. D’autres
informations étaient disponibles en cliquant sur un lien prévu à cet effet.
– La deuxième mention dont la case était cochée par défaut concernait
l’acceptation de l’utilisateur pour que le service d’analyse du web Remintrex
soit mis en œuvre chez lui, ce service permettant à l’organisateur du jeu
promotionnel, à la suite de l’enregistrement de l’utilisateur, d’installer des
cookies sur le terminal de l’utilisateur afin de permettre l’analyse de la
navigation et de l’utilisation des sites web des partenaires publicitaires. Cette
mention prévoyait en tout état de cause la possibilité pour l’utilisateur de
supprimer les cookies à tout moment et d’autres détails étaient également
disponibles en cliquant sur un lien prévu à cet effet.
[Or. 3]
4
En ce qui concerne plus particulièrement la présente procédure préjudicielle, selon
la juridiction nationale, le lien électronique figurant dans la deuxième mention
sous le mot « ici » affichait un message contenant d’autres informations ne
concernant toutefois pas la durée du traitement consenti par l’installation des
cookies et l’identité des partenaires publicitaires titulaires des sites web concernés
par les cookies installés sur l’ordinateur de l’utilisateur.
5
Le Bundesverband der Verbraucherzentralen (fédération allemande des
organisations de consommateurs, ci-après la « fédération ») a introduit un recours
en justice visant à faire déclarer que les déclarations d’accord sollicitées par la
défenderesse ne sont pas conformes aux dispositions du code civil allemand, à la
loi contre la concurrence déloyale et à la loi sur les médias électroniques. La
fédération requérante a donc demandé que soit interdite l’utilisation des clauses de
manifestation du consentement contenues sur le site www.dein-macbook.de
nécessaires pour participer au jeu promotionnel organisé par la défenderesse, ainsi
que la condamnation de la société Planet49 GmbH au paiement de 214 euros à
majorer d’intérêts depuis le 15 mars 2014.
2
PLANET49
6
Pour ce qui nous concerne plus particulièrement ici, la juridiction de première
instance a fait droit à la demande d’interdiction de la fédération concernant la
clause de consentement à l’installation de cookies dont la case était cochée par
défaut.
7
La partie du jugement qui a fait l’objet d’un recours de la société Planet49 GmbH
a été infirmée par le juge du second degré selon lequel la manifestation du
consentement à l’utilisation de cookies n’est critiquable ni par la case cochée par
défaut ni par sa teneur. Au regard du premier aspect, l’utilisateur avait
connaissance de la possibilité de décocher la case cochée par défaut. Au regard du
deuxième aspect, la manifestation du consentement était présentée dans une
typographie suffisamment claire et donnait des informations claires sur les
modalités d’utilisation des cookies, sans qu’il soit nécessaire de divulguer
l’identité des tiers susceptibles d’avoir accès aux informations recueillies par les
cookies.
8
La fédération a introduit un recours en Revision aux fins de faire reconnaître
l’illégalité d’une clause de manifestation de la volonté avec une case cochée par
défaut. La société titulaire de la page Internet s’est constituée défenderesse dans
cette procédure.
[Or. 4]
9
La Cour suprême allemande, estimant que la solution dépendait de l’interprétation
de la réglementation supranationale (à savoir l’article 5, paragraphe 3, et
l’article 2, sous f), de la directive 2002/58/CE, lus en combinaison avec l’article 2,
sous h), de la directive 95/46/CE, ainsi que l’article 6, paragraphe 1, sous a), du
règlement (UE) 2016/679, également au regard du considérant 32 du règlement
(UE) no 2016/679, a posé les questions préjudicielles reproduites ci-dessus.
10 En effet, la juridiction de renvoi affirme la nécessité que le stockage
d’informations ou l’accès à des informations stockées dans l’équipement terminal
de l’utilisateur soit subordonné au consentement préalable et éclairé de
l’utilisateur, à moins que les opérations examinées ne visent exclusivement à
effectuer la transmission d’une communication par la voie d’un réseau de
communications électroniques, ou ne soient strictement nécessaires au fournisseur
pour la fourniture d’un service expressément demandé par l’utilisateur à la société
de l’information.
