Le dépôt ou la lecture de cookies sur l’équipement terminal d’un utilisateur, sont d’abord régis par l’article 5.3 de la Directive 2002/58/CE (la Directive « ePrivacy »)[1].
Cette disposition a été transposée en droit national luxembourgeois par l’article 4.3, e) de la loi modifiée du 30 mai 2005 concernant la protection de la vie privée dans le secteur des communications électroniques (« loi modifiée du 30 mai 2005 »).
Cet article de loi n’impose pas l’obtention d’un consentement pour le dépôt ou la lecture de cookies considérés comme « essentiels ». Il s’agit des cookies « visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
Par contre, il est obligatoire d’obtenir le consentement préalable de l’utilisateur au dépôt ou à la lecture de cookies « non essentiels » (par exemple, un cookie déposé à des fins de suivi comportemental) sur son équipement terminal, après lui avoir fourni l’information requise.
Le règlement général sur la protection des données (le « RGPD »), quant à lui, ne règle pas directement la question de la lecture ou du placement de cookies sur l’équipement terminal des utilisateurs. Cependant, son entrée en application le 25 mai 2018 a eu une conséquence sur les conditions à respecter par le consentement, requis par l’article 4.3, e) de la loi modifiée du 30 mai 2005.
En effet, avant l’application du RGPD, la Directive ePrivacy indiquait que le consentement nécessaire pour déposer ou lire un cookie correspondait au consentement tel que défini dans la Directive 95/46. Cependant, celle-ci a été abrogée par le règlement entré en application le 25 mai 2018, et toutes les références faites à la Directive 95/46 doivent depuis lors se lire comme des références faites au RGPD. Ceci implique que le consentement requis par la Directive ePrivacy doit aujourd’hui répondre aux conditions du consentement selon le RGPD, telles que définies dans ses articles 4. 11) et 7.
L’article 4. 11) du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Par ailleurs, les dispositions de l’article 7 du RGPD doivent également être observées ; elles imposent notamment que le responsable du traitement doit être en mesure de démontrer que la personne concernée a donné son consentement et qu’il doit être aussi facile à la personne concernée de retirer son consentement que de le donner.
Cette interprétation a été confirmée par la Cour de Justice de l’Union Européenne (« CJUE »), qui, dans son arrêt rendu le 1er octobre 2019 dans l’affaire « Planet 49 », a appliqué la définition du consentement du RGPD au consentement requis par la Directive ePrivacy pour la lecture ou le placement de cookies[2].
Dans cet arrêt, la CJUE a également rappelé que dans la mesure où un consentement actif est désormais expressément prévu par le RGPD, le consentement à l’utilisation des cookies n’est pas valablement donné lorsque l’utilisation de cookies est autorisée par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement.
La CJUE a en outre indiqué que concernant l’information à fournir avant de récolter le consentement des utilisateurs pour l’utilisation de cookies celle-ci doit inclure la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies », notamment au regard du fait que ces informations sont visées par l’article 13 du RGPD.
Enfin, la CJUE a rappelé que les dispositions relatives à l’obtention du consentement pour utiliser des cookies prévus par la Directive ePrivacy, lues conjointement avec les dispositions du RGPD relatives au consentement, doivent être interprétées de la même façon, que les informations déposées ou accédées dans le terminal de l’utilisateur constituent ou non des données à caractère personnel.
Il est à noter que, malgré la jurisprudence précitée, certaines questions peuvent encore se poser concernant l’interaction entre le RGPD et la Directive ePrivacy, telle que transposée dans chaque Etat Membre.
A cet égard, un projet de règlement européen concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la Directive ePrivacy (règlement « vie privée et communications électroniques ») est actuellement en cours de négociation et d’adoption au sein des institutions de l’Union européenne. Il y a lieu d’espérer que ce dernier assurera une meilleure cohérence avec les règles du RGPD et permettra de supprimer les différences d’interprétation ou de transposition qui peuvent subsister aujourd’hui entre les différents Etats membres et autorités nationales.
Il est encore à noter que les règles susmentionnées s’appliquent uniquement au dépôt ou à la lecture d’informations sur l’équipement terminal de l’utilisateur (c’est-à-dire, le simple fait de déposer ou de lire un cookie). Si l’utilisation de cookies mène – en outre – à la collecte (ou à tout autre traitement) de données à caractère personnel (par exemple, lorsque les cookies sont utilisés afin de collecter des données sur les préférences d’achat d’un utilisateur déterminé), l’ensemble des règles du RGPD sera en outre à respecter, ce qui implique notamment que le traitement devra reposer sur une condition de licéité distincte (article 6 du RGPD) et qu’une information conforme aux articles 12-14 du RGPD devra être fournie à la personne concernée.
Au vu du contexte juridique ainsi décrit, la Section 3 ci-dessous vise à préciser plus en détails les règles applicables à l’utilisation des cookies – essentiels et non-essentiels – et à fournir des recommandations pratiques de mise en conformité, destinées aux opérateurs de sites internet et/ou d’applications.
--------------------------------------------------------------------------------------------------------
[1] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la Directive 2009/136/CE du 25 novembre 2009.
[2] Cette interprétation a également été rappelée par le Comité Européen de la Protection des Données (« CEPD ») dans le cadre de son avis 05/2020 sur le consentement.