Une question se pose de plus en plus du côté des entreprises qui cherchent à contourner les contraintes imposées par la Cookie réglementation associée à la notion de consentement empruntée au RGPD :
Peut-on imposer un choix à l'utilisateur lors de sa visite sur un site web ? "Es-tu d'accord pour que nous déposions un cookie sur votre appareil ? Réponds ou pars."
En d'autres termes, l'utilisateur a-t-il le droit de ne pas répondre à la question perpétuelle « Acceptez-vous nos cookies ? Devoir choisir entre « j'accepte » et « je refuse », bénéficie-t-il toujours de la notion de libre consentement imposée par le RGPD ?
Soyons francs, la question est loin d'être simple dans la réalité et ne peut être tranchée que par la succession de litiges que les juridictions nationales et européennes pourront trancher… Nous attendons le positionnement d'une jurisprudence pérenne. C'est bien son rôle : affiner l'analyse juridique des textes existants.
Le futur règlement EPrivacy apportera-t-il une réponse plus évidente ? C'est plus facile à dire une fois le texte final voté.
Mais on peut encore en douter, tant les références à la notion de consentement présentes dans le RGPD sont nombreuses. Et ils sont repris dans le projet actuel de règlement e-privacy.
Prenons un risque et analysons…
L'article 4.11 du RGPD définit le consentement comme suit : "consentement" de la personne concernée signifie toute indication librement donnée, spécifique, informée et non ambiguë de la volonté de la personne concernée par laquelle elle, par une déclaration ou par une action positive explicite, signifie un accord au traitement des données personnelles les concernant.
Concentrons-nous sur la notion de liberté.
Le choix est-il libre quand une alternative limitée est imposée ? Ne manque-t-on pas toute une série de réponses possibles ? Et notamment le « oui mais ». "Oui, mais plus tard", "Oui, mais pas sur tout", "Oui, mais pas aujourd'hui".
Pour analyser un tel dispositif, il faut remonter aux sources du droit et sortir nos manuels de première année de droit… Comment qualifier juridiquement le dépôt d'un cookie ou, plus précisément, le consentement donné au dépôt d'un cookie ?
Deux options s'offrent à nous : fait juridique ou acte juridique.
Il est établi que la différence entre ces deux notions réside dans les effets juridiques qui leur sont attachés. Dans le cas d'un fait juridique, les conséquences juridiques ne sont pas produites par la volonté du sujet de droit mais par la règle de droit elle-même (règlement, loi, traité international...) : le licenciement d'un salarié lui ouvre des droits : c'est un fait juridique. Ce fait juridique peut être volontaire ou involontaire. Mais le sujet de droit n'a pas nécessairement cherché à produire les effets juridiques attachés à la vérité par la règle de droit.
La situation est tout autre avec l'acte juridique : les effets juridiques induits par une action en justice découlent entièrement de la volonté du sujet de droit : je signe un contrat. Dans ce cas, on retrouve la notion de volonté (consentement…).
Qu'en est-il de ce dépôt de fichier (le cookie) ? Nous partons du principe que le consentement est nécessaire. Si un soutien est nécessaire, il s'agit d'une "action en justice". Par conséquent, le dépôt de cookie dans ce cas serait une action en justice.
Si la cookie le dépôt est un acte juridique, mon consentement doit également être analysé à la lumière de l'approbation des actes juridiques. C'est ce que nous dit l'article 1100-1 du Code civil : « Les actes juridiques sont les manifestations de la volonté destinées à produire des effets juridiques. Elles peuvent être conventionnelles ou unilatérales. Ils sont, dans la mesure du possible, régis pour leur validité et leurs effets par les règles régissant les contrats. »
Nous sommes donc sur le terrain significatif de la théorie de l'autonomie de la volonté, que Rousseau a su nous expliquer et qui peuple les toutes premières heures de cours des étudiants en première et deuxième année de droit. La jurisprudence qui a façonné cette notion depuis 1804 n'admet aucune contrainte, quelle qu'elle soit lorsqu'il s'agit de...
Par exemple, revenons maintenant à l'hypothèse d'une navigation sur un site e-commerce.
La navigation libre consisterait à pouvoir consulter le site sans entraves.
Dès lors, on peut s'interroger sur l'interdiction de pouvoir consulter le site sans avoir à formaliser au préalable un choix entre des options imposées par l'éditeur dudit site – et donc être contraint.
C'est en effet l'éditeur qui choisit, seul, les options qui s'offrent à vous. Si ceux-ci ne vous conviennent pas, vous devez quitter le site.
