This is an HTML version of an attachment to the Freedom of Information request 'Written observations in cases C-673/17 (Planet49)'.

 
Traduction  
C-673/17 - 12 
Observations de la demanderesse  
Affaire C-673/17 * 
Pièce déposée par :  
Bundesverband der Verbraucherzentralen und Verbraucherverbände 
- Verbraucherzentrale Bundesverband e.V. 
Nom usuel de l’affaire :  
Planet49 
Date de dépôt :  
22 mars 2018 
 
[omissis] [Or. 2]  
I. 

(1.a)  Par sa première question, le  Bundesgerichtshof souhaite entendre  préciser 
si  le  consentement  visé  à  l’article 5,  paragraphe 3,  et  à  l’article 2,  sous  f),  de  la 
directive  2002/58/CE  lus  conjointement  avec  l’article 2,  sous  h),  de  la  directive 
95/46/CE  est  valablement  donné  lorsque  le  stockage  d’informations  ou  l’accès  à 
des informations stockées dans l’équipement terminal de l’utilisateur est autorisé 
par  une  case  cochée  par  défaut  que  l’utilisateur  doit  décocher  pour  refuser  de 
donner son consentement. 

La  directive  95/46/CE  définit  en  son  article 2,  sous  h),  le  « consentement  de  la 
personne  concernée »  comme  étant  toute  manifestation  de  volonté,  libre, 
spécifique et informée par laquelle la personne concernée accepte que des données 
à caractère personnel la concernant fassent l’objet d’un traitement. Aux termes du 
considérant 17 de la directive 2002/58/CE, le consentement peut être donné selon 
toute  modalité  appropriée  permettant  à  l’utilisateur  d’indiquer  ses  souhaits 
librement,  de  manière  spécifique  et  informée.  Le  considérant  66  de  la  directive 
2009/136/CE  souligne  qu’il  est  extrêmement  important  que  les  utilisateurs 
disposent  d’informations  claires  et  [intelligibles]  lorsqu’ils  entreprennent  une 
démarche  susceptible  de  déboucher  sur  un  stockage  ou  un  accès  à  des  cookies. 
[Or. 3]  Les  méthodes  retenues  pour  fournir  des  informations  et  offrir  le  droit  de 
refus devraient être les plus conviviales possibles. 
 
*  Langue de procédure : l’allemand. 
FR   

AFFAIRE C-673/17 - 12 

On voit ainsi que le consentement requis suppose une manifestation consciente de 
la  volonté  de  l’utilisateur  procédant  d’informations  préalables  spécifiques 
intelligibles  et  complètes  sur  le  stockage  et  l’accès  à  des  cookies.  C’est  en  cela 
qu’il  ne  suffit  pas  de  préétablir  une  déclaration  de  consentement  de  l’utilisateur 
que  celui-ci  doit  récuser  activement  lorsqu’il  n’approuve  pas  le  stockage  ou 
l’accès à des cookies. Le régime dit « Opt-out », tel celui en cause ici, établit une 
formule d’opposition (le régime prévaudra tant que l’utilisateur ne s’y oppose pas) 
tandis  que  la  directive  se  fonde  sur  une  formule  de  consentement  (le  régime  ne 
s’appliquera qu’après avoir été approuvé par l’utilisateur). On doit considérer à cet 
égard  en  particulier  que  depuis  la  modification  que  la  directive  2009/136/CE  a 
apportée  à  l’article 5,  paragraphe 3,  de  la  directive  2002/58/CE,  il  ne  suffit  plus 
d’indiquer à l’utilisateur qu’il a le droit de refuser le traitement en question mais il 
doit avoir donné son consentement au traitement. [Or. 4]  

