This is an HTML version of an attachment to the Freedom of Information request 'Written observations in cases C-673/17 (Planet49)'.

 
Traduction  
C-673/17 - 10 
Observations de l’Italie 
Affaire C-673/17 * 
Pièce déposée par : 
République italienne 
Nom usuel de l’affaire : 
PLANET 49 
Date de dépôt : 
21 mars 2018 
 
I. 
LES QUESTIONS PRÉJUDICIELLES 

Par  décision  du  5 octobre  2017,  parvenue  à  la  Cour  le  30 novembre  2017,  le 
Bundesgerichtshof (Cour fédérale de justice, Allemagne) a posé à la Cour, dans le 
cadre de la procédure précitée, les questions suivantes : 
1. a)  Le consentement visé à l’article 5, paragraphe 3, et de l’article 2, sous f), de 
la  directive  2002/58/CE  lus  conjointement  avec  l’article 2,  sous  h),  de  la 
directive 95/46/CE est-il valablement donné lorsque le stockage d’informations ou 
l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est 
autorisé  par  une  case  cochée  par  défaut  que  l’utilisateur  
[Or. 2]  doit  décocher 
pour refuser de donner son consentement ? 

b) 
L’article 5, paragraphe 3, et l’article 2, sous f), de la directive 2002/58/CE 
lus conjointement avec l’article 2, sous h), de la directive 95/46/CE reçoivent-ils 
une application différente selon que les informations stockées ou consultées sont 
des données à caractère personnel ? 

c) 
Dans les circonstances évoquées dans la question préjudicielle 1, sous a), le 
consentement  visé  à  l’article 6,  paragraphe 1,  sous  a),  du  règlement  (UE) 
no 2016/679 est-il valablement donné ? 

2. 
Quelles  sont  les  informations  que  le  fournisseur  de  service  doit  donner  à 
l’utilisateur  au  titre  de  l’information  claire  et  complète  voulue  par  l’article 5, 
paragraphe 3,  de  la  directive  2002/58/CE ?  La  durée  de  fonctionnement  des 
cookies et l’accès ou non de tiers aux cookies en font-ils partie ? 
 
*  Langue de procédure : l’allemand. 
FR   

AFFAIREC-673/17-10 
II. 
LES  FAITS,  LE  LITIGE  DANS  L’AFFAIRE AU  PRINCIPAL  ET  LES 
MOTIFS DE LA JURIDICTION DE RENVOI 


La société Planet49 GmbH, opérateur économique qui propose de participer à des 
jeux  promotionnels  sur  Internet,  a  organisé  le  24 septembre  2013  un  jeu 
promotionnel  à  l’adresse  Internet  www.dein-macbook.de  sur  laquelle  s’affichait 
une page destinée à être remplie avec les données de l’utilisateur (en particulier, le 
code postal, le nom et l’adresse). 

Sous les cases à remplir se trouvaient deux mentions à cocher : 
–  La première mention qui n’était pas cochée par défaut concernait l’acceptation 
de  recevoir  de  la  part  de  sponsors  et  partenaires  des  informations  sur  les 
promotions dans leur domaine d’activité respectif. Elle permettait notamment à 
l’utilisateur  de  choisir  lui-même  les  personnes  autorisées  à  lui  envoyer  des 
offres  de  promotion  et  de  révoquer  à  tout  moment  son  acceptation.  D’autres 
informations étaient disponibles en cliquant sur un lien prévu à cet effet. 
–  La  deuxième  mention  dont  la  case  était  cochée  par  défaut  concernait 
l’acceptation  de  l’utilisateur  pour  que  le  service  d’analyse  du  web  Remintrex 
soit  mis  en  œuvre  chez  lui,  ce  service  permettant  à  l’organisateur  du  jeu 
promotionnel,  à  la  suite  de  l’enregistrement  de  l’utilisateur,  d’installer  des 
cookies  sur  le  terminal  de  l’utilisateur  afin  de  permettre  l’analyse  de  la 
navigation  et  de  l’utilisation  des  sites  web  des  partenaires  publicitaires.  Cette 
mention  prévoyait  en  tout  état  de  cause  la  possibilité  pour  l’utilisateur  de 
supprimer  les  cookies  à  tout  moment  et  d’autres  détails  étaient  également 
disponibles en cliquant sur un lien prévu à cet effet. [Or. 3] 

En ce qui concerne plus particulièrement la présente procédure préjudicielle, selon 
la  juridiction  nationale,  le  lien  électronique  figurant  dans  la  deuxième  mention 
sous  le  mot  « ici »  affichait  un  message  contenant  d’autres  informations  ne 
concernant  toutefois  pas  la  durée  du  traitement  consenti  par  l’installation  des 
cookies et l’identité des partenaires publicitaires titulaires des sites web concernés 
par les cookies installés sur l’ordinateur de l’utilisateur. 