11 Étant donné qu’en l’espèce l’installation des cookies – fichiers stockés par le
gestionnaire d’une page Internet sur l’ordinateur de l’utilisateur, permettant au
gestionnaire, en cas de nouvelle visite de la page web, d’accéder aux informations
sur le comportement de navigation de l’utilisateur – avait des buts commerciaux et
que les cookies permettaient une personnalisation des données stockées par les
cookies au cours de l’utilisation d’Internet, la Cour se demande :
– si une clause dont la case est cochée par défaut et qui impose de décocher
celle-ci pour refuser de donner son consentement est conforme à la
3
AFFAIREC-673/17-10
réglementation européenne en matière de manifestation du consentement au
traitement des données ;
– si une clause qui ne donne pas d’informations sur la possibilité d’accès par des
tiers aux cookies stockés dans l’équipement terminal de l’utilisateur et sur la
durée de fonctionnement des cookies, c’est-à-dire ne précisant pas s’ils sont en
fonction pour la seule durée de la session en cours (« cookies de session ») ou
au-delà et, le cas échéant, pour combien de temps, est conforme à la
réglementation européenne en matière de manifestation d’un consentement
éclairé.
III. LA RÉGLEMENTATION COMMUNAUTAIRE PERTINENTE
12 L’article, paragraphe 3, de la directive 2002/58 prévoit que : «
Les États membres
garantissent que l’utilisation des réseaux de communications électroniques en vue
de stocker des informations ou d’accéder à des informations stockées dans
l’équipement [Or. 5] terminal d’un abonné ou d’un utilisateur ne soit permise
qu’à condition que l’abonné ou l’utilisateur, soit muni, dans le respect de la
directive 95/46/CE, d’une information claire et complète, entre autres sur les
finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel
traitement par le responsable du traitement des données. Cette disposition ne fait
pas obstacle à un stockage ou à un accès techniques visant exclusivement à
effectuer ou à faciliter la transmission d’une communication par la voie d’un
réseau de communications électroniques, ou strictement nécessaires à la
fourniture d’un service de la société de l’information expressément demandé par
l’abonné ou l’utilisateur ».
13 L’article 2, point f), de la directive 2002/58 dispose que : «
Les définitions
suivantes sont aussi applicables : le “consentement” d’un utilisateur ou d’un
abonné correspond au “consentement de la personne concernée” figurant dans la
directive 95/46/CE ».
14 L’article 2, point f), de la directive 95/46/CE, abrogé par l’article 94 du
règlement 2016/679, à compter du 25 mai 2018, prévoit que : «
Aux fins de la
présente directive, on entend par : “consentement de la personne concernée” :
toute manifestation de volonté, libre, spécifique et informée par laquelle la
personne concernée accepte que des données à caractère personnel la concernant
fassent l’objet d’un traitement »
15 L’article 6, paragraphe 1, sous a), du règlement 2016/679 prévoit que : «
Le
traitement n’est licite que si, et dans la mesure où, au moins une des conditions
suivantes est remplie : a) la personne concernée a consenti au traitement de ses
données à caractère personnel pour une ou plusieurs finalités spécifiques ».
16 Le considérant 17 de la directive 2002/58 indique que : «
Aux fins de la présente
directive, le consentement d’un utilisateur ou d’un abonné, que ce dernier soit une
personne physique ou morale, devrait avoir le même sens que le consentement de
4
PLANET49
la personne concernée tel que défini et précisé davantage par la
directive 95/46/CE. Le consentement peut être donné selon toute modalité
appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de
manière spécifique et informée, y compris en cochant une case lorsqu’il visite un
site Internet »
17 Le considérant 66 de la directive 2006/136 prévoie que : «
Il se peut que des tiers
souhaitent stocker des informations sur l’équipement d’un utilisateur, ou obtenir
l’accès à des informations déjà stockées, à des fins diverses, qu’elles soient
légitimes (certains types de cookies, par exemple) ou qu’elles impliquent une
intrusion non autorisée dans la sphère privée (logiciels espions ou virus, par
exemple). Il est donc extrêmement important que les utilisateurs disposent
d’informations claires et complètes lorsqu’ils entreprennent une démarche
susceptible de déboucher sur un stockage ou un accès de ce type. Les méthodes
retenues pour fournir des informations et offrir le droit de refus [Or. 6] devraient
être les plus conviviales possibles. Les dérogations à l’obligation de fournir des
informations et de donner le droit de refus devraient être limitées aux situations
dans lesquelles le stockage technique ou l’accès est strictement nécessaire afin
d’autoriser légitimement l’utilisation d’un service spécifique explicitement
demandé par l’abonné ou l’utilisateur. Lorsque cela est techniquement possible et
effectif, conformément aux dispositions pertinentes de la directive 95/46/CE,
l’accord de l’utilisateur en ce qui concerne le traitement peut être exprimé par
l’utilisation des paramètres appropriés d’un navigateur ou d’une autre
application. La mise en œuvre de ces exigences devrait être rendue plus efficace
en renforçant les pouvoirs conférés aux autorités nationales compétentes en la
matière ».