On attend en tout cas de  l’utilisateur  un  comportement actif par lequel  il déclare 
son  consentement.  Le  droit  de  l’Union  ne  dit  cependant  pas  clairement  si  un 
consentement doit toujours être déclaré expressément (notamment en cochant une 
case,  formule  « Opt-in »)  ou  si  le  consentement  requis  de  l’utilisateur  peut  aussi 
être exprimé implicitement. Indépendamment de cette question, un comportement 
purement passif, c’est-à-dire l’absence d’opposition ou le non décochement d’une 
case précochée, ne suffit en tout cas pas pour constituer un consentement au sens 
de l’article 5, paragraphe 3, de la directive 2002/58/CE dans la version issue de la 
directive 2009/136/CE. Si  une déclaration de consentement  est  préformulée dans 
les conditions générales contractuelles, dont l’utilisateur doit récuser l’application 
par  un  comportement  actif  (décochement  de  la  case  précochée),  il  n’est 
précisément  pas  certain  que  l’utilisateur  prenne  effectivement  connaissance  des 
informations requises et manifeste sur cette base sa volonté à l’égard du stockage 
et  de  l’utilisation  de  cookies.  L’utilisateur  risque  plutôt  de  ne  pas  prendre  plus 
avant connaissance des conditions contractuelles préformulées. Préformulée de la 
sorte,  la  déclaration  de  consentement  ne  vise  pas  spécifiquement  le  stockage  et 
l’utilisation de cookies. [Or. 5] 

On renverra à cet égard au « Document de travail no 02/2013 énonçant des lignes 
directrices sur le recueil du consentement pour le dépôt de cookies » du 2 octobre 
2013  1  élaboré  par  le  groupe  de  travail  institué  en  vertu  de  l’article 29  de  la 
directive 95/46/CE. On y lit à la page 3 : 

Choix actif. Le consentement doit être indubitable. Dès lors, la procédure relative 
à  l’obtention  et  à  l’octroi  du  consentement  ne  doit  laisser  aucun  doute  quant  à 
l’intention  de  la  personne  concernée.  En  principe,  il  n’existe  pas  de  limitations 
quant à la forme que peut revêtir un consentement. Toutefois, pour être valable, le 
consentement  doit  consister  en  une  manifestation  active  de  la  volonté  de 
l’utilisateur. L’expression minimale d’une manifestation  de volonté pourrait être 
tout type de signe, suffisamment clair pour permettre d’exprimer la volonté d’une 
 
1  
  http ://ec.europa.eu/justice/data-protection/article-29/documentation/ 
opinion-recommandation/files/ 2013/wp208_fr.pdf  

 

PLANET49 
personne  concernée  et  être  compris  par  le  responsable  du  traitement  (cela 
pourrait inclure une signature manuscrite apposée au bas d’un formulaire papier 
ou un comportement dont on peut raisonnablement déduire un accord). 


Le document poursuit en exposant à la page 5 : 
« Le  processus  par  lequel  les  utilisateurs  pourraient  consentir  à  des  cookies 
consisterait  pour  ces  personnes  à  adopter  un  acte  positif  ou  un  autre 
comportement actif, pour autant qu’ils aient été pleinement informés de ce que cet 
acte représente. Dès lors, les utilisateurs peuvent exprimer leur consentement en 
cliquant  sur  un  
[Or. 6] bouton  ou sur  un lien ou en cochant  une case dans ou à 
proximité de la  zone dans laquelle les informations sont présentées  (si  l’acte  est 
effectué  de  manière  concomitante  à  la  fourniture  d’informations  sur  l’utilisation 
de cookies) ou par tout autre comportement  actif  dont  l’opérateur d’un site web 
peut conclure indubitablement qu’il est synonyme d’un consentement spécifique et 
informé.
 » 

La condition requise du comportement actif, permettant au gestionnaire du site de 
conclure sans ambigüité que l’utilisateur a déclaré un consentement spécifique et 
informé, n’est pas remplie lorsque l’utilisateur est resté tout simplement passif et 
n’a  pas  récusé  une  déclaration  préétablie  dans  les  conditions  générales 
contractuelles.  Une  telle  passivité,  emportant  consentement  de  l’utilisateur  au 
stockage  et  à  l’utilisation  de  cookies,  ne  garantit  précisément  pas  de  la  manière 
requise que l’utilisateur a pris une décision consciente sur la base d’informations 
claires et complètes qu’il reçoit sur les finalités du traitement. 

