CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MACIEJ SZPUNAR

présentées le 21 mars 2019 (1)

Affaire C673/17

Planet49 GmbH

contre

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV

[demande de décision préjudicielle formée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne)]

« Renvoi préjudiciel – Directive 95/46/CE – Directive 2002/58/CE – Règlement (UE) 2016/679 – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Cookies – Notion de “consentement de la personne concernée” – Déclaration de consentement au moyen d’une case cochée par défaut »

 

I.      Introduction

1.        Afin de participer à un jeu promotionnel organisé par Planet49 GmbH, un internaute devait cocher ou décocher deux cases avant de pouvoir cliquer sur le bouton « participation ». L’une des cases obligeait l’utilisateur à accepter d’être contacté par toute une série de sociétés pour des offres promotionnelles, et une autre case l’obligeait à accepter l’installation de cookies sur son ordinateur. Tels sont, en résumé, les faits qui ont donné lieu au présent renvoi préjudiciel du Bundesgerichtshof (Cour fédérale de justice, Allemagne).

2.        Ces faits, en apparence anodins, cachent des questions fondamentales de droit de l’Union en matière de protection des données : quelles sont précisément les exigences relatives au consentement informé qui doit être donné librement ? Existe-t-il une différence entre le traitement des données à caractère personnel (uniquement), d’une part, et l’installation et la consultation de cookies, d’autre part ? Quels sont les instruments juridiques applicables ?

3.        Dans les présentes conclusions, je ferai valoir que, en ce qui concerne la présente affaire, les exigences relatives à la manifestation du consentement prévues par la directive 95/46/CE (2) sont les mêmes que celles que prévoit le règlement (UE) 2016/679 (3) et que le point de savoir s’il s’agit d’une question générale de traitement des données à caractère personnel ou d’une question plus particulière de stockage et de consultation d’informations au moyen de cookies est indifférent en l’espèce.

II.    Le cadre juridique

A.      Le droit de l’Union

1.      La directive 95/46

4.        L’article 2 de la directive 95/46, intitulé « Définitions », dispose :

« Aux fins de la présente directive, on entend par :

[…]

h)      “consentement de la personne concernée” : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

5.        À l’intérieur de la section II de cette directive, intitulée « Principes relatifs à la légitimation des traitements de données », l’article 7 énonce ce qui suit au point a) :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)      la personne concernée a indubitablement donné son consentement

ou

[…] »

6.        L’article 10 de ladite directive, intitulé « Informations en cas de collecte de données auprès de la personne concernée », énonce :

« Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a)      l’identité du responsable du traitement et, le cas échéant, de son représentant ;

b)      les finalités du traitement auquel les données sont destinées ;

c)      toute information supplémentaire telle que :

–        les destinataires ou les catégories de destinataires des données,

–        le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,

–        l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données. »

2.      La directive 2002/58/CE (4)

7.        Les considérants 24 et 25 de la directive 2002/58/CE (5) disposent :

« (24)      L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné.

(25)      Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l’information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l’équipement terminal qu’ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu’un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l’utilisateur original ont accès à l’équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L’information relative à l’utilisation de plusieurs dispositifs à installer sur l’équipement terminal de l’utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l’utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L’accès au contenu d’un site spécifique peut être, toutefois, subordonné au fait d’accepter, en pleine connaissance de cause, l’installation d’un témoin de connexion ou d’un dispositif analogue, si celui-ci est utilisé à des fins légitimes. »

8.        L’article 2 de ladite directive, intitulé « Définitions », dispose, sous f) :

« Sauf disposition contraire, les définitions figurant dans la directive 95/46/CE et dans la directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques (directive “cadre”) (6) s’appliquent aux fins de la présente directive.

Les définitions suivantes s’appliquent également :

[…]

f)      le “consentement” d’un utilisateur ou d’un abonné correspond au “consentement de la personne concernée” figurant dans la directive 95/46/CE ;

[…] »

9.        L’article 5 de cette directive, intitulé « Confidentialité des communications », énonce, à son paragraphe 3 :

« Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. »

3.      La directive 2009/136/CE (7)

10.      Le considérant 66 de la directive 2009/136/CE (8) dispose :

« Il se peut que des tiers souhaitent stocker des informations sur l’équipement d’un utilisateur, ou obtenir l’accès à des informations déjà stockées, à des fins diverses, qu’elles soient légitimes (certains types de cookies, par exemple) ou qu’elles impliquent une intrusion non autorisée dans la sphère privée (logiciels espions ou virus, par exemple). Il est donc extrêmement important que les utilisateurs disposent d’informations claires et complètes lorsqu’ils entreprennent une démarche susceptible de déboucher sur un stockage ou un accès de ce type. Les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles. Les dérogations à l’obligation de fournir des informations et de donner le droit de refus devraient être limitées aux situations dans lesquelles le stockage technique ou l’accès est strictement nécessaire afin d’autoriser légitimement l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur. Lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la directive 95/46/CE, l’accord de l’utilisateur en ce qui concerne le traitement peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application. La mise en œuvre de ces exigences devrait être rendue plus efficace en renforçant les pouvoirs conférés aux autorités nationales compétentes en la matière. »

4.      Le règlement 2016/679

11.      Le considérant 32 du règlement 2016/679 dispose :

« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l’ensemble d’entre elles. Si le consentement de la personne concernée est donné à la suite d’une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l’utilisation du service pour lequel il est accordé. »

12.      L’article 4, de ce règlement, intitulé « Exceptions », prévoit, à son point 11 :

« Aux fins du présent règlement, on entend par :

[…]

11)      “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

[…] »

13.      L’article 6 du même règlement, intitulé « Licéité du traitement », dispose :

« 1.      Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[…] »

14.      L’article 7 du règlement 2016/679 est intitulé « Conditions applicables au consentement ». Conformément à l’article 7, paragraphe 4, « [a]u moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. »

B.      Le droit allemand

1.      Le code civil allemand

15.      L’article 307 (9) du Bürgerliches Gesetzbuch (code civil allemand) énonce :

« (1)            sont nulles les clauses de conditions générales désavantageant le contractant de l’utilisateur de manière exorbitante au mépris du principe de la bonne foi. Un désavantage indu peut également résulter du fait que la clause en question n’est pas claire et compréhensible.

(2)      Dans le doute, le désavantage exorbitant sera retenu lorsqu’une clause

1.      est inconciliable avec les idées fondamentales qui président au régime légal auquel elle déroge, ou

2.      limite les droits ou obligations essentiels inhérents à la nature du contrat au point de compromettre la réalisation de l’objectif du contrat.

(3)      Les paragraphes 1 et 2 ci-dessus, ainsi que les articles 308 et 309 ne s’appliquent qu’aux clauses de conditions générales sur le fondement desquelles sont conclus des accords dérogeant aux dispositions légales, ou des arrangements complétant ces dispositions. D’autres clauses peuvent être inefficaces en vertu des dispositions combinées de la première et de la deuxième phrase du paragraphe 1 susvisées. »

2.      La loi contre la concurrence déloyale

16.      Le Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale, ci-après l’« UWG ») interdit les pratiques commerciales qui constituent un harcèlement insupportable pour un acteur du marché. L’article 7, paragraphe 2, de l’UWG prévoit, au point 2, qu’un harcèlement insupportable doit toujours être présumé en cas de publicité par téléphone auprès d’un consommateur sans son consentement exprès préalable, ou auprès d’un autre acteur du marché sans son consentement préalable.