Le  Bundesverband  der  Verbraucherzentralen  (fédération  allemande  des 
organisations de consommateurs, ci-après la « fédération ») a introduit un recours 
en  justice  visant  à  faire  déclarer  que  les  déclarations  d’accord  sollicitées  par  la 
défenderesse ne sont pas conformes aux dispositions du code civil allemand, à la 
loi  contre  la  concurrence  déloyale  et  à  la  loi  sur  les  médias  électroniques.  La 
fédération requérante a donc demandé que soit interdite l’utilisation des clauses de 
manifestation  du  consentement  contenues  sur  le  site  www.dein-macbook.de 
nécessaires pour participer au jeu promotionnel organisé par la défenderesse, ainsi 
que  la  condamnation  de  la  société  Planet49 GmbH  au  paiement  de  214 euros  à 
majorer d’intérêts depuis le 15 mars 2014. 

 

PLANET49 

Pour  ce  qui  nous  concerne  plus  particulièrement  ici,  la  juridiction  de  première 
instance  a  fait  droit  à  la  demande  d’interdiction  de  la  fédération  concernant  la 
clause  de  consentement  à  l’installation  de  cookies  dont  la  case  était  cochée  par 
défaut. 

La partie du jugement qui a fait l’objet d’un recours de la société Planet49 GmbH 
a  été  infirmée  par  le  juge  du  second  degré  selon  lequel  la  manifestation  du 
consentement à l’utilisation de cookies n’est critiquable ni par la case cochée par 
défaut  ni  par  sa  teneur.  Au  regard  du  premier  aspect,  l’utilisateur  avait 
connaissance de la possibilité de décocher la case cochée par défaut. Au regard du 
deuxième  aspect,  la  manifestation  du  consentement  était  présentée  dans  une 
typographie  suffisamment  claire  et  donnait  des  informations  claires  sur  les 
modalités  d’utilisation  des  cookies,  sans  qu’il  soit  nécessaire  de  divulguer 
l’identité des tiers susceptibles d’avoir accès aux informations recueillies par les 
cookies. 

La  fédération  a  introduit  un  recours  en  Revision  aux  fins  de  faire  reconnaître 
l’illégalité d’une clause de manifestation de la volonté avec une case cochée par 
défaut.  La société titulaire de la page Internet s’est constituée défenderesse dans 
cette procédure. [Or. 4] 

La Cour suprême allemande, estimant que la solution dépendait de l’interprétation 
de  la  réglementation  supranationale  (à  savoir  l’article 5,  paragraphe 3,  et 
l’article 2, sous f), de la directive 2002/58/CE, lus en combinaison avec l’article 2, 
sous  h),  de  la  directive  95/46/CE,  ainsi  que  l’article 6,  paragraphe 1,  sous  a),  du 
règlement  (UE)  2016/679,  également  au  regard  du  considérant  32  du  règlement 
(UE) no 2016/679, a posé les questions préjudicielles reproduites ci-dessus. 
10  En  effet,  la  juridiction  de  renvoi  affirme  la  nécessité  que  le  stockage 
d’informations ou l’accès à des informations stockées dans l’équipement terminal 
de  l’utilisateur  soit  subordonné  au  consentement  préalable  et  éclairé  de 
l’utilisateur,  à  moins  que  les  opérations  examinées  ne  visent  exclusivement  à 
effectuer  la  transmission  d’une  communication  par  la  voie  d’un  réseau  de 
communications électroniques, ou ne soient strictement nécessaires au fournisseur 
pour la fourniture d’un service expressément demandé par l’utilisateur à la société 
de l’information. 
11  Étant  donné  qu’en  l’espèce  l’installation  des  cookies –  fichiers  stockés  par  le 
gestionnaire  d’une  page  Internet  sur  l’ordinateur  de  l’utilisateur,  permettant  au 
gestionnaire, en cas de nouvelle visite de la page web, d’accéder aux informations 
sur le comportement de navigation de l’utilisateur – avait des buts commerciaux et 
que  les  cookies  permettaient  une  personnalisation  des  données  stockées  par  les 
cookies au cours de l’utilisation d’Internet, la Cour se demande : 
–  si  une  clause  dont  la  case  est  cochée  par  défaut  et  qui  impose  de  décocher 
celle-ci  pour  refuser  de  donner  son  consentement  est  conforme  à  la 