La combinaison du considérant 42 et de l'article 7.4 du RGPD fournit un cadre pour évaluer la « qualité » du consentement fourni :
Considération n° 42 : Le consentement ne devrait pas être considéré comme donné librement si la personne concernée n'a pas de choix véritable ou libre ou ne peut pas refuser ou retirer son consentement sans préjudice.
Article 7.4 : « Lors de l'appréciation du caractère libre du consentement, il est tenu le plus grand compte de la question de savoir si, entre autres, l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaires à l'exécution de ce contrat ».
L'article 7.4 fait référence à la notion de contrat. Comme nous l'avons vu précédemment, le dépôt d'un fichier sur votre appareil (le cookie) sera vraisemblablement qualifié d'acte juridique. Il y aurait donc une cohérence juridique entre le consentement contractuel et le consentementcookie mentionné dans le GDPR.
A la lecture de ces textes, il faudrait peut-être se poser la question suivante pour obtenir un début de réponse sur la conformité de choix imposée au dépôt d'un cookie : est le dépôt du cookie nécessaire à la fourniture du service (la consultation gratuite et sans contrainte du site) ?
Si la réponse est oui, la contrainte de choix peut paraître légitime. Dans le cas contraire, la règle du choix semble s'imposer en violation de l'article 7.4 du RGPD, d'autant que le considérant 32 ne laisse pas l'acteur économique sans réponse puisque l'absence de réponse de l'internaute équivaut à un refus (considérant 32 : « (…) il ne peut y avoir de consentement en cas de silence (…) ou d'inactivité »).
Invoquer le silence ou l'inactivité, n'est-ce pas les valider juridiquement ? Le législateur européen a certainement envisagé ce scénario. Dès lors, il répond à l'argument selon lequel le site e-commerce dirait : « Je veux le choix ! Laissez passer l'internaute sans contrainte - la « vraie liberté de choix » - et vous aurez votre réponse : elle sera négative car la réglementation vous autorise à formaliser cette déduction.
Être libre dans cette analyse juridique, c'est avoir la possibilité d'agir sans contrainte. Du tout. Or, imposer un choix, devoir choisir, c'est se fixer une limite. Ce faisant, on pourrait soutenir qu'on empêche l'internaute d'exercer l'un des choix du règlement : ne pas choisir (pas de consentement en cas de silence).
Mais poussons l'argument plus loin...
Nous permettons-nous de penser que le consentement à la cookie 'est-ce qu'un acte juridique (une hypothèse essentielle, vous l'avez peut-être compris) ? Si tel est le cas, qu'en est-il du consentement obtenu par désespoir, fatigue ou envie de continuer à naviguer ? La loi considère-t-elle les situations dans lesquelles une personne a consenti pour des raisons qu'elle croyait bonnes ou, par erreur… sous la contrainte ?
La réponse est oui, et cela donne lieu – du moins en droit français – à une abondante littérature sur la théorie des vices de consentement. Cependant, pour envisager d'utiliser les arguments de cette théorie, il faut accepter que le consentement soit un acte juridique (un débat est également ouvert, soyons donc prudents).
Considérez que le consentement aux cookies est un acte juridique (hypothèse essentielle, vous l'avez compris). Si tel est le cas, que nous apprend la théorie des défauts du consentement ? Tout d'abord, elle est inscrite depuis longtemps dans le Code civil : l'article 1130 précise :
« Leur caractère déterminant s'apprécie en fonction des personnes et des circonstances dans lesquelles le consentement a été donné.
Mettons de côté la violence. Il ne nous reste plus que l'erreur et la fraude.
La fraude est la volonté de tromper. L'article 1137 du Code civil en parle : « L'escroquerie est le fait d'une partie d'obtenir le consentement de l'autre par des manœuvres ou des mensonges.
En droit, on distingue généralement la « bonne fraude » (l'habileté d'un vendeur à promouvoir ses produits, par exemple) et la « mauvaise fraude » (mensonge, tromperie délibérée).
En termes simplifiés, l'erreur correspond à une vision erronée de la réalité pour la personne qui donne son consentement. Pour être valablement retenue, l'erreur doit porter sur les qualités essentielles et déterminantes de l'acte juridique. L'erreur, selon la jurisprudence, doit être « excusable ».
Mais lorsque la personne moyenne consent à une cookie , savent-ils même ce que c'est? Ils ne savent que ce qu'ils en ont peut-être vaguement entendu au JT de 13h sur TF1 entre le reportage sur la préservation de la recette centenaire de la Garbure dans les Pyrénées-Orientales et l'information sur la pêche à pied le long de la Côte d'Opale.
Soyons sérieux; peu de gens pourraient profondément expliquer le principe de la façon dont un cookie travaux.
Cela ouvre la voie à la qualification des fautes excusables et, par conséquent, au défaut de consentement.
