Le 4 mai 2020, le CEPD a mis à jour ses lignes direc­trices en matière de consen­te­ment au sens du RGPD. Ces lignes direc­trices avaient initia­le­ment été adop­tées, puis modi­fiées, par le Groupe de travail « article 29 », remplacé par le CEPD depuis l’entrée en force du RGPD.

À titre limi­naire, il convient de rappe­ler que le consen­te­ment est l’un des motifs justi­fi­ca­tifs permet­tant de justi­fier un trai­te­ment de données (art. 6 RGPD). Il est défini comme toute mani­fes­ta­tion de volonté, libre, spéci­fique, éclai­rée et univoque par laquelle la personne concer­née accepte, par une décla­ra­tion ou par un acte posi­tif clair, que des données à carac­tère person­nel la concer­nant fassent l’ob­jet d’un trai­te­ment (art. 4 par. 11 RGPD).

Ainsi, la personne concer­née doit être infor­mée de manière claire et complète du trai­te­ment de ses données, ainsi que de la manière dont ses données seront traitées.

Dans ses lignes direc­trices, le CEPD a réaf­firmé les exigences liées au consen­te­ment au sens du RGPD en matière de cookies et a fourni des clari­fi­ca­tions concer­nant la vali­dité du consen­te­ment face à un « cookie wall » (mur de cookies) et en cas de défi­le­ment et de pour­suite de navi­ga­tion par l’internaute.

L’utilisation de « cookie walls » consiste à inté­grer au site web des bandeaux ou des fenêtres qui bloquent l’accès de l’internaute au service souhaité, à moins que ce dernier ne donne son consentent global pour l’utilisation de l’ensemble des cookies.

Le RGPD prévoit que pour déter­mi­ner si le consen­te­ment est donné libre­ment, il y a lieu de tenir compte de la ques­tion de savoir, entre autres, si l’exé­cu­tion d’un contrat, y compris la four­ni­ture d’un service, est subor­don­née au consen­te­ment au trai­te­ment de données à carac­tère person­nel qui n’est pas néces­saire à l’exécution dudit contrat (art. 7 par. 4 RGPD).

Le CEPD précise que pour que le consen­te­ment soit libre­ment donné, l’accès par l’utilisateur aux services et fonc­tion­na­li­tés ne doit pas être subor­donné à son accep­ta­tion au stockage de ses données ou à l’accès à des infor­ma­tions déjà stockées sur son termi­nal (N 39).

Ainsi, le fait pour un four­nis­seur de site web de mettre en place un méca­nisme bloquant l’accès au contenu du site web tant que l’internaute n’a pas cliqué sur « accep­ter les cookies » ne permet pas d’offrir à ce dernier un véri­table choix. En effet, s’il souhaite pour­suivre sa navi­ga­tion, l’internaute n’a pas d’autre choix que d’accepter les cookies et, partant, le trai­te­ment de ses données person­nelles, quand bien même ce trai­te­ment n’est pas indis­pen­sable au four­nis­seur de site web pour offrir ses services et fonc­tion­na­li­tés. Par consé­quent, son consen­te­ment n’est pas valide, dans la mesure où il n’est pas libre­ment donné.

Le consi­dé­rant 32 du RGPD prévoit que le consen­te­ment doit être donné par un acte posi­tif clair par lequel la personne concer­née mani­feste de façon libre, spéci­fique, éclai­rée et univoque son accord au trai­te­ment de ses données person­nelles. Ce même consi­dé­rant précise que :

« cela pour­rait se faire notam­ment en cochant une case lors de la consul­ta­tion d’un site inter­net, en optant pour certains para­mètres tech­niques pour des services de la société de l’in­for­ma­tion ou au moyen d’une autre décla­ra­tion ou d’un autre compor­te­ment indi­quant clai­re­ment dans ce contexte que la personne concer­née accepte le trai­te­ment proposé de ses données à carac­tère person­nel. Il ne saurait dès lors y avoir de consen­te­ment en cas de silence, de cases cochées par défaut ou d’inactivité. »

L’art. 7 par. 3 RGPD prévoit que la personne concer­née doit pouvoir reti­rer son consen­te­ment à tout moment et de manière aussi simple qu’elle l’a donné.

Le CEPD a clari­fié la portée du consi­dé­rant 32 du RGPD et a précisé que le défi­le­ment d’une page web ou la pour­suite de la navi­ga­tion ne doit pas être assi­milé à une mani­fes­ta­tion de volonté claire et univoque de l’utilisateur de consen­tir au trai­te­ment de ses données person­nelles. En effet, dans un tel cas, le carac­tère univoque du consen­te­ment ne peut être admis, ce d’autant plus qu’il serait diffi­cile d’offrir à l’utilisateur un moyen pour reti­rer son consen­te­ment aussi simple­ment qu’en le donnant (N 39).

Les clari­fi­ca­tions du CEPD sur la notion de consen­te­ment sont alignées avec la déci­sion de la Cour de justice de l’Union euro­péenne (CJUE) dans l’affaire C‑673/​17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. c. /​ Planet49 GmbH. Cette déci­sion prévoyait que l’utilisation de cookies néces­si­tait le consen­te­ment actif des inter­nautes et préci­sait qu’une case cochée par défaut était insuf­fi­sante (pour une analyse de l’arrêt, voir David Rosenthal, Cookies  : comment la CJUE lutte-t-elle contre la menta­lité du «  cliquer et fermer sans regar­der  », in : www​.lawin​side​.ch/​8​83/).