18 Le considérant 32 du règlement 2016/679 indique que : «
Le consentement devrait
être donné par un acte positif clair par lequel la personne concernée manifeste de
façon libre, spécifique, éclairée et univoque son accord au traitement des données
à caractère personnel la concernant, par exemple au moyen d’une déclaration
écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait
se faire notamment en cochant une case lors de la consultation d’un site internet,
en optant pour certains paramètres techniques pour des services de la société de
l’information ou au moyen d’une autre déclaration ou d’un autre comportement
indiquant clairement dans ce contexte que la personne concernée accepte le
traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y
avoir de consentement en cas de silence, de cases cochées par défaut ou
d’inactivité. Le consentement donné devrait valoir pour toutes les activités de
traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs
finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le
consentement de la personne concernée est donné à la suite d’une demande
introduite par voie électronique, cette demande doit être claire et concise et ne
doit pas inutilement perturber l’utilisation du service pour lequel il est accordé ».
5
AFFAIREC-673/17-10
IV. OBSERVATIONS DU GOUVERNEMENT ITALIEN
PREMIÈRE QUESTION
19 Par la première question, le juge allemand demande si est conforme à la
réglementation européenne en matière de manifestation du consentement au
traitement des données une clause, dont la case est cochée par défaut et qui
impose un comportement actif de l’utilisateur pour refuser un consentement
formulé à l’avance. Le juge demande également s’il en va différemment si les
informations stockées ou consultées sont des données à caractère personnel et si
dans les circonstances évoquées dans la première question préjudicielle, le
consentement visé à l’article 6, paragraphe 1, sous a), du règlement 2016/679 est
valablement donné.
20 À cet égard, il convient d’observer que la manifestation du consentement par la
personne intéressée constitue un des principes cardinaux du traitement des
données personnelles [voir les
[Or. 7] articles 2, paragraphe 1, point h), et 7,
paragraphe 1, sous a), de la directive 95/46 ; les articles 2, paragraphe 1, point f),
et 5, paragraphe 3, de la directive 2002/58 ; les articles 4, paragraphe 1, point 11,
et 6, paragraphe 1, sous a), du règlement 2016/679 ; l’article 23 du code en
matière de protection des données à caractère personnel, établi par le décret
législatif no 196/2003, ci-après le « Code »] : est exigée une «
manifestation de
volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée
accepte, par une déclaration ou par un acte positif clair, que des données à
caractère personnel la concernant fassent l’objet d’un traitement » [article 4,
paragraphe 1, point 11), du règlement 2016/679].
21 Lorsqu’il y a traitement de données personnelles, comme le sont les données dans
l’affaire au principal, il est donc nécessaire de garantir à l’intéressé un choix
effectif, c’est-à-dire qu’il donne son consentement de façon libre, par toute
modalité appropriée qui permette de manifester librement sa volonté.
22 Eu égard plus particulièrement à des services fournis sous une forme
informatique, sont considérés comme adéquats les seuls moyens qui permettent de
manifester le consentement de façon indubitable : à cette fin, si l’on pourrait
admettre l’utilisation d’une case appropriée pour exprimer le consentement que
l’utilisateur doit cocher (voir le considérant 17 de la directive 2002/58 et le
considérant 32 du règlement), on ne pourrait en revanche pas l’admettre tout
autant pour les cases cochées par défaut.
23 Comme l’a précisé le groupe de travail mis en place en vertu de l’article 29 de la
directive (ci-après le « groupe de travail article 29 ») dans l’avis 15/2011 (WP187)
adopté le 13 juillet 2011 «
sur la définition de consentement » : « le fait de cocher
la case après avoir reçu une information pertinente constituerait un consentement
exprès et indubitable dans la mesure où l’action de cocher la case est un acte
suffisamment clair pour ne laisser aucun doute quant à l’intention de la personne […] » [voir paragraphe III.A.2 ; article 7, sous a), de l’avis].
