Traduction
C-673/17 - 12
Observations de la demanderesse
Affaire C-673/17 *
Pièce déposée par :
Bundesverband der Verbraucherzentralen und Verbraucherverbände
- Verbraucherzentrale Bundesverband e.V.
Nom usuel de l’affaire :
Planet49
Date de dépôt :
22 mars 2018
[omissis]
[Or. 2]
I.
1
(1.a) Par sa première question, le Bundesgerichtshof souhaite entendre préciser
si le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de la
directive 2002/58/CE lus conjointement avec l’article 2, sous h), de la directive
95/46/CE est valablement donné lorsque le stockage d’informations ou l’accès à
des informations stockées dans l’équipement terminal de l’utilisateur est autorisé
par une case cochée par défaut que l’utilisateur doit décocher pour refuser de
donner son consentement.
2
La directive 95/46/CE définit en son article 2, sous h), le « consentement de la
personne concernée » comme étant toute manifestation de volonté, libre,
spécifique et informée par laquelle la personne concernée accepte que des données
à caractère personnel la concernant fassent l’objet d’un traitement. Aux termes du
considérant 17 de la directive 2002/58/CE, le consentement peut être donné selon
toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits
librement, de manière spécifique et informée. Le considérant 66 de la directive
2009/136/CE souligne qu’il est extrêmement important que les utilisateurs
disposent d’informations claires et [intelligibles] lorsqu’ils entreprennent une
démarche susceptible de déboucher sur un stockage ou un accès à des cookies.
[Or. 3] Les méthodes retenues pour fournir des informations et offrir le droit de
refus devraient être les plus conviviales possibles.
* Langue de procédure : l’allemand.
FR
AFFAIRE C-673/17 - 12
3
On voit ainsi que le consentement requis suppose une manifestation consciente de
la volonté de l’utilisateur procédant d’informations préalables spécifiques
intelligibles et complètes sur le stockage et l’accès à des cookies. C’est en cela
qu’il ne suffit pas de préétablir une déclaration de consentement de l’utilisateur
que celui-ci doit récuser activement lorsqu’il n’approuve pas le stockage ou
l’accès à des cookies. Le régime dit « Opt-out », tel celui en cause ici, établit une
formule d’opposition (le régime prévaudra tant que l’utilisateur ne s’y oppose pas)
tandis que la directive se fonde sur une formule de consentement (le régime ne
s’appliquera qu’après avoir été approuvé par l’utilisateur). On doit considérer à cet
égard en particulier que depuis la modification que la directive 2009/136/CE a
apportée à l’article 5, paragraphe 3, de la directive 2002/58/CE, il ne suffit plus
d’indiquer à l’utilisateur qu’il a le droit de refuser le traitement en question mais il
doit avoir donné son consentement au traitement.
[Or. 4]
4
On attend en tout cas de l’utilisateur un comportement actif par lequel il déclare
son consentement. Le droit de l’Union ne dit cependant pas clairement si un
consentement doit toujours être déclaré expressément (notamment en cochant une
case, formule « Opt-in ») ou si le consentement requis de l’utilisateur peut aussi
être exprimé implicitement. Indépendamment de cette question, un comportement
purement passif, c’est-à-dire l’absence d’opposition ou le non décochement d’une
case précochée, ne suffit en tout cas pas pour constituer un consentement au sens
de l’article 5, paragraphe 3, de la directive 2002/58/CE dans la version issue de la
directive 2009/136/CE. Si une déclaration de consentement est préformulée dans
les conditions générales contractuelles, dont l’utilisateur doit récuser l’application
par un comportement actif (décochement de la case précochée), il n’est
précisément pas certain que l’utilisateur prenne effectivement connaissance des
informations requises et manifeste sur cette base sa volonté à l’égard du stockage
et de l’utilisation de cookies. L’utilisateur risque plutôt de ne pas prendre plus
avant connaissance des conditions contractuelles préformulées. Préformulée de la
sorte, la déclaration de consentement ne vise pas spécifiquement le stockage et
l’utilisation de cookies.