3.      La loi sur les médias électroniques

17.      L’article 12, paragraphe 1, du Telemediengesetz (loi sur les médias électroniques, ci-après le « TMG ») transpose l’article 7, sous a), de la directive 95/46 et fixe les conditions dans lesquelles un fournisseur de services est autorisé à collecter et utiliser des données à caractère personnel pour la mise à disposition de médias électroniques. Conformément à cet article, un fournisseur de services ne peut collecter et utiliser des données à caractère personnel pour la mise à disposition de médias électroniques que dans la mesure où le TMG ou une autre disposition légale, portant expressément sur les médias électroniques, le permet ou que l’utilisateur y a consenti.

18.      L’article 12, paragraphe 3, du TMG prévoit que la législation en vigueur régissant les données à caractère personnel doit être appliquée même si les données ne sont pas soumises à une procédure automatisée.

19.      L’article 13, paragraphe 1, du TMG oblige le fournisseur de services à informer l’utilisateur, dès le début de l’utilisation, de la nature, de l’étendue et de la finalité du traitement des données à caractère personnel ainsi que du traitement des données au-delà du champ d’application de la directive 95/46.

20.      L’article 15, paragraphe 1, du TMG dispose que les fournisseurs de services peuvent collecter et traiter des données à caractère personnel uniquement si elles sont nécessaires à l’utilisation des médias en ligne ou à l’établissement d’une facture relative à cette utilisation (les « données d’utilisateurs »). Les données d’utilisateurs sont définies, entre autres, comme des données permettant l’identification des utilisateurs.

21.      L’article 15, paragraphe 3, du TMG transpose l’article 5, paragraphe 3, de la directive 2002/58 et autorise un fournisseur de services à établir des profils d’utilisateur par des pseudonymes à des fins publicitaires, d’études de marché ou pour configurer les médias électroniques, pour autant que l’utilisateur ne s’y oppose pas et que le fournisseur de services ait informé l’utilisateur de son droit de s’y opposer, conformément à l’obligation d’information prévue à l’article 13, paragraphe 1, du TMG.

4.      La loi fédérale sur la protection des données

22.      L’article 3, paragraphe 1, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données, ci-après le « BDSG ») (10) transpose l’article 2, sous a), de la directive 95/46 et définit l’expression « données à caractère personnel » comme des données relatives à la situation personnelle ou matérielle d’une personne physique identifiée ou identifiable.

23.      L’article 4 bis du BDSG transpose l’article 2, sous h), de la directive 95/46 en droit national et prévoit que le consentement n’est valable que s’il procède de la décision librement prise par l’intéressé.

III. Les faits, la procédure et les questions préjudicielles

24.      Le 24 septembre 2013, Planet49 a organisé un jeu promotionnel à l’adresse Internet www.dein-macbook.de (11). Pour participer à ce jeu, un internaute devait donner son code postal, ce qui l’amenait sur une page contenant des cases à remplir avec le nom et l’adresse de l’utilisateur. Sous les cases à remplir pour l’adresse se trouvaient deux séries de mentions explicatives accompagnées de cases à cocher. J’y ferai référence ci-après sous le nom de « première case à cocher » et de « seconde case à cocher ». La première mention explicative, dont la case n’était pas cochée par défaut, se lisait comme suit :

« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »

25.      La seconde mention explicative, dont la case était cochée par défaut, se lisait comme suit :

« J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, la société Planet49 GmbH, installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »

26.      Il n’était possible de participer au jeu promotionnel qu’après avoir coché au moins la première case.

27.      Le lien électronique figurant dans la première mention sous les mots « Sponsor et partenaire » et « ici » conduisait à une liste de 57 entreprises reprenant leur adresse, le domaine d’activité à promouvoir et le mode de communication utilisé pour la publicité (courrier électronique, poste ou téléphone) et le terme souligné « biffer » figurait après chaque entreprise. La liste était précédée de l’indication suivante :

« En cliquant sur le lien “biffer”, je décide qu’aucun accord pour la publicité ne peut être donné au partenaire/sponsor visé. Si je n’ai biffé aucun partenaire/sponsor ou pas suffisamment, Planet49 sélectionne pour moi à sa guise des partenaires/sponsors (dans la limite de 30 partenaires/sponsors). »

28.      En activant le lien électronique figurant dans la deuxième mention explicative sous le mot « ici », les informations suivantes étaient données :

« Les cookies placés sous les noms ceng_cahce, ceng_etag, ceng_png et gcr sont des petits fichiers qui sont stockés sur votre disque dur par le navigateur que vous employez et font transiter un certain nombre d’informations qui permettent à la publicité d’être plus efficace et mieux adaptée à l’utilisateur. Les cookies comportent un numéro déterminé créé aléatoirement (ID) qui est associé en même temps à vos données d’enregistrement. Si vous visitez ensuite le site d’un partenaire publicitaire enregistré pour Remintrex (en consultant la déclaration relative à la protection des données du partenaire publicitaire, vous verrez s’il est enregistré), on repère automatiquement à l’aide d’un IFrame de Remintrex qui y est lié la visite que vous (c’est-à-dire l’utilisateur dont l’ID a été stocké) avez faite sur la page, le produit auquel vous vous êtes intéressé et la conclusion éventuelle d’un contrat.

L’accord donné pour la publicité à la faveur de l’inscription au jeu promotionnel permet alors à la société Planet49 GmbH de vous faire ensuite parvenir des courriers publicitaires en fonction des intérêts que vous avez manifestés sur le site du partenaire publicitaire. En cas de retrait de l’accord donné pour la publicité, vous ne recevez bien entendu plus de publicité par courrier électronique.

Les informations transmises par les cookies sont exclusivement utilisées pour de la publicité présentant des produits du partenaire publicitaire. Les informations sont collectées, stockées et utilisées séparément pour chaque partenaire publicitaire. Les profils d’utilisateur ne sont en aucun cas établis pour plusieurs partenaires publicitaires. Les différents partenaires publicitaires ne reçoivent aucune donnée à caractère personnel.

Si l’utilisation de cookies ne vous intéresse plus, vous pouvez le supprimer à tout moment par votre navigateur. Vous trouverez des instructions dans la fonction aide de votre navigateur.

Les cookies ne permettent pas d’exporter des programmes ni de transférer des virus.

Vous avez bien entendu la possibilité de revenir à tout moment sur cet accord. Vous pouvez adresser votre retrait par écrit à la société Planet 49 GmbH [adresse]. Toutefois, un simple courrier électronique à notre service clientèle suffit [adresse électronique]. »

29.      La demanderesse au principal, la Bundesverband der Verbraucherzentralen (Fédération allemande des organisations de consommateurs, ci-après la « fédération ») est inscrite sur la liste des organismes ayant qualité pour agir au titre du Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (loi sur les actions en cessation d’atteintes au droit de la consommation et autres). Selon la fédération, les déclarations de consentement susvisées utilisées par Planet49 ne remplissaient pas les conditions requises par les dispositions de l’article 307 du code civil allemand, de l’article 7, paragraphe 2, point 2, de l’UWG et des articles 12 et suivants du TMG. Une mise en demeure précontentieuse est restée sans suite.

30.      La fédération a engagé une procédure devant le Landgericht Frankfurt am Main (tribunal régional de Francfort-sur-le-Main, Allemagne) en demandant que Planet49 cesse d’utiliser les clauses susvisées (12) et qu’elle soit condamnée à lui verser la somme de 214 euros majorée d’intérêts depuis le 15 mars 2014.