6
PLANET49
24 Par conséquent, des procédures fondées sur «
le silence, l’inaction ou la
présélection de cases », étant donné l’ambiguïté intrinsèque de ces derniers (voir
le considérant 32 du règlement), ne permettraient pas une manifestation libre et
éclairée du consentement.
25 De même, les cases sélectionnées, par exemple sur des sites web, pourraient être
considérées comme étant compatibles avec la définition de la directive [voir le
paragraphe 3.2 de l’avis 5/2004 (WP 90) «
portant sur les communications de
prospection directe non sollicitées selon l’article 13 de la Directive 2002/58/CE »,
adopté le 27 février 2004 ; voir également le paragraphe III.A.2 de l’article 7,
sous a), de l’avis 15/2011], telle que rappelée par le groupe de travail article 29
[Or. 8] selon lequel «
l’utilisation de cases cochées par défaut est invalide en
vertu du règlement général sur la protection des données. Le silence ou
l’inactivité de la part de la personne concernée, de même que le fait de seulement
contracter un service, ne peut être considéré comme l’indication active d’un
choix ». Il est également précisé que «
le règlement général sur la protection des
données n’autorise pas les contrôleurs à offrir des cases cochés par défaut ou des
constructions par opt-out qui exigent l’intervention de la personne concernée
pour empêcher l’accord (par exemple des “cases d’opt-out” » (voir le
paragraphe 3.4 des lignes directrices sur le consentement en application du
règlement 2016/679 adoptées le 28 novembre 2017).
26 La nécessité d’un consentement exprès et libre, incompatible avec les clauses
contenant des cases cochées par défaut, a également été rappelée par l’autorité
italienne de protection du traitement des données personnelles selon laquelle la
capacité d’autodétermination des personnes concernées (et donc le caractère libre
du consentement qu’elles sont appelées à manifester) ne pourrait être considéré
comme protégée lorsque l’on a recours à «
des modules dans lesquels la case
(appelée “check-box”) de manifestation du consentement est cochée par défaut au
moyen d’un symbole spécifique (appelé “flag”) » (voir paragraphe 2.6 de la
décision « consentement au traitement des données sur Internet et utilisation des
données à des fins promotionnelles » 10 mai 2006, doc. Web no 1298709).
27 Il ressort de ce qui précède que conformément à l’article 5, paragraphe 3, et
l’article 2, point f), de la directive 2002/58, lus en combinaison avec l’article 2,
point h), de la directive 95/46, et conformément à l’article 6, paragraphe 1,
sous a), du règlement 2016/649, il n’y a pas de consentement efficace lorsque le
stockage des données personnelles ou l’accès aux données personnelles déjà
stockées dans l’équipement terminal de l’utilisateur est autorisé par une case
cochée par défaut que l’utilisateur doit décocher pour refuser de donner son
consentement.
28 Dans ces hypothèses, l’utilisateur est privé de la possibilité de manifester, de
façon positive et active, son consentement au traitement des données personnelles,
celui-ci étant, au contraire, présupposé puisque l’expression du consentement est
manifestée par des cases cochées par défaut.
7
AFFAIREC-673/17-10
29 Pour protéger et défendre le libre choix de la personne, il faut donc éviter non
seulement un mécanisme bloquant afin de ne pas empêcher l’exercice d’un droit,
mais également les cases cochées par défaut afin de ne pas influencer le choix de
la personne concernée.
30 Le motif à la base de la réglementation supranationale doit en effet être identifié
dans l’exigence de garantir aux personnes concernées une liberté réelle d’exercice
de leur droit, possible seulement en présence de moyens qui permettent une
manifestation positive et active du consentement,
[Or. 9] résultat d’actes positifs
impliquant des choix spécifiques concernant les différentes catégories de
traitement.
DEUXIÈME QUESTION
31 Par la deuxième question, la juridiction de renvoi demande si une clause qui ne
donne pas d’informations sur la durée de fonctionnement des cookies et sur la
possibilité d’accès de tiers aux cookies stockés sur l’équipement terminal est
conforme à la réglementation européenne en matière d’expression d’un
consentement éclairé.