AFFAIREC-673/17-10 
réglementation  européenne  en  matière  de  manifestation  du  consentement  au 
traitement des données ; 
–  si une clause qui ne donne pas d’informations sur la possibilité d’accès par des 
tiers  aux  cookies  stockés  dans  l’équipement  terminal  de  l’utilisateur  et  sur  la 
durée de fonctionnement des cookies, c’est-à-dire ne précisant pas s’ils sont en 
fonction pour la seule durée de la session en cours (« cookies de session ») ou 
au-delà  et,  le  cas  échéant,  pour  combien  de  temps,  est  conforme  à  la 
réglementation  européenne  en  matière  de  manifestation  d’un  consentement 
éclairé. 
III.  LA RÉGLEMENTATION COMMUNAUTAIRE PERTINENTE 
12  L’article, paragraphe 3, de la directive 2002/58 prévoit que : « Les États membres 
garantissent que l’utilisation des réseaux de communications électroniques en vue 
de  stocker  des  informations  ou  d’accéder  à  des  informations  stockées  dans 
l’équipement
  [Or. 5]  terminal  d’un  abonné  ou  d’un  utilisateur  ne  soit  permise 
qu’à  condition  que  l’abonné  ou  l’utilisateur,  soit  muni,  dans  le  respect  de  la 
directive  95/46/CE,  d’une  information  claire  et  complète,  entre  autres  sur  les 
finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel 
traitement par le responsable du traitement des données. Cette disposition ne fait 
pas  obstacle  à  un  stockage  ou  à  un  accès  techniques  visant  exclusivement  à 
effectuer  ou  à  faciliter  la  transmission  d’une  communication  par  la  voie  d’un 
réseau  de  communications  électroniques,  ou  strictement  nécessaires  à  la 
fourniture d’un service de la société de l’information expressément demandé par 
l’abonné ou l’utilisateur
 ». 
13  L’article 2,  point  f),  de  la  directive  2002/58  dispose  que :  « Les  définitions 
suivantes  sont  aussi  applicables :  le  “consentement”  d’un  utilisateur  ou  d’un 
abonné correspond au “consentement de la personne concernée” figurant dans la 
directive 95/46/CE
 ». 
14  L’article 2,  point  f),  de  la  directive  95/46/CE,  abrogé  par  l’article 94  du 
règlement 2016/679,  à  compter  du  25 mai  2018,  prévoit  que :  « Aux  fins  de  la 
présente  directive,  on  entend  par :  “consentement  de  la  personne  concernée” : 
toute  manifestation  de  volonté,  libre,  spécifique  et  informée  par  laquelle  la 
personne concernée accepte que des données à caractère personnel la concernant 
fassent l’objet d’un traitement
 » 
15  L’article 6,  paragraphe 1,  sous  a),  du  règlement  2016/679  prévoit  que :  « Le 
traitement  n’est  licite  que  si,  et  dans  la  mesure  où,  au  moins  une  des  conditions 
suivantes  est  remplie :  a)  la  personne  concernée  a  consenti  au  traitement  de  ses 
données à caractère personnel pour une ou plusieurs finalités spécifiques
 ». 
16  Le considérant 17 de la directive 2002/58 indique que :  « Aux fins de la présente 
directive, le consentement d’un utilisateur ou d’un abonné, que ce dernier soit une 
personne physique ou morale, devrait avoir le même sens que le consentement de 


 

PLANET49 
la  personne  concernée  tel  que  défini  et  précisé  davantage  par  la 
directive 95/46/CE.  Le  consentement  peut  être  donné  selon  toute  modalité 
appropriée  permettant  à  l’utilisateur  d’indiquer  ses  souhaits  librement,  de 
manière spécifique et informée, y compris en cochant une case lorsqu’il visite un 
site Internet
 » 
17  Le considérant 66 de la directive 2006/136 prévoie que : « Il se peut que des tiers 
souhaitent stocker des informations sur l’équipement d’un utilisateur, ou obtenir 
l’accès  à  des  informations  déjà  stockées,  à  des  fins  diverses,  qu’elles  soient 
légitimes  (certains  types  de  cookies,  par  exemple)  ou  qu’elles  impliquent  une 
intrusion  non  autorisée  dans  la  sphère  privée  (logiciels  espions  ou  virus,  par 
exemple).  Il  est  donc  extrêmement  important  que  les  utilisateurs  disposent 
d’informations  claires  et  complètes  lorsqu’ils  entreprennent  une  démarche 
susceptible  de  déboucher  sur  un  stockage  ou  un  accès  de  ce  type.  Les  méthodes 
retenues pour fournir des informations et offrir le droit de refus 
[Or. 6] devraient 
être les plus conviviales possibles. Les dérogations à l’obligation de fournir des 
informations et  de donner le droit  de refus  devraient être limitées aux situations 
dans  lesquelles  le  stockage  technique  ou  l’accès  est  strictement  nécessaire  afin 
d’autoriser  légitimement  l’utilisation  d’un  service  spécifique  explicitement 
demandé par l’abonné ou l’utilisateur. Lorsque cela est techniquement possible et 
effectif,  conformément  aux  dispositions  pertinentes  de  la  directive  95/46/CE, 
l’accord  de  l’utilisateur  en  ce  qui  concerne  le  traitement  peut  être  exprimé  par 
l’utilisation  des  paramètres  appropriés  d’un  navigateur  ou  d’une  autre 
application. La mise en œuvre de ces exigences devrait être rendue plus efficace 
en  renforçant  les  pouvoirs  conférés  aux  autorités  nationales  compétentes  en  la 
matière
 ». 
18  Le considérant 32 du règlement 2016/679 indique que : « Le consentement devrait 
être donné par un acte positif clair par lequel la personne concernée manifeste de 
façon libre, spécifique, éclairée et univoque son accord au traitement des données 
à  caractère  personnel  la  concernant,  par  exemple  au  moyen  d’une  déclaration 
écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait 
se faire notamment en cochant une case lors de la consultation d’un site internet, 
en optant pour certains paramètres techniques pour des services de la société de 
l’information  ou  au  moyen  d’une  autre  déclaration  ou  d’un  autre  comportement 
indiquant  clairement  dans  ce  contexte  que  la  personne  concernée  accepte  le 
traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y 
avoir  de  consentement  en  cas  de  silence,  de  cases  cochées  par  défaut  ou 
d’inactivité.  Le  consentement  donné  devrait  valoir  pour  toutes  les  activités  de 
traitement  ayant  la  ou  les  mêmes  finalités.  Lorsque  le  traitement  a  plusieurs 
finalités,  le  consentement  devrait  être  donné  pour  l’ensemble  d’entre  elles.  Si  le 
consentement  de  la  personne  concernée  est  donné  à  la  suite  d’une  demande 
introduite  par  voie  électronique,  cette  demande  doit  être  claire  et  concise  et  ne 
doit pas inutilement perturber l’utilisation du service pour lequel il est accordé
 ». 