[Or. 5]
5
On renverra à cet égard au « Document de travail no 02/2013 énonçant des lignes
directrices sur le recueil du consentement pour le dépôt de cookies » du 2 octobre
2013 1 élaboré par le groupe de travail institué en vertu de l’article 29 de la
directive 95/46/CE. On y lit à la page 3 :
6
Choix actif. Le consentement doit être indubitable. Dès lors, la procédure relative
à l’obtention et à l’octroi du consentement ne doit laisser aucun doute quant à
l’intention de la personne concernée. En principe, il n’existe pas de limitations
quant à la forme que peut revêtir un consentement. Toutefois, pour être valable, le
consentement doit consister en une manifestation active de la volonté de
l’utilisateur. L’expression minimale d’une manifestation de volonté pourrait être
tout type de signe, suffisamment clair pour permettre d’exprimer la volonté d’une
1
http ://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommandation/files/ 2013/wp208_fr.pdf
2
PLANET49
personne concernée et être compris par le responsable du traitement (cela
pourrait inclure une signature manuscrite apposée au bas d’un formulaire papier
ou un comportement dont on peut raisonnablement déduire un accord).
7
Le document poursuit en exposant à la page 5 :
«
Le processus par lequel les utilisateurs pourraient consentir à des cookies
consisterait pour ces personnes à adopter un acte positif ou un autre
comportement actif, pour autant qu’ils aient été pleinement informés de ce que cet
acte représente. Dès lors, les utilisateurs peuvent exprimer leur consentement en
cliquant sur un [Or. 6] bouton ou sur un lien ou en cochant une case dans ou à
proximité de la zone dans laquelle les informations sont présentées (si l’acte est
effectué de manière concomitante à la fourniture d’informations sur l’utilisation
de cookies) ou par tout autre comportement actif dont l’opérateur d’un site web
peut conclure indubitablement qu’il est synonyme d’un consentement spécifique et
informé. »
8
La condition requise du comportement actif, permettant au gestionnaire du site de
conclure sans ambigüité que l’utilisateur a déclaré un consentement spécifique et
informé, n’est pas remplie lorsque l’utilisateur est resté tout simplement passif et
n’a pas récusé une déclaration préétablie dans les conditions générales
contractuelles. Une telle passivité, emportant consentement de l’utilisateur au
stockage et à l’utilisation de cookies, ne garantit précisément pas de la manière
requise que l’utilisateur a pris une décision consciente sur la base d’informations
claires et complètes qu’il reçoit sur les finalités du traitement.
9
(1.b) Par sa question 1, sous b), le Bundesgerichtshof souhaite entendre préciser
si l’article 5, paragraphe 3, et l’article 2, sous f), de la directive 2002/58/CE lus
conjointement avec l’article 2, sous h), de la directive 95/46/CE reçoivent une
application différente selon que les informations stockées ou consultées sont des
données à caractère personnel.
[Or. 7]
10 Cette question préjudicielle doit se voir en gardant à l’esprit que, à ce jour, le
législateur allemand n’a pris aucune initiative spécifique pour conformer les
dispositions de droit national aux dispositions de l’article 5, paragraphe 3, de la
directive 2002/58/CE dans la version issue de la directive 2009/136/CE. De plus,
ainsi que le Bundesgerichtshof l’expose au point 25 de sa décision de renvoi, le
Bundesgerichtshof a rendu des décisions dans lesquelles la disposition de
l’article 4 bis, de la BDSG a été interprétée en ce sens qu’elle ne requiert pas de
déclaration distincte de consentement (sous la forme d’une « Opt-in ») mais qu’il
suffit que le refus du consentement puisse être exprimé en cochant une case ou en
biffant la mention d’un consentement. Ces décisions concernaient toutefois des
cas dans lesquels les déclarations du client avaient été données sur des
exemplaires en papier de contrat.