31.      Le Landgericht Frankfurt am Main (tribunal régional de Francfort-sur-le-Main) a fait droit à certains chefs de la demande et a rejeté celle-ci pour le surplus. À la suite d’un appel (13) interjeté devant l’Oberlandesgericht Frankfurt am Main (tribunal régional supérieur de Francfort-sur-le-Main, Allemagne), le Bundesgerichtshof (Cour fédérale de justice) a été saisi dans le cadre d’un pourvoi (14).

32.      Le Bundesgerichtshof (Cour fédérale de justice) considère que l’issue du pourvoi dépend de l’interprétation des dispositions combinées de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, de l’article 2, sous h), de la directive 95/46 et de l’article 6, paragraphe 1, sous a), du règlement 2016/679, et a saisi la Cour des questions préjudicielles suivantes :

« 1)      a)      Le consentement visé à l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive [2002/58] lus conjointement avec l’article 2, sous h), de la directive [95/46] est-il valablement donné lorsque le stockage d’informations ou l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement ?

b)      L’article 5, paragraphe 3, et l’article 2, sous f), de la directive [2002/58], lus conjointement avec l’article 2, sous h), de la directive [95/46], reçoivent-ils une application différente selon que les informations stockées ou consultées sont [ou non] des données à caractère personnel ?

c)      Dans les circonstances évoquées dans la première question préjudicielle, sous a), le consentement visé à l’article 6, paragraphe 1, sous a), du règlement [2016/679] est-il valablement donné ?

2)      Quelles sont les informations que le fournisseur de service doit donner à l’utilisateur au titre de l’information claire et complète voulue par l’article 5, paragraphe 3, de la directive [2002/58] ? La durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ? »

33.      La décision de renvoi est parvenue au greffe de la Cour le 30 novembre 2017. Des observations écrites ont été présentées par Planet49, la fédération, les gouvernements portugais et italien, ainsi que par la Commission européenne. Une audience s’est tenue le 13 novembre 2018, à laquelle ont participé Planet49, la fédération, le gouvernement allemand et la Commission.

IV.    Analyse

34.      Les deux questions posées par le Bundesgerichtshof (Cour fédérale de justice) à titre préjudiciel portent sur le consentement au stockage d’informations et à l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur, c’est-à-dire à des cookies, dans le contexte spécifique des dispositions de la directive 2002/58, lues en combinaison avec celles de la directive 95/46 ou du règlement 2016/679.

35.      À titre de remarques liminaires, je considère utile de fournir quelques précisions factuelles sur le phénomène des cookies et sur la terminologie y afférente, ainsi qu’une clarification juridique sur les instruments juridiques applicables à la présente espèce.

A.      Remarques liminaires

1.      Concernant les cookies

36.      Un cookie est un moyen de collecter des informations générées par un site Internet et sauvegardées par le navigateur d’un internaute (15). C’est une petite partie de données ou de fichier contenant du texte, dont la taille n’excède généralement pas un koctet, qu’un site Internet demande au navigateur d’un internaute de stocker sur le disque dur local de l’ordinateur ou de l’appareil mobile de l’utilisateur (16).

37.      Un cookie permet au site Internet de « mémoriser » les actes ou les préférences de l’utilisateur au fil du temps. La plupart des navigateurs Internet acceptent les cookies, mais les utilisateurs peuvent configurer leurs navigateurs pour les refuser et aussi les effacer quand ils le souhaitent. En effet, beaucoup d’utilisateurs configurent leurs paramètres de cookies dans leurs navigateurs pour effacer les cookies automatiquement par défaut lorsque la fenêtre du navigateur est fermée. Cela dit, des preuves empiriques démontrent massivement que les internautes modifient rarement les paramètres par défaut, un phénomène connu sous le nom d’« inertie du par défaut » (17).

38.      Les sites Internet utilisent des cookies dans le but d’identifier des utilisateurs, en mémorisant leurs préférences et en leur permettant d’effectuer des tâches sans avoir à saisir à nouveau des informations lorsqu’ils naviguent d’une page à l’autre ou visitent le site ultérieurement.

39.      Des cookies peuvent également être utilisés pour collecter des informations afin d’adapter la publicité et le marketing aux comportements en ligne (18). Par exemple, des sociétés utilisent des logiciels pour suivre le comportement des utilisateurs et établir des profils d’utilisateur, ce qui permet de montrer à ces derniers des publicités pertinentes par rapport à leurs recherches antérieures (19).

40.      Il existe différents types de cookies, parmi lesquels ceux classés en fonction de leur durée de vie (par exemple les cookies de session et les cookies persistants) et ceux basés sur le domaine auquel appartient le cookie (par exemple les cookies propriétaires et les cookies tiers) (20). Lorsque le serveur fournissant la page web stocke des cookies sur l’ordinateur ou l’appareil mobile de l’utilisateur, ceux-ci sont appelés les cookies « http » (21). On peut également stocker des cookies en utilisant le code JavaScript figurant ou référencé sur cette page (22). Toutefois, la validité du consentement à l’installation de cookies et l’applicabilité des exemptions pertinentes éventuelles doivent s’apprécier au regard non pas des caractéristiques techniques, mais de la finalité du cookie (23).

2.      Concernant les instruments juridiques applicables

41.      Le cadre juridique applicable à la procédure au principal a évolué au cours des années jusqu’à l’entrée en vigueur, en dernier lieu, du règlement 2016/679.

42.      Deux séries d’instruments juridiques de l’Union sont applicables à la présente affaire. Premièrement, la directive 95/46 et le règlement 2016/679. Deuxièmement, la directive 2002/58, telle que modifiée par la directive 2009/136 (24).

43.      Je tiens à formuler deux remarques concernant ces deux séries d’instruments.

44.      La première remarque concerne l’applicabilité de la directive 95/46 et du règlement 2016/679.

45.      Le règlement 2016/679, qui est applicable depuis le 25 mai 2018 (25), a abrogé la directive 95/46 avec effet à cette même date (26).

46.      Cette date du 25 mai 2018 est postérieure à la dernière audience devant la juridiction de renvoi du 14 juillet 2017 ainsi même qu’à la date du 5 octobre 2017, à laquelle la Cour a été saisie de la présente affaire à titre préjudiciel.

47.      Par conséquent, pour les situations antérieures au 25 mai 2018, la législation applicable est la directive 2002/58 en combinaison avec la directive 95/46, alors que, pour les situations à compter du 25 mai 2018, c’est la directive 2002/58 en combinaison avec le règlement 2016/679.

48.      Étant donné que la fédération souhaite, par l’action en cessation (27), empêcher Planet49 de perpétuer son comportement à l’avenir, le règlement 2016/679 est applicable à la présente espèce. Pour statuer sur le recours en cessation, le Bundesgerichtshof (Cour fédérale de justice) devra donc tenir compte des exigences du règlement 2016/679. À cet égard, le gouvernement allemand souligne la jurisprudence nationale constante relative à la situation juridique pertinente en matière d’actions en cessation (28).

49.      Il y a donc lieu de répondre à la question posée en tenant compte à la fois de la directive 95/46 et du règlement 2016/679 (29).

50.      Par ailleurs, il convient de noter que les références faites, dans la directive 2002/58, à la directive 95/46 doivent s’entendre comme faites au règlement 2016/679 (30).