AFFAIREC-673/17-10 
IV.  OBSERVATIONS DU GOUVERNEMENT ITALIEN 
PREMIÈRE QUESTION 
19  Par  la  première  question,  le  juge  allemand  demande  si  est  conforme  à  la 
réglementation  européenne  en  matière  de  manifestation  du  consentement  au 
traitement  des  données  une  clause,  dont  la  case  est  cochée  par  défaut  et  qui 
impose  un  comportement  actif  de  l’utilisateur  pour  refuser  un  consentement 
formulé  à  l’avance.  Le  juge  demande  également  s’il  en  va  différemment  si  les 
informations  stockées  ou  consultées  sont  des  données  à  caractère  personnel  et  si 
dans  les  circonstances  évoquées  dans  la  première  question  préjudicielle,  le 
consentement visé à l’article 6, paragraphe 1, sous a), du règlement 2016/679 est 
valablement donné. 
20  À  cet  égard,  il  convient  d’observer  que  la  manifestation  du  consentement  par  la 
personne  intéressée  constitue  un  des  principes  cardinaux  du  traitement  des 
données  personnelles  [voir  les  [Or. 7]  articles 2,  paragraphe 1,  point  h),  et  7, 
paragraphe 1, sous a), de la directive 95/46 ; les articles 2, paragraphe 1, point f), 
et 5, paragraphe 3, de la directive 2002/58 ; les articles 4, paragraphe 1, point 11, 
et  6,  paragraphe 1,  sous  a),  du  règlement  2016/679 ;  l’article 23  du  code  en 
matière  de  protection  des  données  à  caractère  personnel,  établi  par  le  décret 
législatif  no 196/2003,  ci-après  le  « Code »] :  est  exigée  une  « manifestation  de 
volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée 
accepte,  par  une  déclaration  ou  par  un  acte  positif  clair,  que  des  données  à 
caractère  personnel  la  concernant  fassent  l’objet  d’un  traitement
 »  [article 4, 
paragraphe 1, point 11), du règlement 2016/679]. 
21  Lorsqu’il y a traitement de données personnelles, comme le sont les données dans 
l’affaire  au  principal,  il  est  donc  nécessaire  de  garantir  à  l’intéressé  un  choix 
effectif,  c’est-à-dire  qu’il  donne  son  consentement  de  façon  libre,  par  toute 
modalité appropriée qui permette de manifester librement sa volonté. 
22  Eu  égard  plus  particulièrement  à  des  services  fournis  sous  une  forme 
informatique, sont considérés comme adéquats les seuls moyens qui permettent de 
manifester  le  consentement  de  façon  indubitable :  à  cette  fin,  si  l’on  pourrait 
admettre  l’utilisation  d’une  case  appropriée  pour  exprimer  le  consentement  que 
l’utilisateur  doit  cocher  (voir  le  considérant  17  de  la  directive  2002/58  et  le 
considérant  32  du  règlement),  on  ne  pourrait  en  revanche  pas  l’admettre  tout 
autant pour les cases cochées par défaut. 
23  Comme l’a précisé le groupe de travail mis en place en vertu de l’article 29 de la 
directive (ci-après le « groupe de travail article 29 ») dans l’avis 15/2011 (WP187) 
adopté le 13 juillet 2011 « sur la définition de consentement » : « le fait de cocher 
la case après avoir reçu une information pertinente constituerait un consentement 
exprès  et  indubitable  dans  la  mesure  où  l’action  de  cocher  la  case  est  un  acte 
suffisamment clair pour ne laisser aucun doute quant à l’intention de la personne
 
[…] » [voir paragraphe III.A.2 ; article 7, sous a), de l’avis]. 

