Le consentement à l'utilisation de cookies en ligne obtenu par le biais d'une case pré‑cochée n'est pas valablement recueilli, sans qu'ait d'incidence la circonstance que les informations stockées ou consultées par ce biais constituent ou non des données à caractère personnel.

L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 dite directive vie privée et communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l'article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du RGPD doivent être interprétés en ce sens que le consentement visé à ces dispositions n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679 ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46/CE et du RGPD.

Pour être valable, le consentement de l'utilisateur doit être donné de manière libre, spécifique, éclairée et univoque, conformément à l'article 4.11 du RGPD. À ce titre, les solutions mises à la disposition de l’utilisateur pour refuser les opérations de lecture et/ou d’écriture d’informations dans le terminal des utilisateurs doivent présenter le même degré de simplicité que celles prévues pour en accepter l’usage.

Lorsque le lien permettant de refuser le dépôt de cookies soumis à consentement bénéficie d’une visibilité très faible par rapport au bouton permettant de l’accepter, un tel dispositif ne permet pas de refuser les cookies soumis à consentement aussi facilement qu’il est possible de les accepter, et constitue un manquement à l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.

Tel est le cas d’un lien permettant de refuser le dépôt de cookies qui n’est actif que sur un seul mot d’une phrase, sans mise en valeur particulière autre que le soulignement du lien, de sorte qu’un effort de recherche supplémentaire de la part de l’utilisateur est nécessaire pour voir ce hypertexte dissimulé et comprendre qu’il permet de refuser en un clic le dépôt de cookies sur son terminal ; à l’inverse, le bouton permettant d’accepter les cookies est isolé dans un cadre propre, parfaitement visible et identifiable, utilisant un contraste élevé entre la police du texte et la couleur du fond du bouton.

Le fait, pour une plateforme en ligne, de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient en réalité à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « Tout accepter ». En effet, un utilisateur d’internet est généralement conduit à consulter de nombreux sites. La navigation sur internet se caractérise par sa rapidité et sa fluidité. Le fait de devoir cliquer sur « Personnaliser » et de devoir comprendre la façon dont est construite la page permettant de refuser les cookies est susceptible de décourager l’utilisateur, qui souhaiterait pourtant refuser le dépôt des cookies.

En l’espèce, les plateformes offrent un choix entre l'acceptation ou le refus des cookies, mais les modalités par lesquelles ce refus peut être exprimé, dans le contexte de la navigation sur internet, biaise l’expression du choix en faveur du consentement de façon à altérer la liberté de choix. En effet, les utilisateurs résidant en France se rendant sur les sites concernés doivent effectuer une seule action pour accepter les cookies, alors qu’ils doivent en effectuer cinq pour les refuser.

Au regard de ce qui précède, un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où les plateformes ne mettent pas à disposition des utilisateurs situés en France, sur les sites internet concernés, un moyen de refuser les opérations de lecture et/ou d’écriture d’informations dans leur terminal présentant le même degré de simplicité que celui prévu pour en accepter l’usage.