(1.b)  Par sa question 1, sous b), le Bundesgerichtshof souhaite entendre préciser 
si  l’article 5,  paragraphe 3,  et  l’article 2,  sous  f),  de  la  directive  2002/58/CE  lus 
conjointement  avec  l’article 2,  sous  h),  de  la  directive  95/46/CE  reçoivent  une 
application différente selon que les informations stockées ou consultées sont  des 
données à caractère personnel. [Or. 7]  
10  Cette  question  préjudicielle  doit  se  voir  en  gardant  à  l’esprit  que,  à  ce  jour,  le 
législateur  allemand  n’a  pris  aucune  initiative  spécifique  pour  conformer  les 
dispositions  de  droit  national  aux  dispositions  de  l’article 5,  paragraphe 3,  de  la 
directive 2002/58/CE dans la version issue de la directive 2009/136/CE. De plus, 
ainsi  que  le  Bundesgerichtshof  l’expose  au  point 25  de  sa  décision  de  renvoi,  le 
Bundesgerichtshof  a  rendu  des  décisions  dans  lesquelles  la  disposition  de 
l’article 4 bis, de la BDSG a été interprétée en ce sens qu’elle ne requiert pas de 
déclaration distincte de consentement (sous la forme d’une « Opt-in ») mais qu’il 
suffit que le refus du consentement puisse être exprimé en cochant une case ou en 
biffant  la  mention  d’un  consentement.  Ces  décisions  concernaient  toutefois  des 
cas  dans  lesquels  les  déclarations  du  client  avaient  été  données  sur  des 
exemplaires en papier de contrat. 
11  On  peut  s’abstenir  ici  de  rechercher  si  cette  interprétation  de  l’article 4 bis  de  la 
BDSG  est  conforme  aux  dispositions  de  l’article 2,  sous  h),  de  la 


AFFAIRE C-673/17 - 12 
directive 95/46/CE. Aux termes de son article premier,  paragraphe 1, la directive 
2002/58/CE sert à harmoniser les dispositions des États membres nécessaires pour 
assurer un niveau équivalent de protection des droits et libertés fondamentaux, et 
en particulier du droit à la vie privée, en ce qui concerne le traitement des données 
à caractère personnel dans le secteur des communications électroniques, ainsi que 
la  libre  circulation  de  ces  données  et  des  équipements  [Or. 8]  et  des  services  de 
communications électroniques dans la Communauté. Il ressort de l’article premier, 
paragraphe 2, première phrase, que les dispositions de cette directive précisent et 
complètent la directive 95/46/CE aux fins énoncées au paragraphe 1. 
12  Le  considérant  24 de la  directive 2002/58/CE indique que l’équipement  terminal 
de  l’utilisateur  d’un  réseau  de  communications  électroniques  ainsi  que  toute 
information  stockée  sur  cet  équipement  relèvent  de  la  vie  privée  de  l’utilisateur, 
qui  doit  être  protégée  au  titre  de  la  convention  européenne  de  sauvegarde  des 
droits de l’homme et des libertés fondamentales. La directive réserve dès lors une 
protection particulière de l’utilisateur face à des instruments susceptibles de porter 
gravement atteinte à sa vie privée. C’est la raison pour laquelle on s’assurera que 
l’utilisateur  reçoive  des  informations  claires,  précises  et  intelligibles  sur  le 
stockage  et  l’utilisation  de  cookies  et  ait  la  faculté  de  refuser  ce  stockage  ou  un 
accès  de  cette  nature  lorsque  le  stockage  technique  ou  l’accès  ne  sont  pas 
indispensables  à  l’utilisation  d’un  service  spécifique  explicitement  demandé  par 
l’utilisateur (considérant 25 ; considérant 66 de la directive 2009/136/CE). [Or. 9]  
13  C’est précisément la protection des données à caractère personnel dans le secteur 
des  communications  électroniques  qui  constitue  l’objectif  central  de  la  directive 
2002/58/CE.  La  condition  requise  du  consentement,  inscrite  à  l’article 5, 
paragraphe 3,  de  la  directive,  subsiste  dès  lors  bien  évidemment  lorsque  les 
informations  stockées  ou  consultées  sont  des  données  à  caractère  personnel 
comme c’est le cas de l’utilisation de cookies (point 24 de la décision de renvoi). 
On  peut  s’abstenir  ici  de  rechercher  dans  quelle  mesure  la  validité  d’une 
déclaration  de  consentement  faite  en  dehors  de  la  relation  juridique  électronique 
ou sans viser des cookies doit probablement être soumise à des conditions moins 
strictes. Les conditions spécifiques qui doivent être requises d’un consentement à 
l’utilisation  de  cookies,  touchant  aux  informations  claires,  intelligibles  et 
complètes,  ne  permettent  en  tout  cas  pas  une  simple  formule  d’opposition  telle 
celle qui est au centre de l’affaire au principal.  
14  (1. c)  Par sa question 1, sous c), le Bundesgerichtshof souhaite entendre préciser 
si,  dans  les  circonstances  évoquées  dans  la  question  préjudicielle  1,  sous  a),  le 
consentement  visé  à  l’article 6,  paragraphe 1,  sous  a),  du  règlement  (UE) 
no 2016/679 est valablement donné. 
15  Ainsi que le Bundesgerichtshof l’a indiqué au point 30 de la décision de renvoi, en 
visant  le  considérant  32,  la  réponse  à  la  question  des  conditions  auxquelles  doit 
être  soumise  une  déclaration  de  consentement  visant  le  traitement  de  données  à 
caractère  personnel  (dispositions  combinées  de  l’article 6,  paragraphe 1,  sous  a), 
[Or. 10]  et  de  l’article 4,  point 11),  du  règlement  (UE)  no 2016/79)  est  que  le 

