Dans un arrêt, la Cour de justice de l’Union européenne (CJUE) rappelle que les cookies ne peuvent être installés que si les internautes ont donné leur consentement explicite, en conformité avec le texte européen. Cette instance a également rappelé que les sites qui affichent des boutons « J’aime » de Facebook sont co-responsables du traitement des données.
Un an après l’entrée en application du RGPD, la gestion des cookies fait toujours tousser les spécialistes du marketing. Et ils digèrent mal l’arrêt, daté du 1er octobre, la Cour de justice de l’Union européenne.
La CJUE rappelle que « le placement de cookies requiert le consentement actif des internautes ». La fameuse case précochée ou les incitations à accepter les cookies contre un bon d’achat de 10 € par exemple sont deux pratiques qui ne respectent pas le règlement européen.
L’opt-out est illégal
Cet arrêt avait été rendu suite à la demande d'un tribunal allemand concernant un site Web de loterie, Planet49. Il avait exigé que les utilisateurs consentent au stockage de cookies afin de pouvoir jouer à un jeu promotionnel.
L’opt-out est donc illégal. Le consentement ne peut être présumé. De plus, selon la Cour, les renseignements que le fournisseur de services doit fournir à un utilisateur comprennent la durée de l'utilisation des cookies et l'accès ou non de tiers à ces données .
Avant l'entrée en vigueur du RGPD, les conditions de consentement étaient interprétées différemment en Europe. L'arrêt de début octobre est important, car il apporte une certaine clarté sur ce qui devrait être considéré comme un consentement valable en vertu de la législation européenne sur la protection des données.
Et cette clarté est nécessaire car l’opt-out est une pratique largement répandue si l’on se réfère à une étude publiée en août dernier : dans 86 % de cas, les internautes n’avaient pas la possibilité d’un opt-out, mais ne pouvaient cliquer que sur un bouton d’acceptation (« OK »).
ePrivacy Directive
Les législateurs européens tentent depuis des années de se mettre d'accord sur une mise à jour de la directive « vie privée et communications électroniques » (ePrivacy Directive).
Un projet de proposition de règlement relatif à la protection de la vie privée dans le secteur des communications électroniques a été présenté par la Commission au début de l'année 2017.
Mais les acteurs spécialisés dans l'adtech et les télécoms se sont opposés à l'exigence ferme d'un consentement préalable à la traçabilité. Le rappel ferme de la CJUE tombe au mauvais moment pour ce tracking.
Le bouton « J’aime » de Facebook
Dans un autre arrêt, la CJUE a aussi rappelé la co-responsabilité dans le traitement des données. Tous les sites affichant des boutons « J’aime » de Fcebook sont concernés.
Dans son arrêt à propos de l'affaire C-40/17 Fashion ID (un site de e-commerce de mode allemand attaqué en justice par l'association allemande des consommateurs de Rhénanie-du-Nord-Westphalie), elle a indiqué au tribunal régional supérieur que cette entreprise était co-responsdable avec Facebook Ireland du traitement des données issues des clics sur le bouton « J'aime » intégré sur son site.
Un rappel supplémentaire de la CJUE. Dès l’entrée en application en mai 2018, elle avait précisé ce point.
Source : CURIA