51.      La seconde remarque concerne l’évolution de l’article 5, paragraphe 3, de la directive 2002/58.

52.      La directive 2002/58 vise à garantir le plein respect des droits reconnus par la charte des droits fondamentaux de l’Union européenne et, en particulier, des articles 7 et 8 de cette charte (31). L’article 5 de cette directive vise à garantir la « confidentialité des communications ». En particulier, l’article 5, paragraphe 3, de la directive 2002/58 réglemente l’utilisation de cookies et fixe les conditions qui doivent être respectées pour pouvoir stocker des données ou y accéder sur l’ordinateur d’un utilisateur au moyen de l’installation d’un cookie.

53.      La directive 2009/136 a introduit d’importantes modifications aux exigences en matière de consentement visées à l’article 5, paragraphe 3, de la directive 2002/58 afin de renforcer la protection des utilisateurs. Avant les modifications introduites par cette directive, l’article 5, paragraphe 3, de la directive 2002/58 exigeait simplement que les utilisateurs aient le droit de refuser (« opt-out »), en toute connaissance, le traitement des données au moyen de cookies. En d’autres termes, conformément à la version originale de l’article 5, paragraphe 3, le fournisseur de services qui voulait stocker des informations ou accéder à des informations stockées dans l’équipement terminal de l’utilisateur devait l’informer clairement et complètement des finalités du traitement et lui indiquer qu’il avait le droit de refuser un tel traitement.

54.      La directive 2009/136 a remplacé cette obligation d’information relative au droit de refus par celle requérant que « l’abonné ou l’utilisateur ait donné son accord », ce qui signifie qu’elle a remplacé le régime d’opt-out éclairé, plus facile à respecter, par un régime d’opt-in éclairé. Sous réserve d’une exception très limitée, qui ne s’applique pas à la présente affaire (32), l’utilisation de cookies prévue à l’article 5, paragraphe 3, de la directive 2002/58, tel que révisé, n’est permise qu’à condition que l’utilisateur soit muni, dans le respect de la directive 95/46, d’une information claire et complète sur les raisons pour lesquelles ses données sont suivies, c’est-à-dire sur les finalités du traitement (33).

55.      Comme je vais le montrer en détail ci-après, la portée de l’obligation de fournir des informations visée à l’article 5, paragraphe 3, de la directive 2002/58 est au cœur de la question litigieuse, en particulier dans le contexte des paramètres par défaut pour des activités en ligne.

B.      Première question

56.      Par sa première question, sous a), la juridiction de renvoi souhaite savoir si le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de la directive 2002/58, lus conjointement avec l’article 2, sous h), de la directive 95/46, est valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. À cet égard, la juridiction de renvoi se demande si la question s’analyse différemment selon que les informations stockées ou consultées sont ou non des données à caractère personnel [première question, sous b)]. Enfin, la juridiction de renvoi souhaiterait savoir si, dans les circonstances précédemment décrites, le consentement visé à l’article 6, paragraphe 1, sous a), du règlement 2016/679 est valablement donné [première question, sous c)].

1.      Concernant le consentement éclairé et donné librement

57.      Le consentement est l’une des caractéristiques qui sous-tend le droit de l’Union en matière de protection des données.

58.      Avant d’aborder la question spécifique des cookies, je tiens à définir les principes généraux applicables à la manifestation du consentement découlant des instruments juridiques applicables.

a)      Selon la directive 95/46

1)      Consentement actif

59.      Je déduis des dispositions de la directive 95/46 que le consentement doit être manifesté de manière active (34).

60.      L’article 2, sous h), de la directive 95/46 fait référence à une manifestation de volonté de la personne concernée, ce qui évoque clairement un comportement actif plutôt que passif. En outre, l’article 7, sous a), de la directive 95/46, qui porte sur les critères à respecter pour rendre le traitement des données (à caractère personnel) légitime, dispose que la personne concernée a indubitablement donné son consentement. Là encore, le doute ne peut être levé que par un comportement actif et non passif.

61.      J’en déduis qu’il n’est pas suffisant, à cet égard, que la manifestation du consentement soit préalablement formulée et que l’utilisateur soit obligé de s’opposer de manière active lorsqu’il n’est pas d’accord avec le traitement des données.

62.      En effet, dans ce dernier cas de figure, on ne sait pas si ce texte rédigé à l’avance a été lu et assimilé. La situation n’est pas exempte de doutes. Un utilisateur peut ou non avoir lu le texte. Il peut avoir omis de le faire par pure négligence. Dans une telle situation, il est impossible de déterminer si le consentement a été donné librement.

2)      Consentement distinct

63.      L’exigence d’un consentement distinct est étroitement liée à celle de consentement actif (35).

64.      On pourrait soutenir, à l’instar de Planet49, qu’un consentement est valablement donné par la personne concernée, non pas lorsqu’elle ne décoche pas une déclaration de consentement préalablement formulée, mais lorsqu’elle « clique » de manière active sur le bouton de participation au jeu promotionnel en ligne.

65.      Je ne souscris pas à une telle interprétation.

66.      Pour qu’un consentement soit « libre » et « éclairé », il doit être non seulement actif, mais également distinct. L’activité qu’un utilisateur entreprend sur Internet (lire une page web, participer à un jeu promotionnel, regarder une vidéo, etc.) et la manifestation du consentement ne peuvent pas procéder du même acte. En particulier, du point de vue de l’utilisateur, la manifestation du consentement ne peut pas présenter un caractère accessoire par rapport à la participation au jeu promotionnel. Les deux actions doivent être mises sur le même plan, surtout visuellement. Par conséquent, il me semble douteux que des déclarations d’intention groupées, incluant la manifestation du consentement, soient conformes à la notion de « consentement » au sens de la directive 95/46.

3)      L’obligation de fournir une information complète

67.      Dans ce contexte, un utilisateur doit savoir avec certitude si l’activité qu’il entreprend sur Internet est subordonnée à la manifestation du consentement. Un utilisateur doit être à même d’évaluer dans quelle mesure il est disposé à communiquer ses données pour entreprendre son activité sur Internet. Il ne doit pas y avoir la moindre ambiguïté (36). Un utilisateur doit savoir si et, le cas échéant, dans quelle mesure la manifestation de son consentement influe sur l’activité qu’il entreprend sur Internet.

b)      Selon le règlement 2016/679

68.      Les principes établis ci-dessus sont également valables pour le règlement 2016/679.

69.      L’article 4, point 11, du règlement 2016/679 définit le consentement de la personne concernée comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

70.      Il convient de noter que cette définition est plus stricte que celle de l’article 2, sous h), de la directive 95/46 en ce qu’elle requiert une manifestation de volonté univoque de la personne concernée et un acte positif clair marquant son acceptation du traitement des données à caractère personnel.

71.      Par ailleurs, les considérants du règlement 2016/679 sont particulièrement éclairants. Étant donné que je vais faire largement référence à ces considérants (37), je me dois de rappeler que, s’ils n’ont bien sûr aucune valeur juridique à eux seuls (38), la Cour s’en est fréquemment inspirée pour interpréter les dispositions d’un acte juridique de l’Union. Dans l’ordre juridique de l’Union, les considérants sont de nature descriptive et non normative. D’ailleurs, la question de leur valeur juridique ne se pose habituellement pas pour la simple raison que les considérants sont généralement repris dans les dispositions de la directive. En effet, les règles de bonne pratique législative des institutions de l’Union veulent que les considérants livrent le cadre factuel dans lequel s’inscrivent les dispositions d’un texte juridique (39).