11 On peut s’abstenir ici de rechercher si cette interprétation de l’article 4 bis de la
BDSG est conforme aux dispositions de l’article 2, sous h), de la
3
AFFAIRE C-673/17 - 12
directive 95/46/CE. Aux termes de son article premier, paragraphe 1, la directive
2002/58/CE sert à harmoniser les dispositions des États membres nécessaires pour
assurer un niveau équivalent de protection des droits et libertés fondamentaux, et
en particulier du droit à la vie privée, en ce qui concerne le traitement des données
à caractère personnel dans le secteur des communications électroniques, ainsi que
la libre circulation de ces données et des équipements
[Or. 8] et des services de
communications électroniques dans la Communauté. Il ressort de l’article premier,
paragraphe 2, première phrase, que les dispositions de cette directive précisent et
complètent la directive 95/46/CE aux fins énoncées au paragraphe 1.
12 Le considérant 24 de la directive 2002/58/CE indique que l’équipement terminal
de l’utilisateur d’un réseau de communications électroniques ainsi que toute
information stockée sur cet équipement relèvent de la vie privée de l’utilisateur,
qui doit être protégée au titre de la convention européenne de sauvegarde des
droits de l’homme et des libertés fondamentales. La directive réserve dès lors une
protection particulière de l’utilisateur face à des instruments susceptibles de porter
gravement atteinte à sa vie privée. C’est la raison pour laquelle on s’assurera que
l’utilisateur reçoive des informations claires, précises et intelligibles sur le
stockage et l’utilisation de cookies et ait la faculté de refuser ce stockage ou un
accès de cette nature lorsque le stockage technique ou l’accès ne sont pas
indispensables à l’utilisation d’un service spécifique explicitement demandé par
l’utilisateur (considérant 25 ; considérant 66 de la directive 2009/136/CE).
[Or. 9]
13 C’est précisément la protection des données à caractère personnel dans le secteur
des communications électroniques qui constitue l’objectif central de la directive
2002/58/CE. La condition requise du consentement, inscrite à l’article 5,
paragraphe 3, de la directive, subsiste dès lors bien évidemment lorsque les
informations stockées ou consultées sont des données à caractère personnel
comme c’est le cas de l’utilisation de cookies (point 24 de la décision de renvoi).
On peut s’abstenir ici de rechercher dans quelle mesure la validité d’une
déclaration de consentement faite en dehors de la relation juridique électronique
ou sans viser des cookies doit probablement être soumise à des conditions moins
strictes. Les conditions spécifiques qui doivent être requises d’un consentement à
l’utilisation de cookies, touchant aux informations claires, intelligibles et
complètes, ne permettent en tout cas pas une simple formule d’opposition telle
celle qui est au centre de l’affaire au principal.
14
(1. c) Par sa question 1, sous c), le Bundesgerichtshof souhaite entendre préciser
si, dans les circonstances évoquées dans la question préjudicielle 1, sous a), le
consentement visé à l’article 6, paragraphe 1, sous a), du règlement (UE)
no 2016/679 est valablement donné.
15 Ainsi que le Bundesgerichtshof l’a indiqué au point 30 de la décision de renvoi, en
visant le considérant 32, la réponse à la question des conditions auxquelles doit
être soumise une déclaration de consentement visant le traitement de données à
caractère personnel (dispositions combinées de l’article 6, paragraphe 1, sous a),
[Or. 10] et de l’article 4, point 11), du règlement (UE) no 2016/79) est que le
4
PLANET49
silence, les cases cochées par défaut ou l’absence de réaction de la personne
concernée ne constituent pas des consentements. Il faut au contraire que la
personne concernée adopte une attitude signalant clairement dans le contexte
donné son accord sur le traitement envisagé de ses données à caractère personnel.
Il faut donc une attitude active de l’utilisateur montrant sans ambigüité son accord
avec le traitement des données.
16
(2)
Par sa deuxième question, le Bundesgerichtshof souhaite entendre préciser
les informations que le fournisseur de service doit donner à l’utilisateur au titre de
l’information claire et complète voulue par l’article 5, paragraphe 3, de la
directive 2002/58/CE et si la durée de fonctionnement des cookies et la question
de l’accès ou non de tiers aux cookies en font partie.
17 Aux termes de l’article 5, paragraphe 3, de la directive 2002/58/CE, dans la
version issue de la directive 2009/136/CE, l’utilisateur doit donner son accord
« après avoir reçu, dans le respect de la directive 95/46/CE, une information claire
et complète, entre autres sur les finalités du traitement ».
