Livv
Décisions

CJUE, gr. ch., 1 octobre 2019, n° C-673/17

COUR DE JUSTICE DE L’UNION EUROPEENNE

Arrêt

PARTIES

Demandeur :

Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband eV

Défendeur :

Planet49 GmbH

COMPOSITION DE LA JURIDICTION

Président :

M. Lenaerts

Avocat général :

M. Szpunar

Juges :

MM. Rosas (rapporteur), Bay Larsen, Safjan, Rodin

Avocats :

Mes Wassermann, Jaschinski, Viniol, Petersen

CJUE n° C-673/17

1 octobre 2019

LA COUR (grande chambre),

1 La demande de décision préjudicielle porte sur l'interprétation de l'article 2, sous f), et de l'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la " directive 2002/58 "), lus en combinaison avec l'article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), ainsi que de l'article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

2 Cette demande a été introduite dans le cadre d'un litige opposant le Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband eV (fédération des organisations et associations de consommateurs - fédération des organisations de consommateurs, Allemagne) (ci-après la " fédération ") à Planet49 GmbH, société proposant des jeux en ligne, au sujet du consentement des participants à un jeu promotionnel organisé par cette société au transfert de leurs données à caractère personnel à des sponsors et partenaires de celle-ci ainsi qu'au stockage d'informations et à l'accès à des informations stockées dans l'équipement terminal de ces utilisateurs.

Le cadre juridique

Le droit de l'Union

La directive 95/46

3 L'article 1er de la directive 95/46 prévoit :

" 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. "

4 L'article 2 de cette directive dispose :

" Aux fins de la présente directive, on entend par :

a) "données à caractère personnel" : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

b) "traitement de données à caractère personnel" (traitement) : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ;

[...]

h) "consentement de la personne concernée" : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement. "

5 L'article 7 de ladite directive énonce :

" Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a) la personne concernée a indubitablement donné son consentement

[...] "

6 Aux termes de l'article 10 de la même directive :

" Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée :

a) l'identité du responsable du traitement et, le cas échéant, de son représentant ;

b) les finalités du traitement auquel les données sont destinées ;

c) toute information supplémentaire telle que :

- les destinataires ou les catégories de destinataires des données,

- le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d'un défaut de réponse,

- l'existence d'un droit d'accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données. "

La directive 2002/58

7 Les considérants 17 et 24 de la directive 2002/58 énoncent :

" (17) Aux fins de la présente directive, le consentement d'un utilisateur ou d'un abonné, que ce dernier soit une personne physique ou morale, devrait avoir le même sens que le consentement de la personne concernée tel que défini et précisé davantage par la directive [95/46]. Le consentement peut être donné selon toute modalité appropriée permettant à l'utilisateur d'indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu'il visite un site Internet.

[...]

(24) L'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950]. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné. "

8 L'article 1er de la directive 2002/58 prévoit :

" 1. La présente directive prévoit l'harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans [l'Union européenne].

2. Les dispositions de la présente directive précisent et complètent la directive [95/46] aux fins énoncées au paragraphe 1. [...] "

9 L'article 2 de cette directive dispose :

" Sauf disposition contraire, les définitions figurant dans la directive [95/46] et dans la directive 2002/21/CE du Parlement européen et du Conseil, du 7 mars 2002, relative à un cadre réglementaire commun pour les réseaux et les services de communications électroniques (directive "cadre") [JO 2002, L 108, p. 33] s'appliquent aux fins de la présente directive.

Les définitions suivantes sont aussi applicables :

a) "utilisateur" : toute personne physique utilisant un service de communications électroniques accessible au public à des fins privées ou professionnelles sans être nécessairement abonnée à ce service ;

[...]

f) le "consentement" d'un utilisateur ou d'un abonné correspond au "consentement de la personne concernée" figurant dans la directive [95/46] ;

[...] "

10 L'article 5, paragraphe 3, de ladite directive prévoit :

" Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive [95/46], une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. "

Le règlement 2016/679

11 Le considérant 32 du règlement 2016/679 énonce :

" Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d'un site [I]nternet, en optant pour certains paramètres techniques pour des services de la société de l'information ou au moyen d'une autre déclaration ou d'un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité. Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités, le consentement devrait être donné pour l'ensemble d'entre elles. Si le consentement de la personne concernée est donné à la suite d'une demande introduite par voie électronique, cette demande doit être claire et concise et ne doit pas inutilement perturber l'utilisation du service pour lequel il est accordé. "

12 L'article 4 de ce règlement dispose :

" Aux fins du présent règlement, on entend par :

1) "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2) "traitement", toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;

[...]

11) "consentement" de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ;

[...] "

13 L'article 6 dudit règlement prévoit :

" 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] "

14 L'article 7, paragraphe 4, du même règlement énonce :

" Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat. "

15 Aux termes de l'article 13, paragraphes 1 et 2, du règlement 2016/679 :

" 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent [...]

[...]

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :

a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;

[...] "

16 L'article 94 de ce règlement dispose :

" 1. La directive [95/46] est abrogée avec effet au 25 mai 2018.