72.      Conformément au considérant 32 du règlement 2016/679, le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site Internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

73.      Dès lors, le consentement actif est désormais expressément prévu par le règlement 2016/679.

74.      Par ailleurs, le considérant 43 de ce règlement énonce que, pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

75.      Dès lors, la nécessité d’un consentement distinct est désormais expressément soulignée dans ce considérant.

c)      Selon la directive 2002/58 – le cas des cookies

76.      Conformément à l’article 5, paragraphe 3, de la directive 2002/58, les États membres garantissent que le stockage des informations ou l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46, une information claire et complète, entre autres sur les finalités du traitement.

77.      Cette disposition ne fixe aucun autre critère concernant la notion de consentement.

78.      Toutefois, les considérants de la directive 2002/58 et de la directive 2009/136 fournissent des orientations sur le consentement relatif aux cookies.

79.      Ainsi le considérant 17 de la directive 2002/58 indique-t-il que le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet(40).

80.      Par ailleurs, le considérant 66 de la directive 2009/136 explique qu’il est extrêmement important que les utilisateurs disposent d’informations claires et complètes lorsqu’ils entreprennent une démarche susceptible de déboucher sur le stockage d’informations sur l’équipement d’un utilisateur ou sur l’obtention d’un accès à des informations déjà stockées. Les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles.

81.      À cet égard, je souhaite également attirer l’attention sur les travaux non contraignants, mais néanmoins éclairants, du groupe de travail « article 29 » sur la protection des données (ci-après le « groupe de travail “article 29” ») (41), selon lesquels le consentement implique une action positive préalable des utilisateurs concernant l’acceptation du placement du cookie et de l’utilisation du cookie (42). Ce même groupe de travail fait ressortir que la notion de « manifestation de volonté » semble impliquer nécessairement une action (43). D’autres éléments de la définition du consentement et l’exigence supplémentaire de l’article 7, point a), de la directive 95/46 (caractère indubitable du consentement), corroborent cette interprétation (44). L’exigence selon laquelle la personne concernée doit « donner » son consentement semble indiquer qu’une simple absence d’action est insuffisante et qu’une action quelconque est nécessaire pour constituer un consentement, bien que différents types d’action, à apprécier « selon le contexte », soient possibles (45).

2.      Application à la présente affaire

82.      Je vais maintenant appliquer ces critères à la présente affaire. Ce faisant, j’examinerai tout d’abord la première question, sous a) et c), c’est-à-dire la question de savoir si le consentement a été valablement donné à l’installation et à la consultation des cookies. Cela couvre la seconde case à cocher.

83.      Par ailleurs, étant donné que, comme cela vient d’être établi, les exigences en matière de consentement ne diffèrent pas sensiblement en ce qui concerne les cookies et, plus généralement, le traitement des données à caractère personnel, il me semble nécessaire, tant par souci d’exhaustivité que de clarté, aux fins de l’interprétation correcte et uniforme du droit de l’Union, bien que l’interrogation de la juridiction de renvoi ne porte pas explicitement sur cette question, d’analyser succinctement le point de savoir si le consentement a été valablement donné concernant le traitement des données à caractère personnel dans le contexte de la première case à cocher. Je crois également comprendre que, dans le cadre de la procédure pendante devant lui, le Bundesgerichtshof (Cour fédérale de justice) devra se prononcer sur la première case à cocher (46).

a)      La seconde case à cocher – première question, sous a) et c)

84.      La juridiction de renvoi demande si le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de la directive 2002/58, lus conjointement avec l’article 2, sous h), de la directive 95/46, est valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement.

85.      Les termes essentiels de l’article 2, sous h), de la directive 95/46 et de l’article 4, point 11, du règlement 2016/679 pour répondre à cette question sont « libre » et « éclairée ». La question se pose de savoir si, dans une situation telle que celle décrite par la juridiction de renvoi, un consentement peut être donné librement et de manière éclairée.

86.      Planet49 pense que c’est le cas. Toutes les autres parties (47) le contestent. Dans ce contexte, le débat juridique entre les parties était essentiellement axé sur la question de savoir si le fait de cocher ou de décocher une case déjà cochée par défaut satisfait à ces exigences. Le débat tourne autour de la question de l’attitude active ou passive. Toutefois, cet aspect, aussi important soit-il, ne constitue qu’une partie des exigences. En effet, il ne concerne que l’exigence d’un consentement actif, mais pas celle d’un consentement distinct.

87.      Selon moi, il convient de répondre, sur la base des critères établis ci-dessus, que, dans la présente affaire, le consentement n’a pas été valablement donné.

88.      Premièrement, demander à un utilisateur de décocher une case et donc de devenir actif s’il n’est pas d’accord avec l’installation de cookies ne respecte pas le critère du consentement actif. Dans un tel cas de figure, il est pratiquement impossible de déterminer objectivement si un utilisateur a ou non donné son consentement sur la base d’une décision libre et éclairée. En revanche, demander à un utilisateur de cocher une case rend une telle affirmation beaucoup plus plausible.

89.      Deuxièmement, et plus fondamentalement, la participation au jeu promotionnel en ligne et la manifestation du consentement à l’installation de cookies ne peuvent pas procéder du même acte. Or, c’est précisément le cas en l’espèce. En fin de compte, l’utilisateur ne clique qu’une seule fois sur le bouton de participation pour participer au jeu promotionnel. Dans le même temps, il consent à l’installation de cookies. Deux déclarations d’intention (participation au jeu promotionnel et consentement à l’installation de cookies) sont formulées simultanément. Ces deux déclarations ne peuvent pas intervenir toutes les deux par le même bouton de participation. En effet, dans la présente affaire, le consentement concernant les cookies semble revêtir un caractère accessoire en ce sens qu’il n’est absolument pas évident qu’il procède d’un acte séparé. En d’autres termes, le fait de (dé)cocher la case relative aux cookies apparaît comme un acte préparatoire à l’acte final et juridiquement contraignant qui consiste à « cliquer » sur le bouton de participation.

90.      Dans une telle situation, un utilisateur n’est pas en mesure de donner librement son consentement distinct au stockage d’informations ou à l’accès à des informations déjà stockées dans son équipement terminal.

91.      Par ailleurs, il a été établi ci-dessus qu’il n’était possible de participer au jeu promotionnel qu’après avoir coché au moins la première case. Par conséquent, la participation au jeu promotionnel n’était pas subordonnée au consentement à l’installation et à la consultation des cookies. Ainsi un utilisateur aurait-il aussi bien pu cocher la première case (uniquement) (48).

92.      Cependant, à ma connaissance, l’utilisateur n’en a jamais été informé. Cela ne respecte pas le critère tiré de l’information complète des utilisateurs établi ci‑dessus.

93.      En résumé, je propose de répondre à la première question, sous a) et c), que le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de la directive 2002/58, lus conjointement avec l’article 2, sous h), de la directive 95/46, n’est pas valablement donné dans une situation telle que celle en cause au principal, dans laquelle le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement, et dans laquelle le consentement n’est pas donné de manière distincte, mais en même temps que la confirmation de la participation à un jeu promotionnel en ligne. Il en va de même concernant l’interprétation de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, lus conjointement avec l’article 4, point 11, du règlement 2016/679.

b)      La première case à cocher

94.      Bien que les questions de la juridiction de renvoi ne concernent que la seconde case à cocher, je tiens à formuler deux remarques spécifiques au sujet de la première case à cocher, qui pourraient aider la juridiction de renvoi dans sa décision finale.

95.      Pour rappel, la première case à cocher ne porte pas sur des cookies, mais uniquement sur le traitement de données à caractère personnel. En l’espèce, un utilisateur est d’accord non pas pour que les informations soient stockées dans son équipement, mais (simplement) pour être contacté par une liste de sociétés par voie postale, par téléphone ou par courrier électronique.