 

PLANET49 
24  Par  conséquent,  des  procédures  fondées  sur  « le  silence,  l’inaction  ou  la 
présélection de cases », étant donné l’ambiguïté intrinsèque de ces derniers (voir 
le  considérant  32  du  règlement),  ne  permettraient  pas  une  manifestation  libre  et 
éclairée du consentement. 
25  De même, les cases sélectionnées, par exemple sur des sites web, pourraient être 
considérées  comme  étant  compatibles  avec  la  définition  de  la  directive  [voir  le 
paragraphe 3.2  de  l’avis  5/2004  (WP 90)  « portant  sur  les  communications  de 
prospection directe non sollicitées selon l’article 13 de la Directive 2002/58/CE
 », 
adopté  le  27 février  2004 ;  voir  également  le  paragraphe  III.A.2  de  l’article 7, 
sous a),  de  l’avis  15/2011],  telle  que  rappelée  par  le  groupe  de  travail  article 29 
[Or. 8]  selon  lequel  « l’utilisation  de  cases  cochées  par  défaut  est  invalide  en 
vertu  du  règlement  général  sur  la  protection  des  données.  Le  silence  ou 
l’inactivité de la part de la personne concernée, de même que le fait de seulement 
contracter  un  service,  ne  peut  être  considéré  comme  l’indication  active  d’un 
choix
 ». Il est également précisé que « le règlement général sur la protection des 
données n’autorise pas les contrôleurs à offrir des cases cochés par défaut ou des 
constructions  par  opt-out  qui  exigent  l’intervention  de  la  personne  concernée 
pour  empêcher  l’accord  (par  exemple  des  “cases  d’opt-out”
 »  (voir  le 
paragraphe 3.4  des  lignes  directrices  sur  le  consentement  en  application  du 
règlement 2016/679 adoptées le 28 novembre 2017). 
26  La  nécessité  d’un  consentement  exprès  et  libre,  incompatible  avec  les  clauses 
contenant  des  cases  cochées  par  défaut,  a  également  été  rappelée  par  l’autorité 
italienne  de  protection  du  traitement  des  données  personnelles  selon  laquelle  la 
capacité d’autodétermination des personnes concernées (et donc le caractère libre 
du  consentement  qu’elles  sont  appelées  à  manifester)  ne  pourrait  être  considéré 
comme  protégée  lorsque  l’on  a  recours  à  « des  modules  dans  lesquels  la  case 
(appelée “check-box”) de manifestation du consentement est cochée par défaut au 
moyen  d’un  symbole  spécifique  (appelé  “flag”)
 »  (voir  paragraphe 2.6  de  la 
décision  « consentement  au  traitement  des  données  sur  Internet  et  utilisation  des 
données à des fins promotionnelles » 10 mai 2006, doc. Web no 1298709). 
27  Il  ressort  de  ce  qui  précède  que  conformément  à  l’article 5,  paragraphe 3,  et 
l’article 2,  point  f),  de  la  directive  2002/58,  lus  en  combinaison  avec  l’article 2, 
point  h),  de  la  directive  95/46,  et  conformément  à  l’article 6,  paragraphe 1, 
sous a), du règlement 2016/649,  il n’y a pas de  consentement  efficace lorsque le 
stockage  des  données  personnelles  ou  l’accès  aux  données  personnelles  déjà 
stockées  dans  l’équipement  terminal  de  l’utilisateur  est  autorisé  par  une  case 
cochée  par  défaut  que  l’utilisateur  doit  décocher  pour  refuser  de  donner  son 
consentement. 
28  Dans  ces  hypothèses,  l’utilisateur  est  privé  de  la  possibilité  de  manifester,  de 
façon positive et active, son consentement au traitement des données personnelles, 
celui-ci  étant,  au contraire, présupposé puisque l’expression du consentement est 
manifestée par des cases cochées par défaut. 


AFFAIREC-673/17-10 
29  Pour  protéger  et  défendre  le  libre  choix  de  la  personne,  il  faut  donc  éviter  non 
seulement un mécanisme bloquant afin de ne pas empêcher l’exercice d’un droit, 
mais également les cases cochées par défaut afin de ne pas influencer le choix de 
la personne concernée. 
30  Le motif à la base de la réglementation supranationale doit en effet être identifié 
dans l’exigence de garantir aux personnes concernées une liberté réelle d’exercice 
de  leur  droit,  possible  seulement  en  présence  de  moyens  qui  permettent  une 
manifestation  positive et  active du consentement,  [Or. 9] résultat  d’actes  positifs 
impliquant  des  choix  spécifiques  concernant  les  différentes  catégories  de 
traitement. 
DEUXIÈME QUESTION 
31  Par  la  deuxième  question,  la  juridiction  de  renvoi  demande  si  une  clause  qui  ne 
donne  pas  d’informations  sur  la  durée  de  fonctionnement  des  cookies  et  sur  la 
possibilité  d’accès  de  tiers  aux  cookies  stockés  sur  l’équipement  terminal  est 
conforme  à  la  réglementation  européenne  en  matière  d’expression  d’un 
consentement éclairé. 
32  Étant précisé que les cookies sont des chaînes de texte de petite taille que les sites 
visités  par  l’utilisateur  envoient  à  son  terminal  (en  général  au  navigateur)  où  ils 
sont mémorisés pour être transmis aux sites lors de la prochaine visite du même 
utilisateur,  nous  faisons  observer  qu’au  cours  de  la  navigation  sur  un  site, 
l’utilisateur peut recevoir sur son terminal également des cookies qui sont envoyés 
par  d’autres  sites  ou  serveurs  Internet  (des  tiers  qui  installent  des  cookies  par 
l’intermédiaire du gestionnaire du site que l’utilisateur visite ; voir le paragraphe 2 
de la décision susmentionnée du 8 mai 2014) sur lesquels peuvent se trouver des 
éléments  (comme,  par  exemple,  des  images,  des  cartes,  des  sons,  des  liens 
spécifiques vers des pages d’autres domaines) présents sur le site que l’utilisateur 
visite. 
33  Les cookies, généralement présents dans les navigateurs des utilisateurs en grand 
nombre  et  qui  ont  parfois  même  des  durées  assez  longues,  sont  utilisés  pour 
atteindre  divers  objectifs,  notamment  l’exécution  de  certifications  informatiques, 
le  contrôle  de  sessions,  la  mémorisation  d’informations  sur  des  configurations 
spécifiques concernant les utilisateurs qui accèdent au serveur ou la mémorisation 
des préférences, etc. 
34  La  portée  de  l’obligation  d’informer  la  personne  concernée,  objet  de  la  seconde 
question  préjudicielle,  a  fait  l’objet  d’analyses  par  l’autorité  italienne  de 
protection  du  traitement  des  données  personnelles,  laquelle,  dans  sa  décision 
du 8 mai 2014 sur l’identification des modalités simplifiées pour l’information et 
le  recueillement  du  consentement  à  l’utilisation  des  cookies  (doc.  web. 
doc. 3118884), a précisé que la réglementation de ces dispositifs se fonde sur les 
finalités poursuivies par celui qui les utilise, étant donné qu’existe l’obligation de 
recueillir le consentement préalable et éclairé des utilisateurs pour l’installation de 

