Sur les modalités de recueil du consentement.
En application de la loi Informatique et Libertés , du RGPD et des lignes directrices du CEPD sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l'utilisateur n'a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.
S'agissant du caractère libre du consentement
La Commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement.
A ce titre, la Commission rappelle que le CEPD, dans sa déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée et la confidentialité des communications électroniques , a considéré que la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi ( cookie walls ) n'est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté).
S'agissant du caractère spécifique du consentement
La Commission rappelle que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Le fait d'offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que cela s'ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.
A ce titre, l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité.
S'agissant du caractère éclairé du consentement
La Commission rappelle que l'information doit être rédigée en des termes simples et compréhensibles pour tous, et qu'elle doit permettre aux utilisateurs d'être parfaitement informés des différentes finalités des traceurs utilisés. Elle considère que l'utilisation d'une terminologie juridique ou technique trop complexe ne répond pas à l'exigence d'information préalable.
La Commission rappelle que l'information doit être complète, visible, et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales d'utilisation ne saurait suffire.
Les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, en application de l'article 82, sont à minima :
- l'identité du ou des responsables de traitement ;
- la finalité des opérations de lecture ou écriture des données ;
- l'existence du droit de retirer son consentement.
Lorsqu'un traitement de données à caractère personnel suit l'opération de lecture ou écriture et que celui-ci est fondé sur le consentement, l'information préalable donnée aux utilisateurs doit être alors complétée afin de satisfaire aux exigences des lignes directrices du CEPD sur le consentement.
La Commission rappelle qu'afin que le consentement soit éclairé, l'utilisateur doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l'utilisateur directement lors du recueil de son consentement.
S'agissant du caractère univoque du consentement
La Commission souligne que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.
Elle considère également que l'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement.
Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux utilisateurs de bénéficier de solutions conviviales et ergonomiques.
Sur la preuve du consentement
L'article 7 du RGPD impose que le consentement soit démontrable, ce qui signifie que les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu'ils ont valablement recueilli le consentement des utilisateurs. Dans la situation où ces organismes ne recueillent pas eux-mêmes le consentement des personnes, la Commission rappelle qu'une telle obligation ne saurait être remplie par la seule présence d'une clause contractuelle engageant l'une des organisations à recueillir un consentement valable pour le compte de l'autre partie.
Sur le retrait du consentement
La Commission rappelle qu'il doit être aussi facile de refuser ou de retirer son consentement que de le donner. Cela signifie notamment que les personnes ayant donné leur consentement à l'utilisation de traceurs doivent être en mesure de le retirer à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que les personnes puissent retirer leur consentement aussi facilement qu'elles ont pu le donner.