96.      Premièrement, les critères tirés d’un consentement actif et distinct et d’une information complète s’appliquent évidemment aussi à la première case à cocher. Le consentement actif ne semble pas poser de problème puisque la case n’est pas cochée par défaut. En revanche, j’ai quelques doutes concernant le consentement distinct. Eu égard à l’analyse exposée ci-dessus (49), en ce qui concerne les faits de la présente espèce, il serait préférable, pour parler concrètement, de cliquer sur un bouton séparé (50), et non simplement de cocher une case, pour consentir au traitement de données à caractère personnel.

97.      Deuxièmement, concernant la première case à cocher au sujet de la prise de contact par des sponsors et des partenaires, il convient de tenir compte de l’article 7, paragraphe 4, du règlement 2016/679. Conformément à cette disposition, au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. L’article 7, paragraphe 4, du règlement 2016/679 pose donc une « interdiction de lier les consentements » (51).

98.      Comme cela ressort des termes « il y a lieu de tenir le plus grand compte de », l’interdiction de lier les consentements n’a pas de caractère absolu (52).

99.      En l’espèce, il appartiendra à la juridiction compétente d’apprécier si le consentement au traitement de données à caractère personnel est nécessaire pour participer au jeu promotionnel. À cet égard, il convient de garder à l’esprit que la finalité qui sous-tend la participation au jeu promotionnel est la « vente » de données à caractère personnel (c’est-à-dire le fait d’accepter d’être contacté par des « sponsors » pour des offres promotionnelles). En d’autres termes, c’est la fourniture de données à caractère personnel qui constitue l’obligation principale de l’utilisateur pour pouvoir participer au jeu promotionnel. Dans une telle situation, il me semble que le traitement de ces données à caractère personnel est nécessaire à la participation au jeu promotionnel (53).

3.      Concernant les données à caractère personnel [première questionsous b)]

100. Le fait que les informations stockées ou consultées soient des données à caractère personnel est-il déterminant aux fins de l’application de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, lus conjointement avec l’article 2, sous h), de la directive 95/46 ? C’est la question que je vais examiner maintenant.

101. La meilleure façon de comprendre cette question est de l’analyser dans le contexte du droit allemand qui transpose l’article 5, paragraphe 3, de la directive 2002/58 (54). En fait, le droit allemand établit une différence entre la collecte et l’utilisation de données à caractère personnel et celle d’autres données.

102. Aux termes de l’article 12, paragraphe 1, du TMG, un fournisseur de services peut collecter et utiliser de données uniquement si, entre autres, l’utilisateur y a consenti.

103. En revanche, conformément à l’article 15, paragraphe 3, du TMG, le fournisseur de services peut établir des profils d’utilisateur pour l’emploi de pseudonymes, entre autres, à des fins publicitaires et d’études de marché, à condition que l’utilisateur ne s’y oppose pas. Par conséquent, dans la mesure où il ne s’agit pas de données à caractère personnel, l’exigence est moins stricte en droit allemand : pas de consentement mais simplement une absence d’opposition.

104. La notion de « données à caractère personnel » est définie juridiquement à l’article 4, point 1, du règlement 2016/679 comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

105. Selon moi, il ne fait aucun doute que, dans la présente affaire, les « informations » visées à l’article 5, paragraphe 3, de la directive 2002/58 sont des « données à caractère personnel ». Ce point de vue semble être celui de la juridiction de renvoi, qui affirme explicitement, dans sa décision de renvoi, que le recueil de données à partir des cookies utilisés par la défenderesse est soumis au consentement requis par l’article 12, paragraphe 1, du TMG, car il s’agit là de données à caractère personnel (55). Par ailleurs, les parties au principal ne semblent pas être en désaccord sur le fait qu’il s’agit en l’espèce de données à caractère personnel.

106. Par conséquent, on peut se demander si cette question est pertinente aux fins de la présente affaire et si elle n’est pas hypothétique (56).

107. Quoi qu’il en soit, je pense que la réponse à cette question est très simple : le fait que les informations stockées ou consultées soient ou non des données à caractère personnel ne fait aucune différence. L’article 5, paragraphe 3, de la directive 2002/58 fait référence au « [stockage] des informations ou [à l’accès] à des informations [déjà] stockées » (57). Il est clair que ce type d’informations a un caractère privé, indépendamment du point de savoir si ce sont ou non des « données à caractère personnel » au sens de l’article 4, point 1, du règlement 2016/679. Comme la Commission le souligne à juste titre, l’article 5, paragraphe 3, de la directive 2002/58 vise à protéger l’utilisateur de toute ingérence dans sa sphère privée, indépendamment du point de savoir si cette ingérence porte sur des données à caractère personnel ou d’autres données.

108. Cette interprétation de l’article 5, paragraphe 3, de la directive 2002/58 est d’ailleurs corroborée par les considérants 24 (58) et 25 (59) de cette directive ainsi que par les avis du groupe de travail « article 29 ». En effet, selon ce groupe de travail, « l’article 5, paragraphe 3, s’applique aux “informations” (stockées et/ou consultées). Il ne qualifie pas ces informations. Le fait que ces dernières soient des données à caractère personnel au sens de la directive 95/46/CE n’est pas une condition préalable à l’application de cette disposition » (60).

109. Dès lors, il semble bien que l’article 15, paragraphe 3, du TMG ne transpose pas complètement les exigences de l’article 5, paragraphe 3, de la directive 2002/58 dans le droit allemand (61).

110. Partant, je propose de répondre à la première question, sous b), que le fait que les informations stockées ou consultées soient des données à caractère personnel n’est pas déterminant aux fins de l’application de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, lus conjointement avec l’article 2, sous h), de la directive 95/46.

C.      Seconde question

111. Par la seconde question, la juridiction de renvoi souhaite savoir quelles informations le fournisseur de services doit donner à l’utilisateur au titre de l’information claire et complète exigée à l’article 5, paragraphe 3, de la directive 2002/58 et si la durée de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font partie.

1.      Concernant l’information claire et complète

112. Les articles 10 et 11 de la directive 95/46 (ainsi que les articles 13 et 14 du règlement 2016/679) prévoient l’obligation de fournir des informations à la personne concernée. Cette obligation d’information est liée au consentement, dans la mesure où l’information doit toujours être fournie avant qu’un consentement puisse être donné.

113. Compte tenu de la proximité conceptuelle entre un internaute (et un fournisseur) et un consommateur (et un professionnel) (62), on peut renvoyer, à ce stade, à la notion de « consommateur européen moyen », qui est normalement informé et raisonnablement attentif et avisé (63) et qui est en mesure de prendre la décision de s’engager en toute connaissance de cause (64).

114. Toutefois, compte tenu de la complexité technique des cookies, de l’information asymétrique entre fournisseur et utilisateur et, plus généralement, du manque de connaissances relatif de tout internaute moyen, on ne doit pas s’attendre à ce que l’internaute moyen ait un niveau de connaissance élevé en matière de fonctionnement des cookies.

115. Ainsi, une information claire et complète doit permettre à un utilisateur de déterminer facilement les conséquences du consentement qu’il pourrait donner. Pour cela, il doit pouvoir évaluer les effets induits par ses actions. L’information donnée doit être clairement compréhensible et ne laisser place à aucune ambiguïté ou interprétation. Elle doit être suffisamment détaillée pour permettre à l’utilisateur de comprendre le fonctionnement des cookies qui sont effectivement utilisés.