 

PLANET49 
cookies  dans  les  cas  dans  lesquels  ceux-ci  sont  utilisés  pour  des  finalités  autres 
que  celles  simplement  techniques  [voir  également  l’avis  4/2012  du  7 juin  2012 
(WP  194)  du  groupe  de  travail  article 29  relatif  à  l’exemption  du  consentement 
pour l’utilisation des cookies]. [Or. 10] 
35  Dans  sa  décision,  l’autorité  nationale  a  distingué  deux  grandes  catégories  de 
cookies :  les  cookies  « techniques »  et  les  cookies  « de  profilage ».  Les  premiers 
sont  les  cookies  qui  servent  à  effectuer  la  navigation  ou  à  fournir  un  service 
demandé.  On  peut  assimiler  à  ces  cookies  techniques  les  cookies  analytiques 
seulement s’ils sont utilisés afin d’optimiser le site directement par le titulaire de 
celui-ci qui pourra recueillir des informations de façon agrégée sur le nombre des 
utilisateurs et sur la manière selon laquelle ceux-ci visitent le site. 
36  Au  contraire,  les  cookies  « de  profilage »  sont  les  cookies  utilisés  pour  tracer  la 
navigation de l’utilisateur en réseau et  créer des profils sur ses goûts, habitudes, 
choix,  etc.  Avec  ces  cookies,  il  est  possible  de  transmettre  au  terminal  de 
l’utilisateur  des  messages  publicitaires  en  rapport  avec  les  préférences  déjà 
manifestées par cet utilisateur lors de sa navigation sur Internet. 
37  Pour  l’installation  des  cookies  techniques,  sans  préjudice  de  la  nécessité  d’une 
information  à  cet  égard,  le  consentement  des  utilisateurs  n’est  pas  demandé, 
s’agissant  d’instruments  visant à permettre  la navigation ou à  fournir un service 
demandé par l’utilisateur. Au contraire, pour l’installation des cookies de profilage 
il  convient  de  demander  le  consentement  de  l’utilisateur,  devant  s’exprimer  de 
façon  positive  après  avoir  été  informé  de  façon  adéquate  sur  l’utilisation  des 
cookies,  l’accent  étant  mis  sur  les  instruments  susceptibles  d’envahir  la  sphère 
privée  des  utilisateurs,  en  ce  qu’ils  sont  utilisés  pour  tracer  la  navigation  de 
l’utilisateur sur le réseau et créer des profils sur ses goûts, habitudes ou choix. 
38  La  question  posée  par  la  juridiction  de  renvoi  concerne  la  catégorie  des  cookies 
« de profilage », concernant notamment le contenu de l’information à donner à la 
personne concernée, eu égard particulièrement à la durée d’activité des cookies et 
à la circonstance que des tiers ont accès à ces cookies. 
39  On  observe  à  cet  égard  que  l’information  donnée  aux  utilisateurs –  et  donc  leur 
conscience  préalable  concernant  les  possibles  implications  des  informations  qui 
les  concernent –  constitue  la  condition  nécessaire  pour  permettre  aux  personnes 
concernées d’exprimer ou non leur consentement aux traitements des données qui 
les concernent, permettant ainsi d’évaluer l’incidence qui ces traitements pourront 
avoir sur leur droit à la protection des données personnelles. 
40  Il  doit  donc  s’agir  d’une  information  facilement  accessible  et  formulée  de  façon 
claire, complète et exhaustive, comme le précise l’autorité italienne de protection 
du  traitement  des  données  personnelles  dans  sa  décision  du  8 mai  2014  dans 
laquelle  a  été  effectuée  une  délicate  mise  en  balance,  prévoyant  une  série  de 
mesures  susceptibles,  d’une  part,  de  [Or. 11]  permettre  aux  utilisateurs 
d’exprimer  des  choix  réellement  éclairés  sur  l’installation  des  cookies,  par  la 


