En septembre 2013, une société allemande a organisé un jeu promotionnel en ligne. Pour y participer, les internautes devaient tout d’abord saisir leur code postal, ce qui les amenait sur une page contenant des champs à remplir avec leur nom et adresse. Sous ces champs se trouvaient deux séries de mentions explicatives accompagnées de cases à cocher ou décocher avant de pouvoir cliquer sur le bouton « participation ». La première case obligeait les participants à accepter dêtre contacté par toute une série de sociétés pour des offres promotionnelles, et la seconde (cochée par défaut) les obligeait à accepter linstallation de cookies sur leur ordinateur. Il nétait possible de participer au jeu promotionnel quaprès avoir coché au moins la première case.
Dans le cadre d’une procédure engagée contre l’organisateur de ce jeu par la Fédération allemande des organisations de consommateurs, deux séries de questions préjudicielles ont été formulées par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) à l’intention de la Cour de justice de l’Union européenne (CJUE).
Dans ses conclusions rendues le 21 mars 2019, l’avocat général près la CJUE propose d’y répondre de la manière suivante.
Le consentement visé à larticle 5, § 3, et à larticle 2, sous f), de la directive vie privée et communications électroniques (2002/58/CE), lus conjointement avec larticle 2, sous h), de la directive sur la protection des données (95/46/CE ) « nest pas valablement donné dans une situation telle que celle en cause au principal, dans laquelle le stockage dinformations ou laccès à des informations déjà stockées dans léquipement terminal de lutilisateur est autorisé par une case cochée par défaut, que lutilisateur doit décocher pour refuser de donner son consentement, et dans laquelle le consentement nest pas donné de manière distincte, mais en même temps que la confirmation de la participation à un jeu promotionnel en ligne« .
Il en va de même s’agissant de linterprétation des mêmes dispositions de la directive 2002/58/CE lus conjointement avec larticle 4, point 11, du règlement général sur la protection des données (RGPD).
L’avocat général précise que le fait que les informations stockées ou consultées soient des données à caractère personnel nest pas déterminant à cet égard.
Enfin, il indique que linformation claire et complète que le fournisseur de services doit donner à lutilisateur au titre de larticle 5, § 3, de la directive 2002/58 inclut la durée de fonctionnement des cookies et le point de savoir si les tiers ont ou non accès aux cookies.