116. Comme la juridiction de renvoi le souligne à juste titre, cela inclut à la fois la durée de fonctionnement des cookies et la question de savoir si des tiers ont accès aux cookies.

2.      Information sur la durée de fonctionnement des cookies

117. En application des considérants 23 et 26 de la directive 2002/58, la durée de fonctionnement des cookies est l’un des éléments de l’exigence tirée d’un consentement éclairé, c’est-à-dire qu’il convient que les fournisseurs de services « tiennent toujours leurs abonnés informés des types de données qu’ils traitent, des finalités de ces traitements et de leur durée ». Même si le cookie est essentiel, la question de son caractère intrusif doit être examinée dans le cadre des circonstances qui l’entourent aux fins du consentement. En plus de demander quelles sont les données que chaque cookie détient et si celles-ci sont liées à d’autres informations sur l’utilisateur, les fournisseurs de services doivent tenir compte de la durée de vie du cookie et du point de savoir si cette durée est appropriée au regard de la finalité du cookie.

118. La durée de fonctionnement des cookies est liée aux exigences explicites d’un consentement éclairé concernant la qualité et l’accessibilité des informations aux utilisateurs. Ces informations sont essentielles pour permettre aux personnes concernées de prendre une décision en toute connaissance de cause avant le traitement (65). Comme les gouvernements italien et portugais l’ont indiqué, étant donné que les données collectées par les cookies doivent être éliminées une fois qu’elles ne sont plus nécessaires pour atteindre la finalité initiale, la période de stockage des données collectées doit être clairement communiquée à l’utilisateur.

3.      Information sur l’accès des tiers

119. En l’espèce, Planet49 soutient que si des tiers ont accès à un cookie, les utilisateurs doivent également en être informés. Toutefois, si, comme dans la présente affaire, seul un fournisseur souhaitant installer le cookie a accès au cookie, il suffit d’attirer l’attention sur cette circonstance. Le fait que d’autres tiers n’aient pas accès aux cookies n’a pas à être mentionné séparément. Une telle obligation serait incompatible avec l’intention du législateur, selon laquelle les dispositions relatives à la protection des données doivent rester concises et d’application conviviale.

120. Je ne peux pas souscrire à une telle interprétation. Au contraire, pour que l’information soit claire et complète, un utilisateur doit être explicitement informé du fait que des tiers ont ou non accès aux cookies installés. Si des tiers y ont accès, leur identité doit être divulguée. Comme la fédération le souligne à juste titre, cela est indispensable pour garantir que le consentement soit donné en toute connaissance de cause.

4.      Résultat

121. Je propose, par conséquent, de répondre à la seconde question que l’information claire et complète que le fournisseur de services doit donner à l’utilisateur au titre de l’article 5, paragraphe 3, de la directive 2002/58 inclut la durée de fonctionnement des cookies et la question de savoir si les tiers ont ou non accès aux cookies.

V.      Conclusion

122. Au vu des considérations qui précèdent, je propose à la Cour de répondre de la manière suivante aux questions préjudicielles déférées par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) :

1)      Le consentement visé à l’article 5, paragraphe 3, et à l’article 2, sous f), de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009, lus conjointement avec l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, n’est pas valablement donné dans une situation telle que celle en cause au principal, dans laquelle le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut, que l’utilisateur doit décocher pour refuser de donner son consentement, et dans laquelle le consentement n’est pas donné de manière distincte, mais en même temps que la confirmation de la participation à un jeu promotionnel en ligne.

2)      Il en va de même concernant l’interprétation de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l’article 4, point 11, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

3)      Le fait que les informations stockées ou consultées soient des données à caractère personnel n’est pas déterminant aux fins de l’application de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l’article 2, sous h), de la directive 95/46.

4)      L’information claire et complète que le fournisseur de services doit donner à l’utilisateur au titre de l’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, inclut la durée de fonctionnement des cookies et le point de savoir si les tiers ont ou non accès aux cookies.


1      Langue originale : l’anglais.


2      Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).


3      Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).


4      Souvent appelée la « directive vie privée et communications électroniques ».


5      Directive du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »).


6      JO 2002, L 108, p. 33.


7      Souvent appelée la « directive cookie ».


8      Directive du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive [2002/58] et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs (JO 2009, L 337, p. 11). Le contenu normatif de la directive 2009/136 figure donc désormais dans ces dernières directives et dans le règlement précité, tel que modifié (et, en ce qui concerne la présente espèce, à l’article 5, paragraphe 3, de la directive 2002/58), raison pour laquelle, en l’espèce, seul un considérant de la directive 2009/136 est cité.


9      Note sans objet pour la version française des présentes conclusions.


10      Il convient de noter qu’il s’agit de la précédente version de la BDSG du 20 décembre 1990, telle que modifiée, et non de la version actuelle du 30 juin 2017.


11      On peut se faire une idée de ce à quoi ressemblait le vrai site Internet à l’adresse suivante : https://web.archive.org/web/20130902100750/http:/www.dein-macbook.de:80/.


12      Ainsi que d’autres clauses non pertinentes pour la présente affaire.


13      « Berufung ».


14      « Revision ».


15      Voir également conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, point 5).


16      Voir Lynskey, O., « Track[ing] changes : an examination of EU Regulation of online behavioural advertising through a data protection lens », European Law Review, Sweet & Maxwell, 2011, p. 874 à 886, en particulier p. 875 et 876.


17      Voir Lynskey, O., loc. cit., p. 878.


18      Voir, d’une manière générale, Clifford, D., « EU Data Protection Law and Targeted Advertising : Consent and the Cookie Monster – Tracking the crumbs of online user behaviour », Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, p. 195 et 196.


19      Voir http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


20      Voir Clifford, D., loc.cit., p. 195 et 196.


21      Voir http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


22      Voir http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


23      Voir, par exemple, avis 04/2012 sur l’exemption de l’obligation de consentement pour certains cookies, adopté par le groupe de travail « article 29 » le 7 juin 2012 (00879/12/FR, GT 194, p. 12).


24      Pour compléter le tableau, on pourrait ajouter que la directive 2002/58 avait également été modifiée par la directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58 (JO 2006, L 105, p. 54). Toutefois, premièrement, comme cela ressort de l’article 11 de la directive 2006/24, cette modification était marginale et ne concernait qu’un article de la directive 2002/58 et, deuxièmement et plus fondamentalement, la directive 2006/24 a, entre-temps, été déclarée invalide, voir arrêt du 8 avril 2014, Digital Rights Ireland e.a. (C‑293/12 et C‑594/12, EU:C:2014:238, point 71).


25      Conformément à l’article 99, paragraphe 2, du règlement 2016/679.


26      Voir article 94, paragraphe 1, du règlement 2016/679.


27      En allemand : « Unterlassungsanspruch ».


28      Voir Bundesgerichtshof, 23 février 2016, XI ZR 101/15, point II.1., Neue Juristische Wochenschrift (NJW), 2016, p. 1881. Étant donné que l’action en cessation de la demanderesse est dirigée vers l’avenir, les recours en cessation dont le fondement juridique a changé au cours de la procédure doivent être examinés par la juridiction d’appel en tenant compte de la situation juridique actuelle, même si la modification juridique n’est entrée en vigueur qu’après la clôture de la phase orale de la deuxième instance ou au cours de la procédure de pourvoi. Voir également Bundesgerichtshof, 13 juillet 2004, KZR 10/03, point I., Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, p. 624.