AFFAIREC-673/17-10 
manifestation d’un consentement exprès et spécifique et, d’autre part, de présenter 
le moins d’impact possible en termes de solution de continuité de la navigation et 
du bénéfice des services télématiques. 
41  En  particulier,  l’autorité  italienne  de  contrôle  a  estimé  qu’était  suffisante  une 
information  fondée  sur  deux  niveaux  d’approfondissement  successifs,  consistant 
en  une  première  information  « brève »,  contenue  dans  une  bannière  apparaissant 
immédiatement sur la page d’accueil, complétée par une information « étendue » à 
laquelle on accède par un lien cliquable par l’utilisateur. Cela est conforme à ce 
qu’a  affirmé  le  groupe  de  travail  article 29  concernant  les  conditions 
d’accessibilité  et  l’efficacité  de  l’information  sur  l’opportunité  de  structurer 
l’information à plusieurs niveaux (voir l’avis 10/2004 du 25 novembre 2004 sur la 
plus grande harmonisation de la fourniture d’informations). 
42  En  ce  qui  concerne  le  contenu  de  l’information,  pour  que  l’on  puisse  considérer 
que l’information est  complète, il faut placer la personne concernée en condition 
de  manifester  un  choix  (positif,  comme  expliqué  dans  la  réponse  à  la  première 
question) libre et éclairé concernant la soumission au traitement des données. 
43  En particulier, il faut indiquer les finalités et les modalités du traitement auquel les 
données  sont  destinées,  le  caractère  obligatoire  ou  facultatif  de  la  collecte  des 
données, les conséquences d’un éventuel refus de répondre, les personnes ou les 
catégories  de  personnes  à  qui  les  données  peuvent  être  communiquées  ou  qui 
peuvent en prendre connaissance en tant que responsables ou de sous-traitants et 
l’ampleur de la diffusion des données, les droits de la personne concernée, ainsi 
que les données d’identification du titulaire. 
44  Concernant  particulièrement  le  traitement  des  données  par  les  cookies, 
l’information  doit  également  décrire  de  façon  spécifique  et  analytique  les 
caractéristiques  et  les  finalités  des  cookies  installés  par  le  site  et  permettre  à 
l’utilisateur de cocher/décocher les cookies. Elle doit inclure le lien à jour vers les 
informations et les modules de consentement des tiers avec lesquels le titulaire a 
conclu  des  accords pour l’installation  de cookies par l’intermédiaire de son site. 
Enfin,  elle  doit  rappeler  la  possibilité  pour  l’utilisateur  de  manifester  ses  choix 
concernant les cookies également par la configuration du navigateur utilisé. 
45  Concernant les informations concernant les tiers (point mentionné spécifiquement 
par  la  deuxième  question),  doit  figurer  dans  l’information  le  lien  à  jour  vers  les 
[Or. 12]  informations  et  les  modules  de  consentement  des  tiers  avec  lesquels 
l’éditeur a conclu des accords pour l’installation de cookies par l’intermédiaire de 
son site. Lorsque l’éditeur a des contacts indirects avec des tiers, il devra insérer 
un lien sur les sites des personnes qui servent d’intermédiaire entre lui et les tiers. 
Il n’est pas exclu que ces liens avec les tiers soient repris sur un seul site Internet 
géré  par  une  personne  différente  de  l’éditeur,  comme  c’est  le  cas  des 
concessionnaires. 
10 
 