 

PLANET49 
silence,  les  cases  cochées  par  défaut  ou  l’absence  de  réaction  de  la  personne 
concernée  ne  constituent  pas  des  consentements.  Il  faut  au  contraire  que  la 
personne  concernée  adopte  une  attitude  signalant  clairement  dans  le  contexte 
donné son accord sur le traitement envisagé de ses données à caractère personnel. 
Il faut donc une attitude active de l’utilisateur montrant sans ambigüité son accord 
avec le traitement des données. 
16  (2) 
Par sa deuxième question, le Bundesgerichtshof souhaite entendre préciser 
les informations que le fournisseur de service doit donner à l’utilisateur au titre de 
l’information  claire  et  complète  voulue  par  l’article 5,  paragraphe 3,  de  la 
directive 2002/58/CE et  si la durée de fonctionnement des cookies et  la question 
de l’accès ou non de tiers aux cookies en font partie. 
17  Aux  termes  de  l’article 5,  paragraphe 3,  de  la  directive  2002/58/CE,  dans  la 
version  issue  de  la  directive  2009/136/CE,  l’utilisateur  doit  donner  son  accord 
« après avoir reçu, dans le respect de la directive 95/46/CE, une information claire 
et complète, entre autres sur les finalités du traitement ». Cette disposition doit se 
comprendre  en  ce  sens  que  les  explications  données  sur  le  site  web,  notamment 
sous la forme d’une « politique des cookies », doivent être assez précises [Or. 11] 
pour que le visiteur du site web puisse comprendre le mode de fonctionnement des 
cookies  concrètement  utilisés,  en  considérant  à  cet  égard  l’internaute 
moyennement informé.  
18  Le  fournisseur  peut  certes  se  contenter  de  tenir  les  informations  requises  à 
disposition sur une sous page liée. Les informations doivent néanmoins comporter 
des  indications  sur  la  durée  de  stockage,  c’est-à-dire  préciser  s’il  s’agit  de 
« cookies  de  session »  qui  ne  restent  sur  le  compte  de  l’utilisateur  que  pour  la 
durée  de  la  visite  d’une  page  Internet,  ou  de  « cookies  persistants »  qui  sont 
stockés au-delà de la visite ponctuelle et servent notamment à la reconnaissance à 
la prochaine visite. Les indications requises sont donc celles concernant les dates 
d’expiration des cookies stockés à plus long terme.  
19  C’est ainsi que le « document de travail no 02/2013 énonçant des lignes directrices 
sur le recueil du consentement pour le dépôt de cookies » déjà mentionné, élaboré 
par le groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE, 
exige  expressément  à  la  page  3  « des  informations  telles  que  la  durée  de 
conservation  (c’est-à-dire  la  date  d’expiration  des  cookies) ».  Pour  pouvoir 
apprécier  l’étendue  de  son  accord,  l’utilisateur  doit  connaître  la  durée  pour 
laquelle  les  cookies  seront  stockés  et  utilisés  et  en  particulier  si  l’utilisation  va 
au-delà  de  la  consultation  en  cours  d’une  page  donnée  du  site  ou  au-delà  de  la 
durée  d’une  session  en  cours.  Ce  n’est  que  comme  cela  [Or. 12]  qu’il  est  en 
mesure d’apprécier l’intensité de l’intrusion due à un cookie concret. 
20  On doit aussi pouvoir clairement voir dans les informations s’il s’agit de « cookies 
internes »,  qui  servent  uniquement  au  gestionnaire  de  la  page  web  même,  ou  de 
« cookies tiers » qui permettent également l’accès de tiers (par exemple de chacun 