Rappelons à ce stade que l'article 1100-1 du Code civil précise en son alinéa 2 que les actes juridiques « (…) obéissent (…), pour leur validité et leurs effets, aux règles régissant les contrats ».
Il appartient à chacun de remettre en question ces notions et l'intention délibérée de certains éditeurs de les utiliser pour capter des données personnelles précieuses. La notion de consentement peut-elle chercher des réponses sur la validité de sa récolte en droit des contrats et sa jurisprudence abondante ? C'est le sens de cette analyse.
La question est passionnante, et pas seulement d'un point de vue juridique. Soyons suffisamment lucides pour affirmer qu'elle soutiendrait des arguments opposés. Les réponses viendront probablement de la jurisprudence. La question de la protection des données doit se façonner dans le temps et mûrir pour trouver le juste équilibre entre contraintes économiques, contraintes techniques et protection des données personnelles.
Mais d'autres éléments peuvent aussi nourrir ce débat ; c'est vaste !
Et on ne peut même pas conclure un argumentaire juridique sur l'analyse de la mise en œuvre d'une pratique qui reste, avant toute autre considération, une pratique informatique sans citer le fabuleux article premier de la loi fondatrice du 6 janvier 1978 :
« Nous nous détacherons un instant de la mathématique du droit pour nous demander de manière plus aérienne et philosophique si l'implémentation de cookies walls est ou n'est pas dans l'esprit de ce texte.
La réponse à cette question unique devrait conduire à une position claire.
Depuis 1957 et le traité de Rome, l'Europe envisage son avenir autour de la notion de communauté, qui exige la coexistence d'impératifs économiques et le respect des libertés individuelles. Ces deux notions s'affrontent régulièrement. C'est sans doute le cas de la protection des données personnelles , et l'on ne peut écarter l'urgence pour les entreprises de continuer à exploiter ces données pour pérenniser leur modèle économique.
Deux principes fondamentaux constituent les « murs porteurs » de l'Union européenne : la libre circulation des personnes et la libre circulation des marchandises.
Le RGPD a créé un troisième axe, contrairement à ce que beaucoup pensent : celui de la libre circulation des données personnelles.
Oui, le RGPD est un texte libéral, et le législateur européen le rappelle dans le quatrième considérant : « Le droit à la protection des données personnelles n'est pas un droit absolu ; il doit être considéré quant à sa fonction dans la société et mis en balance avec d'autres droits fondamentaux, par le principe de proportionnalité.
Le but? Le septième considérant le rappelle : « Créer la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur.
Une lecture attentive de ce texte et une maîtrise de ses concepts révèlent un mode d'emploi, le postulat d'acceptation d'un changement de logiciel pour utiliser les données personnelles à des fins économiques : on peut presque tout faire tant que le citoyen n'est pas réduit à un simple spectateur de la vie de leurs données. Ils doivent, en toutes circonstances, jouer le rôle principal. Ou, plus précisément : il faut les mettre en position d'être cet acteur. C'est à eux de décider s'ils veulent jouer un rôle actif ou passif.
Cependant, l'utilisation de cookies walls doit s'inscrire dans cette approche de compromis entre le principe de la libre entreprise et la protection des droits fondamentaux de la personne humaine.
L'inventeur du Web, Tim Berners-Lee, qui a refusé de breveter sa création, a écrit dans son livre de 1999, « Weaving the Web » :
« Le Web est plus une création sociale qu'une création technique. Je l'ai conçu pour aider les gens à travailler ensemble pour un effet social, pas comme un jouet technique. Le but ultime du Web est de soutenir et d'améliorer notre existence semblable à celle du Web dans le monde. Nous nous agglomérons en familles, associations et entreprises. Nous développons la confiance à travers les kilomètres et la méfiance au coin de la rue. Ce que nous croyons, approuvons, approuvons et dépendons est représentable et, de plus en plus, représenté sur le Web. Nous devons nous assurer que la société que nous construisons avec le Web est ce que nous voulons.
Le cookie ne rentre pas dans cette logique. Il défigure le web et nuit à ceux qui le pratiquent.
Loin d'être un mur porteur, il s'agit d'une simple cloison fragile menant à la pièce la plus laide de la maison, habituellement cachée aux hôtes quand tout le reste a été refait à neuf.
Ceux d'entre les décideurs qui ont d'abord misé sur l'abattage de ces cloisons fragiles pour s'orienter résolument vers une logique d'inclusion de l'internaute dans une collaboration commerciale ouvertement revendiquée et assumée (« Nous aimerions avoir vos données, et voici pourquoi, que faire pensez-vous ? ») posera sans aucun doute les bases de cette nouvelle économie numérique, qui construit actuellement ses fondations sur les murs porteurs de la protection des données personnelles.