PLANET49 
46  Afin  de  maintenir  la  responsabilité  des  éditeurs  distincte  de  celle  des  tiers  en 
relation avec l’information donnée et le consentement recueilli pour les cookies de 
ces  derniers  par  leur  site,  il  convient  également  que  les  éditeurs  eux-mêmes 
acquièrent, déjà au stade contractuel, les liens susmentionnés des tiers (c’est-à-dire 
également les concessionnaires). 
47  En  outre,  dans  le  même  champ  de  l’information  étendue  doit  également  être 
rappelée  la  possibilité  pour  l’utilisateur  de  manifester  ses  choix  concernant 
l’utilisation  des  cookies  par  le  site  également  à  travers  la  configuration  du 
navigateur, indiquant au  moins la procédure à suivre pour configurer celui-ci.  Si 
les technologies utilisées par le site sont compatibles avec la version du navigateur 
utilisée par l’utilisateur, l’éditeur pourra préparer un lien direct avec la section du 
navigateur dédié à ces configurations. 
48  Concernant la durée de fonctionnement des cookies (faisant également l’objet de 
la première question), nous estimons que les données doivent être conservées sous 
une forme qui permet l’identification de la personne intéressée pour une période 
de temps n’excédant pas celle nécessaire aux objectifs pour lesquels celles-ci ont 
été récoltées ou ultérieurement traitées (sur la nécessité d’adopter une politique de 
conservation des données visant à atteindre ces objectifs, voir les lignes directrices 
du  19 mars  2015  en  matière  de  traitement  des  données  personnelles  pour  le 
profilage en ligne). 
49  L’importance  que  revêt  l’élément  de  la  durée  de  traitement  dans  le  cadre  de 
l’information  à  donner  à  la  personne  concernée  est  soulignée  tant  par  le 
règlement 2016/679,  qui  à  l’article 13  exige  d’informer  la  personne  intéressée 
également  concernant  la  « durée  de  conservation  des  données  à  caractère 
personnel  ou,  lorsque  ce  n’est  pas  possible,  les  critères  utilisés  pour  déterminer 
cette durée
 », que par le groupe de travail article 29 qui, eu égard spécifiquement 
aux cookies dans l’avis 02/2013 énonçant des lignes directrices sur le recueil du 
consentement pour le dépôt de cookies du 2 octobre 2013 (WP 208), a affirmé que 
« une  nécessaire  information  serait  l’objectif  des  cookies  et,  le  cas  échant,  une 
indication  de  cookies  éventuels  de  tiers  ou  d’un  accès  de  tiers  aux  données 
collectées par les cookies sur  le site Internet.  L’information concernant la durée 
de  conservation  (c’est-à-dire  la  date  d’expiration  des  cookies),  les  valeurs 
[Or. 13]  typiques,  les  détails  de  cookies  de  tiers  et  d’autres  informations 
techniques  devraient  également  être  incluses  pour  une  information  complète  des 
utilisateurs 
» (voir paragraphe 1, Information spécifique, de l’avis susmentionné). 
50  Au  regard  des  observations  développées  ci-dessus,  il  convient  de  souligner 
l’importance d’une information complète qui rende compte de la subtilité et de la 
complexité  des  modalités  de  traitement  et  des  flux  de  données,  en  utilisant  un 
langage clair et précis de sorte à ne pas induire en erreur un utilisateur moyen et à 
ne  pas  entraîner  chez  chaque  personne  concernée  une  sous-estimation  des 
conséquences découlant du transfert des données personnelles : l’information doit 
assurer  un  traitement  correct  et  transparent  prenant  en  considération  les 
11 

AFFAIREC-673/17-10 
circonstances  et  le  contexte  spécifiques  dans  lesquels  les  données  personnelles 
sont traitées, en particulier en cas de profilage (voir considérant 60 du règlement). 
51  Afin  de  garantir  le  principe  de  l’autodétermination  informationnelle  de 
l’utilisateur,  étant  donné  le  caractère  essentiel  des  informations  concernant  la 
durée de fonctionnement des cookies et la possibilité pour des tiers d’avoir accès 
aux cookies – nécessaires pour donner un consentement libre, spécifique et éclairé 
de  l’utilisateur –  il  faut  considérer  qu’une  information  ne  contenant  pas  des 
indications  qui  définissent  de  façon  adéquate  le  champ  spécifique  de 
communication  aux  tiers  et  la  durée  du  traitement  par  les  cookies  n’est  pas 
conforme à l’article 5, paragraphe 3, de la directive 2002/58. 
V. 
RÉPONSE AUX QUESTIONS 
PREMIÈRE QUESTION 
Eu  égard  aux  considérations  qui  précèdent,  le  gouvernement  italien  suggère  à  la 
Cour de répondre comme suit à la première question soumise à son examen : 
Le  consentement  visé  à  l’article 5,  paragraphe 3,  et  de  l’article 2,  sous  f),  de  la 
directive  2002/58/CE  lus  conjointement  avec  l’article 2,  sous  h),  de  la 
directive 95/46/CE  n’est  pas  valablement  donné  lorsque  le  stockage 
d’informations ou l’accès à des informations stockées dans l’équipement terminal 
de l’utilisateur est  autorisé par une case cochée  par défaut que l’utilisateur doit 
décocher  pour  refuser  de  donner  son  consentement.  Dans  les  circonstances 
évoquées  dans  la  question  préjudicielle  1,  sous  a),  le  consentement  visé  à 
l’article 6,  paragraphe 1,  sous  a),  du  règlement  (UE)  no 2016/679  n’est  pas 
valablement donné. 

DEUXIÈME QUESTION 
Eu  égard  aux  considérations  qui  précèdent,  le  gouvernement  italien  suggère  à  la 
Cour  [Or. 14]  de  répondre  comme  suit  à  la  deuxième  question  soumise  à  son 
examen : 
Afin  de  donner  à  l’utilisateur  l’information  claire  et  complète  voulue  par 
l’article 5,  paragraphe 3,  de  la  directive  2002/58/CE,  le  fournisseur  de  service 
doit donner une information adéquate également sur la durée de fonctionnement 
des cookies et l’accès ou non de tiers aux cookies. 

Rome, le 21 mars 2018 
L’avvocato dello Stato 
Francesco de Luca 
12