AFFAIRE C-673/17 - 12 
des  partenaires  publicitaires  de  la  défenderesse  au  principal).  On  peut  lire  à  cet 
égard à la page 3 du « document de travail 02/2013 » déjà mentionné :  
21  « Les informations nécessaires concerneraient la ou les finalités des cookies et, si 
cela  est  pertinent,  il  serait  mentionné  que  des  cookies  peuvent  provenir  de 
tiers  ou  résulter  de  l’accès  de  tiers  aux  données  recueillies  par  les  cookies 
utilisés sur le site web ». 
22  Enfin,  l’utilisateur  doit  également  être  informé  de  l’identité  des  tiers  et  pas 
uniquement de leur intervention en particulier lorsque ceux-ci ont accès au cookie 
et aux informations qu’il contient. Ce n’est que de cette manière que l’on peut dire 
que  l’utilisateur  donne  son  accord  en  étant  informé ;  pour  préserver  le  droit  de 
l’utilisateur à l’autodétermination des informations, les informations sur ce point 
sont  offertes  ne  serait-ce  qu’en  raison  des  durées  parfois  longues  des  cookies. 
[Or. 13] 
II. 
27 
Par  tous  ces  motifs,  nous  proposons  de  répondre  comme  suit  aux  questions 
préjudicielles : 
28 
(1.a)  Le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de 
la directive 2002/58/CE lus conjointement avec l’article 2, sous h), de la directive 
95/46/CE  n’est  pas  valablement  donné  lorsque  le  stockage  d’informations  ou 
l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est 
autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser 
de donner son consentement. 
29 
(1.b)  Lorsque  les  informations  stockées  ou  consultées  sont  des  données  à 
caractère personnel, le consentement requis au sens des dispositions combinées de 
l’article 5,  paragraphe 3,  et  de  l’article 2,  sous  f),  de  la  directive  2002/58/CE  ne 
doit pas être soumis à des conditions autres ni a fortiori plus strictes.  
30 
(1.c)  Dans les circonstances évoquées dans la question préjudicielle 1, sous a), le 
consentement  visé  à  l’article 6,  paragraphe 1,  sous  a),  du  règlement  (UE) 
no 2016/679 n’est pas valablement donné. 
31 
(2) 
Parmi  les  informations  que  le  fournisseur  de  service  doit  donner  à 
l’utilisateur  au  titre  de  l’information  claire  et  complète  voulue  par  l’article 5, 
paragraphe 3,  de  la  directive  2002/58/CE,  figurent  la  durée  de  fonctionnement 
[Or. 14]  des  cookies  et  l’accès  ou  non  de  tiers  aux  cookies  et,  le  cas  échéant, 
l’identité du ou des tiers doit être communiquée. 
(sé) 
Peter Wassemann 
avocat