32 Étant précisé que les cookies sont des chaînes de texte de petite taille que les sites
visités par l’utilisateur envoient à son terminal (en général au navigateur) où ils
sont mémorisés pour être transmis aux sites lors de la prochaine visite du même
utilisateur, nous faisons observer qu’au cours de la navigation sur un site,
l’utilisateur peut recevoir sur son terminal également des cookies qui sont envoyés
par d’autres sites ou serveurs Internet (des tiers qui installent des cookies par
l’intermédiaire du gestionnaire du site que l’utilisateur visite ; voir le paragraphe 2
de la décision susmentionnée du 8 mai 2014) sur lesquels peuvent se trouver des
éléments (comme, par exemple, des images, des cartes, des sons, des liens
spécifiques vers des pages d’autres domaines) présents sur le site que l’utilisateur
visite.
33 Les cookies, généralement présents dans les navigateurs des utilisateurs en grand
nombre et qui ont parfois même des durées assez longues, sont utilisés pour
atteindre divers objectifs, notamment l’exécution de certifications informatiques,
le contrôle de sessions, la mémorisation d’informations sur des configurations
spécifiques concernant les utilisateurs qui accèdent au serveur ou la mémorisation
des préférences, etc.
34 La portée de l’obligation d’informer la personne concernée, objet de la seconde
question préjudicielle, a fait l’objet d’analyses par l’autorité italienne de
protection du traitement des données personnelles, laquelle, dans sa décision
du 8 mai 2014 sur l’identification des modalités simplifiées pour l’information et
le recueillement du consentement à l’utilisation des cookies (doc. web.
doc. 3118884), a précisé que la réglementation de ces dispositifs se fonde sur les
finalités poursuivies par celui qui les utilise, étant donné qu’existe l’obligation de
recueillir le consentement préalable et éclairé des utilisateurs pour l’installation de
8
PLANET49
cookies dans les cas dans lesquels ceux-ci sont utilisés pour des finalités autres
que celles simplement techniques [voir également l’avis 4/2012 du 7 juin 2012
(WP 194) du groupe de travail article 29 relatif à l’exemption du consentement
pour l’utilisation des cookies].
[Or. 10]
35 Dans sa décision, l’autorité nationale a distingué deux grandes catégories de
cookies : les cookies « techniques » et les cookies « de profilage ». Les premiers
sont les cookies qui servent à effectuer la navigation ou à fournir un service
demandé. On peut assimiler à ces cookies techniques les cookies analytiques
seulement s’ils sont utilisés afin d’optimiser le site directement par le titulaire de
celui-ci qui pourra recueillir des informations de façon agrégée sur le nombre des
utilisateurs et sur la manière selon laquelle ceux-ci visitent le site.
36 Au contraire, les cookies « de profilage » sont les cookies utilisés pour tracer la
navigation de l’utilisateur en réseau et créer des profils sur ses goûts, habitudes,
choix, etc. Avec ces cookies, il est possible de transmettre au terminal de
l’utilisateur des messages publicitaires en rapport avec les préférences déjà
manifestées par cet utilisateur lors de sa navigation sur Internet.
37 Pour l’installation des cookies techniques, sans préjudice de la nécessité d’une
information à cet égard, le consentement des utilisateurs n’est pas demandé,
s’agissant d’instruments visant à permettre la navigation ou à fournir un service
demandé par l’utilisateur. Au contraire, pour l’installation des cookies de profilage
il convient de demander le consentement de l’utilisateur, devant s’exprimer de
façon positive après avoir été informé de façon adéquate sur l’utilisation des
cookies, l’accent étant mis sur les instruments susceptibles d’envahir la sphère
privée des utilisateurs, en ce qu’ils sont utilisés pour tracer la navigation de
l’utilisateur sur le réseau et créer des profils sur ses goûts, habitudes ou choix.
38 La question posée par la juridiction de renvoi concerne la catégorie des cookies
« de profilage », concernant notamment le contenu de l’information à donner à la
personne concernée, eu égard particulièrement à la durée d’activité des cookies et
à la circonstance que des tiers ont accès à ces cookies.