Cette disposition doit se
comprendre en ce sens que les explications données sur le site web, notamment
sous la forme d’une « politique des cookies », doivent être assez précises
[Or. 11] pour que le visiteur du site web puisse comprendre le mode de fonctionnement des
cookies concrètement utilisés, en considérant à cet égard l’internaute
moyennement informé.
18 Le fournisseur peut certes se contenter de tenir les informations requises à
disposition sur une sous page liée. Les informations doivent néanmoins comporter
des indications sur la durée de stockage, c’est-à-dire préciser s’il s’agit de
« cookies de session » qui ne restent sur le compte de l’utilisateur que pour la
durée de la visite d’une page Internet, ou de « cookies persistants » qui sont
stockés au-delà de la visite ponctuelle et servent notamment à la reconnaissance à
la prochaine visite. Les indications requises sont donc celles concernant les dates
d’expiration des cookies stockés à plus long terme.
19 C’est ainsi que le « document de travail no 02/2013 énonçant des lignes directrices
sur le recueil du consentement pour le dépôt de cookies » déjà mentionné, élaboré
par le groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE,
exige expressément à la page 3 « des informations telles que la durée de
conservation (c’est-à-dire la date d’expiration des cookies) ». Pour pouvoir
apprécier l’étendue de son accord, l’utilisateur doit connaître la durée pour
laquelle les cookies seront stockés et utilisés et en particulier si l’utilisation va
au-delà de la consultation en cours d’une page donnée du site ou au-delà de la
durée d’une session en cours. Ce n’est que comme cela
[Or. 12] qu’il est en
mesure d’apprécier l’intensité de l’intrusion due à un cookie concret.
20 On doit aussi pouvoir clairement voir dans les informations s’il s’agit de « cookies
internes », qui servent uniquement au gestionnaire de la page web même, ou de
« cookies tiers » qui permettent également l’accès de tiers (par exemple de chacun
5
AFFAIRE C-673/17 - 12
des partenaires publicitaires de la défenderesse au principal). On peut lire à cet
égard à la page 3 du « document de travail 02/2013 » déjà mentionné :
21 « Les informations nécessaires concerneraient la ou les finalités des cookies et, si
cela est pertinent, il serait mentionné que des cookies peuvent provenir de
tiers ou résulter de l’accès de tiers aux données recueillies par les cookies
utilisés sur le site web ».
22 Enfin, l’utilisateur doit également être informé de l’identité des tiers et pas
uniquement de leur intervention en particulier lorsque ceux-ci ont accès au cookie
et aux informations qu’il contient. Ce n’est que de cette manière que l’on peut dire
que l’utilisateur donne son accord en étant informé ; pour préserver le droit de
l’utilisateur à l’autodétermination des informations, les informations sur ce point
sont offertes ne serait-ce qu’en raison des durées parfois longues des cookies.
[Or. 13]
II.
27
Par tous ces motifs, nous proposons de répondre comme suit aux questions
préjudicielles :
28
(1.a) Le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de
la directive 2002/58/CE lus conjointement avec l’article 2, sous h), de la directive
95/46/CE n’est pas valablement donné lorsque le stockage d’informations ou
l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est
autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser
de donner son consentement.
29
(1.b) Lorsque les informations stockées ou consultées sont des données à
caractère personnel, le consentement requis au sens des dispositions combinées de
l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58/CE ne
doit pas être soumis à des conditions autres ni a fortiori plus strictes.
30
(1.c) Dans les circonstances évoquées dans la question préjudicielle 1, sous a), le
consentement visé à l’article 6, paragraphe 1, sous a), du règlement (UE)
no 2016/679 n’est pas valablement donné.
31
(2)
Parmi les
informations que le fournisseur de service doit donner à
l’utilisateur au titre de l’information claire et complète voulue par l’article 5,
paragraphe 3, de la directive 2002/58/CE, figurent la durée de fonctionnement
[Or. 14] des cookies et l’accès ou non de tiers aux cookies et, le cas échéant,
l’identité du ou des tiers doit être communiquée.
(sé)
Peter Wassemann
avocat
6