- Les cases à cocher prédéfinies ne suffisent pas comme consentement ; les utilisateurs doivent donner leur accord de manière active.
- La protection s’applique à toutes les informations stockées sur les terminaux, qu’elles soient personnelles ou non.
- Le jugement clarifie le “comment” de l’obligation de consentement selon la directive sur les cookies et le RGPD : octroi actif nécessaire.
- Les fournisseurs de services doivent fournir des informations complètes sur la durée de fonctionnement des cookies et l’accès par des tiers.
La Cour de justice de l’UE, dans son arrêt du 1er octobre 2019 (Arrêt dans l’affaire C‑673/17, Planet49) a décidé que les cases à cocher présélectionnées, que l’utilisateur doit décocher pour refuser son consentement, ne satisfont pas à l’exigence d’un consentement à l’utilisation de cookies à des fins publicitaires. Le fait que les données stockées par les cookies constituent ou non un traitement de données à caractère personnel n’est pas pertinent. Toutes les informations des utilisateurs stockées sur les terminaux, qu’elles soient ou non liées à des personnes, font partie de leur vie privée et doivent donc être protégées en vertu du droit de l’Union.
Par sa décision, la CJUE a clarifié le “comment” du consentement selon la directive sur les cookies et le RGPD : si un consentement est nécessaire – comme ici selon la directive sur les cookies – ce consentement doit être donné activement.
Le “si” de la nécessité d’un consentement en vertu du RGPD n’était pas l’objet de l’arrêt.
En revanche, l’arrêt apporte des précisions sur l’étendue des obligations d’information des prestataires de services. Ces derniers doivent également informer les utilisateurs sur la durée de fonctionnement des cookies et sur les possibilités d’accès de tiers.