39 On observe à cet égard que l’information donnée aux utilisateurs – et donc leur
conscience préalable concernant les possibles implications des informations qui
les concernent – constitue la condition nécessaire pour permettre aux personnes
concernées d’exprimer ou non leur consentement aux traitements des données qui
les concernent, permettant ainsi d’évaluer l’incidence qui ces traitements pourront
avoir sur leur droit à la protection des données personnelles.
40 Il doit donc s’agir d’une information facilement accessible et formulée de façon
claire, complète et exhaustive, comme le précise l’autorité italienne de protection
du traitement des données personnelles dans sa décision du 8 mai 2014 dans
laquelle a été effectuée une délicate mise en balance, prévoyant une série de
mesures susceptibles, d’une part, de
[Or. 11] permettre aux utilisateurs
d’exprimer des choix réellement éclairés sur l’installation des cookies, par la
9
AFFAIREC-673/17-10
manifestation d’un consentement exprès et spécifique et, d’autre part, de présenter
le moins d’impact possible en termes de solution de continuité de la navigation et
du bénéfice des services télématiques.
41 En particulier, l’autorité italienne de contrôle a estimé qu’était suffisante une
information fondée sur deux niveaux d’approfondissement successifs, consistant
en une première information « brève », contenue dans une bannière apparaissant
immédiatement sur la page d’accueil, complétée par une information « étendue » à
laquelle on accède par un lien cliquable par l’utilisateur. Cela est conforme à ce
qu’a affirmé le groupe de travail article 29 concernant les conditions
d’accessibilité et l’efficacité de l’information sur l’opportunité de structurer
l’information à plusieurs niveaux (voir l’avis 10/2004 du 25 novembre 2004 sur la
plus grande harmonisation de la fourniture d’informations).
42 En ce qui concerne le contenu de l’information, pour que l’on puisse considérer
que l’information est complète, il faut placer la personne concernée en condition
de manifester un choix (positif, comme expliqué dans la réponse à la première
question) libre et éclairé concernant la soumission au traitement des données.
43 En particulier, il faut indiquer les finalités et les modalités du traitement auquel les
données sont destinées, le caractère obligatoire ou facultatif de la collecte des
données, les conséquences d’un éventuel refus de répondre, les personnes ou les
catégories de personnes à qui les données peuvent être communiquées ou qui
peuvent en prendre connaissance en tant que responsables ou de sous-traitants et
l’ampleur de la diffusion des données, les droits de la personne concernée, ainsi
que les données d’identification du titulaire.
44 Concernant particulièrement le traitement des données par les cookies,
l’information doit également décrire de façon spécifique et analytique les
caractéristiques et les finalités des cookies installés par le site et permettre à
l’utilisateur de cocher/décocher les cookies. Elle doit inclure le lien à jour vers les
informations et les modules de consentement des tiers avec lesquels le titulaire a
conclu des accords pour l’installation de cookies par l’intermédiaire de son site.
Enfin, elle doit rappeler la possibilité pour l’utilisateur de manifester ses choix
concernant les cookies également par la configuration du navigateur utilisé.
45 Concernant les informations concernant les tiers (point mentionné spécifiquement
par la deuxième question), doit figurer dans l’information le lien à jour vers les
[Or. 12] informations et les modules de consentement des tiers avec lesquels
l’éditeur a conclu des accords pour l’installation de cookies par l’intermédiaire de
son site. Lorsque l’éditeur a des contacts indirects avec des tiers, il devra insérer
un lien sur les sites des personnes qui servent d’intermédiaire entre lui et les tiers.
Il n’est pas exclu que ces liens avec les tiers soient repris sur un seul site Internet
géré par une personne différente de l’éditeur, comme c’est le cas des
concessionnaires.
10
PLANET49
46 Afin de maintenir la responsabilité des éditeurs distincte de celle des tiers en
relation avec l’information donnée et le consentement recueilli pour les cookies de
ces derniers par leur site, il convient également que les éditeurs eux-mêmes
acquièrent, déjà au stade contractuel, les liens susmentionnés des tiers (c’est-à-dire
également les concessionnaires).
47 En outre, dans le même champ de l’information étendue doit également être
rappelée la possibilité pour l’utilisateur de manifester ses choix concernant
l’utilisation des cookies par le site également à travers la configuration du
navigateur, indiquant au moins la procédure à suivre pour configurer celui-ci. Si
les technologies utilisées par le site sont compatibles avec la version du navigateur
utilisée par l’utilisateur, l’éditeur pourra préparer un lien direct avec la section du
navigateur dédié à ces configurations.
