L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi.

Le consentement à l'utilisation de cookies en ligne obtenu par le biais d'une case pré‑cochée n'est pas valablement recueilli, sans qu'ait d'incidence la circonstance que les informations stockées ou consultées par ce biais constituent ou non des données à caractère personnel.

L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 dite directive vie privée et communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l'article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du RGPD doivent être interprétés en ce sens que le consentement visé à ces dispositions n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679 ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46/CE et du RGPD.

Le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité d'un bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur un bouton de gestion des paramètres et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies. Les modalités par lesquelles le refus des cookies peut être exprimé, dans le contexte de la navigation sur Internet, peuvent biaiser l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. Le fait de ne pas offrir à l’utilisateur la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter est de nature à caractériser un manquement aux dispositions de l’article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, interprétées à la lumière du RGPD.

Pour être valable, le consentement de l'utilisateur doit être donné de manière libre, spécifique, éclairée et univoque, conformément à l'article 4.11 du RGPD. À ce titre, les solutions mises à la disposition de l’utilisateur pour refuser les opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs doivent présenter le même degré de simplicité que celles prévues pour en accepter l’usage.

Lorsque le lien permettant de refuser le dépôt de cookies soumis à consentement bénéficie d’une visibilité très faible par rapport au bouton permettant de l’accepter, un tel dispositif ne permet pas de refuser les cookies soumis à consentement aussi facilement qu’il est possible de les accepter, et constitue un manquement à l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.

Tel est le cas d’un lien permettant de refuser le dépôt de cookies qui n’est actif que sur un seul mot d’une phrase, sans mise en valeur particulière autre que le soulignement du lien, de sorte qu’un effort de recherche supplémentaire de la part de l’utilisateur est nécessaire pour voir ce hypertexte dissimulé et comprendre qu’il permet de refuser en un clic le dépôt de cookies sur son terminal ; à l’inverse, le bouton permettant d’accepter les cookies est isolé dans un cadre propre, parfaitement visible et identifiable, utilisant un contraste élevé entre la police du texte et la couleur du fond du bouton.

Au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des cookies tiers, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Cette obligation est une obligation de moyen, et non de résultat.

S’agissant de la responsabilité associée aux cookies déposés par des tiers sous le nom de domaine d’un éditeur de site web, pour que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous les noms de domaine de la société éditrice, ceci n’est en principe rendu possible que par l’inclusion par la société d’un fragment de code sur son site permettant aux tiers de déposer ou non un cookie.

Lorsqu’un éditeur de site web choisit ses partenaires et les autorise, à la fois juridiquement et par le codage informatique du site, à déposer des cookies sur les terminaux des utilisateurs et que, du fait de ce choix, le fonctionnement de son site ne lui permet pas de bloquer les cookies déposés par des tiers, cela n’exonère pas l’éditeur de sa responsabilité et il lui appartient de mettre en place des moyens adaptés au choix qu’il a opéré, tant dès l’arrivée de l’utilisateur sur le site qu’après avoir exprimé son refus.

En permettant que des opérations de lecture ou d’écriture d’informations puissent être effectuées par des tiers sous ses noms de domaine, l’éditeur d’un site web peut décider, si l’un de ses partenaires ne respecte pas la réglementation, de mettre en œuvre tous les moyens nécessaires pour faire cesser le manquement, puis, en dernier recours, de mettre fin à la relation du contrat ou d’engager des actions à son encontre. Lorsqu’une société constate qu’un de ses partenaires continue d’effectuer des opérations en violation des règles applicables malgré les outils qu’elle a mis en œuvre pour éviter cette situation et ses demandes ultérieures pour que de telles violations ne se reproduisent plus, il lui appartient d’envisager les différents moyens juridiques à sa disposition qui sont nécessaires pour faire cesser ces manquements, en prévoyant par exemple contractuellement la possibilité d’engager des actions contre ses partenaires (par exemple une action en responsabilité ou la suspension temporaire du contrat jusqu’au respect de ses engagements par le partenaire), et, en dernier recours, en appréciant l’opportunité de mettre un terme aux relations commerciales.