La CNIL a enfin commenté, même si ce n’est que brièvement, la transposition en droit français de la réglementation relative aux cookies (voir notre article du 31 août 2011), et notamment sur la question du consentement par le paramétrage du dispositif de connexion ou tout autre dispositif sous son contrôle. Dans un communiqué du 19 septembre, la CNIL a affirmé que l’accord doit porter sur un « traitement précis associé à une finalité définie », et qu’il ne peut y avoir d’accord valable basé sur « le paramétrage du navigateur,acceptant tous les cookies sans distinguer leur finalité ».
Cette prise de position fait écho au communiqué de presse du Groupe de travail de l’article 29 sur la protection des données à caractère personnel, en date du 14 septembre, rappelant que le consentement doit reposer sur une communication active, rejetant de ce fait un consentement basé sur l’inaction ou le silence de l’utilisateur : « (…) only statements or actions, not mere silence or inaction, constitute valid consent ».
La nécessité d’une communication active pour que le consentement soit valide avait déjà été présentée dans l’opinion n°15/2011 rendue par le Groupe de travail en juillet dernier : « Consent based on an individual’s inaction or silence would normally not constitute valid consent, especially in an on-line context ». Notons que le terme normally n’est pas repris dans le communiqué de presse postérieur, indiquant peut-être davantage de fermeté de la part du Groupe de travail sur cette question.
Les conditions de validité du consentement, au regard des textes européens, sont énumérées dans cette opinion : le consentement doit être donné librement, il doit être spécifique, informé, explicite, non ambigu, et doit se manifester par le biais d’une communication active.
L’ICO (équivalent de la CNIL en Angleterre) a lui aussi intégré la position du Groupe de travail, puisqu’il indique, dans un guide en ligne relatif à la protection des données personnelles : « the fact that an individual must signify their agreement means that there must be some active communication between the parties ».
Cependant, cette position du Royaume Unis est justifiée par le fait qu’à l’heure actuelle, les paramètres de la plupart des navigateurs ne sont pas suffisamment sophistiqués pour permettre aux internautes de donner leur consentement éclairé. En effet, les navigateurs permettent aujourd’hui aux opérateurs internet la mise en place des cookies par défaut, et l’autorisation des internautes est donc présumée. Or, un tel consentement ne peut être valable.
La CNIL a donc apporté une nuance au texte qui vient d’être adopté, et ce dans la lignée de la réflexion menée au niveau européen.