48 Concernant la durée de fonctionnement des cookies (faisant également l’objet de
la première question), nous estimons que les données doivent être conservées sous
une forme qui permet l’identification de la personne intéressée pour une période
de temps n’excédant pas celle nécessaire aux objectifs pour lesquels celles-ci ont
été récoltées ou ultérieurement traitées (sur la nécessité d’adopter une politique de
conservation des données visant à atteindre ces objectifs, voir les lignes directrices
du 19 mars 2015 en matière de traitement des données personnelles pour le
profilage en ligne).
49 L’importance que revêt l’élément de la durée de traitement dans le cadre de
l’information à donner à la personne concernée est soulignée tant par le
règlement 2016/679, qui à l’article 13 exige d’informer la personne intéressée
également concernant la «
durée de conservation des données à caractère
personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer
cette durée », que par le groupe de travail article 29 qui, eu égard spécifiquement
aux cookies dans l’avis 02/2013 énonçant des lignes directrices sur le recueil du
consentement pour le dépôt de cookies du 2 octobre 2013 (WP 208), a affirmé que
«
une nécessaire information serait l’objectif des cookies et, le cas échant, une
indication de cookies éventuels de tiers ou d’un accès de tiers aux données
collectées par les cookies sur le site Internet. L’information concernant la durée
de conservation (c’est-à-dire la date d’expiration des cookies), les valeurs
[Or. 13] typiques, les détails de cookies de tiers et d’autres informations
techniques devraient également être incluses pour une information complète des
utilisateurs » (voir paragraphe 1, Information spécifique, de l’avis susmentionné).
50 Au regard des observations développées ci-dessus, il convient de souligner
l’importance d’une information complète qui rende compte de la subtilité et de la
complexité des modalités de traitement et des flux de données, en utilisant un
langage clair et précis de sorte à ne pas induire en erreur un utilisateur moyen et à
ne pas entraîner chez chaque personne concernée une sous-estimation des
conséquences découlant du transfert des données personnelles : l’information doit
assurer un traitement correct et transparent prenant en considération les
11
AFFAIREC-673/17-10
circonstances et le contexte spécifiques dans lesquels les données personnelles
sont traitées, en particulier en cas de profilage (voir considérant 60 du règlement).
51 Afin de garantir le principe de l’autodétermination informationnelle de
l’utilisateur, étant donné le caractère essentiel des informations concernant la
durée de fonctionnement des cookies et la possibilité pour des tiers d’avoir accès
aux cookies – nécessaires pour donner un consentement libre, spécifique et éclairé
de l’utilisateur – il faut considérer qu’une information ne contenant pas des
indications qui définissent de façon adéquate le champ spécifique de
communication aux tiers et la durée du traitement par les cookies n’est pas
conforme à l’article 5, paragraphe 3, de la directive 2002/58.
V.
RÉPONSE AUX QUESTIONS
PREMIÈRE QUESTION
Eu égard aux considérations qui précèdent, le gouvernement italien suggère à la
Cour de répondre comme suit à la première question soumise à son examen :
Le consentement visé à l’article 5, paragraphe 3, et de l’article 2, sous f), de la
directive 2002/58/CE lus conjointement avec l’article 2, sous h), de la
directive 95/46/CE n’est pas valablement donné lorsque le stockage
d’informations ou l’accès à des informations stockées dans l’équipement terminal
de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit
décocher pour refuser de donner son consentement. Dans les circonstances
évoquées dans la question préjudicielle 1, sous a), le consentement visé à
l’article 6, paragraphe 1, sous a), du règlement (UE) no 2016/679 n’est pas
valablement donné.
DEUXIÈME QUESTION
Eu égard aux considérations qui précèdent, le gouvernement italien suggère à la
Cour
[Or. 14] de répondre comme suit à la deuxième question soumise à son
examen :
Afin de donner à l’utilisateur l’information claire et complète voulue par
l’article 5, paragraphe 3, de la directive 2002/58/CE, le fournisseur de service
doit donner une information adéquate également sur la durée de fonctionnement
des cookies et l’accès ou non de tiers aux cookies.
Rome, le 21 mars 2018
L’avvocato dello Stato
Francesco de Luca
12