29      Concernant l’applicabilité de la directive 95/46 et du règlement 2016/679 dans le contexte d’une action déclaratoire en vertu du droit procédural allemand, voir arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 39), et conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Deutsche Post (C‑496/17, EU:C:2018:838, point 32) : « Il appartient à la juridiction de renvoi d’interpréter son droit procédural national, sur lequel la Cour ne se prononce pas. Par conséquent, si elle considère, en vertu des normes nationales, que le litige doit être tranché, ratione temporis, conformément au règlement 2016/679 et non à la directive 95/46, la Cour doit l’éclairer sur l’interprétation de celui-ci et non sur celle de la directive. »


30      Voir article 94, paragraphe 2, du règlement 2016/679.


31      Voir, d’une manière générale, considérant 2.


32      Conformément à la deuxième phrase de l’article 5, paragraphe 3, de la directive 2002/58, l’exigence d’un consentement ne fait pas obstacle à un stockage ou à un accès si cela vise exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou si le stockage ou l’accès sont strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’utilisateur. En l’espèce, le stockage ou la consultation des informations n’est pas techniquement nécessaire au sens de l’article 5, paragraphe 3, deuxième phrase, de la directive 2002/58, mais a une fin publicitaire, de sorte que l’exception à la disposition requérant un consentement ne joue pas.


33      Voir également Bond, R., « The EU E-Privacy Directive and Consent to Cookies », The Business Lawyer, vol. 68, no 1, American Bar Association, novembre 2012, p. 215.


34      Au lieu d’employer les deux termes « active » et « passive », on pourrait aussi bien utiliser les termes « explicite » et « implicite ».


35      À proprement parler, l’exigence d’un consentement distinct englobe déjà l’exigence d’un consentement actif. En effet, ce n’est que si le critère du consentement s’applique distinctement qu’il ne peut pas être « glissé » au moyens de paramètres cochés par défaut.


36      Cela ne veut pas dire que la participation à un jeu promotionnel ne peut pas être subordonnée à un consentement. Toutefois, ce consentement doit être distinct et l’utilisateur doit être dûment informé. Je reviendrai sur ce point ci-après.


37      Et parce que j’ai déjà fait référence aux considérants des directives 2002/58 et 2009/136 ci‑dessus.


38      Arrêts du 19 novembre 1998, Nilsson e. a. (C‑162/97, EU:C:1998:554, point 54) ; du 24 novembre 2005, Deutsches Milch-Kontor (C‑136/04, EU:C:2005:716, point 32), et conclusions de l’avocat général Ruiz-Jarabo Colomer dans l’affaire TeliaSonera Finland (C‑192/08, EU:C:2009:309, points 87 à 89).


39      Voir également mes conclusions dans les affaires jointes X et Visser (C‑360/15 et C‑31/16, EU:C:2017:397, point 132).


40      Voir considérant 17, deuxième phrase, de la directive 2002/58.


41      Il s’agit d’un organisme consultatif créé en application de l’article 29 de la directive 95/46. Avec l’entrée en vigueur du règlement 2016/679, le groupe de « article 29 » a été remplacé par le Comité européen de la protection des données (voir articles 68 et 94, paragraphe 2, du règlement 2016/679).


42      Voir avis 2/2010 sur la publicité comportementale en ligne, adopté par le groupe de travail « article 29 » le 22 juin 2010 (00909/10/FR, GT 171, p. 16, point 4.1.3.).


43      Avis 15/2011 sur la définition du consentement, adopté par le groupe de travail « article 29 » le 13 juillet 2011 (01197/11/FR, GT 187, p. 12).


44      Avis 15/2011 sur la définition du consentement, adopté par le groupe de travail « article 29 » le 13 juillet 2011 (01197/11/FR, GT 187, p. 12).


45      Avis 15/2011 sur la définition du consentement, adopté par le groupe de travail « article 29 » le 13 juillet 2011 (01197/11/FR, GT 187, p. 12).


46      Ce point, qui résulte déjà de la décision de renvoi, a été explicitement confirmé par la fédération au cours de l’audience en réponse à une question de la Cour.


47      C’est-à-dire la fédération, les gouvernements allemand, italien et portugais ainsi que la Commission.


48      Voir article 7, paragraphe 4, du règlement 2016/679.


49      Voir, en particulier, point 66 des présentes conclusions.


50      Un bouton tel que le bouton de participation.


51      Selon la terminologie allemande : « Kopplungsverbot », voir, entre autres, Ingold, A., dans G. Sydow (éd.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden-Baden, 2017, article 7, point 30.


52      Voir Heckmann, D., Paschke, A., dans E. Ehmann, M. Selmayr (éd.), DS-GVO (Datenschutz-Grundverordnung), Kommentar, C.H. Beck, Munich, 2017, article 7, point 53.


53      Voir également, à cet égard, Buchner, J., Kühling, B., dans J. Buchner, B. Kühling (éd), Datenschutz-Grundverordnung/BDSG, Kommentar, 2e éd. 2018, C.H. Beck, Munich, article 7 DS-GVO, point 48.


54      Tel que modifié par la directive 2009/136.


55      Voir point 24 de la décision de renvoi.


56      En effet, au cours de l’audience, le représentant de la fédération a souligné qu’une clarification de la Cour concernant la première question, sous b), serait très utile en raison d’un litige au sein de la doctrine allemande sur le point de savoir si l’article 15, paragraphe 3, du TMG est ou non conforme au droit de l’Union.


57      Mise en italique par mes soins.


58      Voir cadre juridique, ci-dessus.


59      Ibid.


60      Voir avis 2/2010 sur la publicité comportementale en ligne, adopté par le groupe de travail « article 29 » le 22 juin 2010 (00909/10/FR, GT 171, p. 9, point 3.2.1). Dans le même ordre d’idées, il est indiqué, dans l’avis 2/2013 sur les applications destinées aux dispositifs intelligents, adopté le 27 février 2013 (00461/13/FR, GT 202, p. 7, point 3.1), que « l’obligation de consentement visée à l’article 5, paragraphe 3, s’applique à toute information, quelle que soit la nature des données que l’on stocke ou auxquelles on accède. Le champ d’application ne se limite pas aux données à caractère personnel ; il couvre tous les types de données stockées dans le dispositif ».


61      Pour être précis : les exigences de la directives 2009/136 modifiant, entre autres, la directive 2002/58.


62      Concernant la terminologie dans le domaine de la protection des consommateurs, voir article 2 de la directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs, modifiant la directive 93/13/CEE du Conseil et la directive 1999/44/CE du Parlement européen et du Conseil et abrogeant la directive 85/577/CEE du Conseil et la directive 97/7/CE du Parlement européen et du Conseil (JO 2011, L 304, p. 64).


63      Il s’agit là de la terminologie classique employée par la Cour pour décrire le consommateur européen moyen. Voir, par exemple, arrêts du 7 août 2018, Verbraucherzentrale Berlin (C‑485/17, EU:C:2018:642, point 44) ; du 7 juin 2018, Scotch Whisky Association (C‑44/17, EU:C:2018:415, point 47), et du 16 juillet 1998, Gut Springenheide et Tusky (C‑210/96, EU:C:1998:369, point 31).


64      Voir conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire slewo (C‑681/17, EU:C:2018:1041, point 55).


65      Avis 15/2011 sur la définition du consentement, adopté par le groupe de travail « article 29 » le 13 juillet 2011 (01197/11/FR, GT 187, p. 37).