2. Les références faites à la directive abrogée s'entendent comme faites au présent règlement. Les références faites au groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par l'article 29 de la directive [95/46] s'entendent comme faites au comité européen de la protection des données institué par le présent règlement. "

Le droit allemand

17 Aux termes de l'article 307, paragraphe 1, première phrase, du Bürgerliches Gesetzbuch (code civil, ci-après le " BGB "), " sont nulles les clauses de conditions générales désavantageant le contractant du stipulant de manière exorbitante au mépris du principe de bonne foi ".

18 L'article 307, paragraphe 2, point 1, du BGB dispose que, dans le doute, " le désavantage exorbitant sera retenu lorsqu'une clause est inconciliable avec les idées fondamentales qui président au régime légal auquel elle déroge ".

19 L'article 12 du Telemediengesetz (loi sur les médias électroniques), du 26 février 2007 (BGBl. 2007 I, p. 179), dans sa version applicable au litige au principal (ci-après le " TMG "), dispose :

" (1) Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel pour proposer des médias électroniques que si la présente loi ou un autre instrument juridique qui vise expressément les médias électroniques l'y autorise ou si l'utilisateur y a consenti.

(2) Le fournisseur de services ne peut utiliser les données à caractère personnel collectées aux fins de la mise à disposition de médias électroniques à d'autres fins que si la présente loi ou un autre instrument juridique qui vise expressément les médias électroniques l'y autorise ou si l'utilisateur y a consenti.

(3) Sauf dispositions contraires, la législation en vigueur régissant la protection des données à caractère personnel doit être appliquée même si les données ne font pas l'objet d'un traitement automatisé. "

20 En vertu de l'article 13, paragraphe 1, du TMG, dès le début de l'utilisation, il appartient au fournisseur de services d'informer l'utilisateur sous une forme globalement compréhensible du mode, de l'étendue et de la finalité de la collecte et de l'utilisation de données à caractère personnel, s'il n'en a pas déjà été informé préalablement. Dans les procédures automatisées, permettant d'identifier l'utilisateur ultérieurement et préparant la collecte ou l'utilisation de données à caractère personnel, l'utilisateur doit être informé au début de cette procédure.

21 Aux termes de l'article 15, paragraphe 3, du TMG, le fournisseur de services peut, en cas d'emploi de pseudonymes, établir des profils d'utilisation à des fins publicitaires, d'études de marché ou pour configurer les médias électroniques aux besoins, pour autant que l'utilisateur, informé de son droit de s'y opposer, ne s'y oppose pas.

22 Selon la définition donnée par l'article 3, paragraphe 1, du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version applicable au litige au principal (ci-après le " BDSG "), " les données à caractère personnel sont des indications distinctes propres à des éléments personnels ou réels d'une personne physique déterminée ou déterminable (la personne concernée) ".

23 D'après la définition que l'article 3, paragraphe 3, du BDSG donne de cette notion, la collecte est le fait de se procurer des données sur la personne concernée.

24 L'article 4 bis, paragraphe 1, première phrase, du BDSG, qui transpose l'article 2, sous h), de la directive 95/46, dispose que le consentement ne sera valable que s'il procède de la décision librement prise par l'intéressé.

Le litige au principal et les questions préjudicielles

25 Le 24 septembre 2013, Planet49 a organisé un jeu promotionnel sur le site Internet www.dein-macbook.de.

26 Les internautes souhaitant participer à ce jeu devaient communiquer leur code postal, ce qui les dirigeait vers une page web sur laquelle ils devaient inscrire leurs nom et adresse. Sous les cases à remplir pour l'adresse se trouvaient deux mentions, accompagnées de cases à cocher. La première mention, dont la case (ci-après la " première case à cocher ") n'était pas cochée par défaut, se lisait comme suit :

" J'accepte que des sponsors et partenaires m'informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d'activité respectif. Je peux les déterminer ici moi-même faute de quoi l'organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d'informations à ce sujet, ici. "

27 La seconde mention, dont la case (ci-après la " seconde case à cocher ") était cochée par défaut, se lisait comme suit :

" J'accepte que le service d'analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l'organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d'exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d'adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. "

28 Il n'était possible de participer au jeu promotionnel qu'après avoir coché, à tout le moins, la première case à cocher.

29 Le lien électronique figurant dans la mention accompagnant la première case à cocher, sous les mots " sponsors et partenaires " et " ici ", conduisait à une liste de 57 entreprises reprenant leur adresse, le domaine d'activité à promouvoir et le mode de communication utilisé pour la publicité (courrier électronique, poste ou téléphone). Le terme souligné " biffer " figurait après le nom de chaque entreprise. La liste était précédée de l'indication suivante :

" En cliquant sur le lien "biffer", je décide qu'aucun accord pour la publicité ne peut être donné au partenaire/sponsor visé. Si je n'ai biffé aucun partenaire/sponsor ou pas suffisamment, Planet49 sélectionne pour moi à sa guise des partenaires/sponsors (dans la limite de 30 partenaires/sponsors). "

30 En activant le lien électronique figurant dans la mention accompagnant la seconde case à cocher, sous le mot " ici ", apparaissaient les informations suivantes :

" Les cookies placés sous les noms ceng_cache, ceng_etag, ceng_png et gcr sont des petits fichiers qui sont stockés sur votre disque dur par le navigateur que vous employez et font transiter un certain nombre d'informations qui permettent à la publicité d'être plus efficace et mieux adaptée à l'utilisateur. Les cookies comportent un numéro déterminé créé aléatoirement (ID) qui est associé en même temps à vos données d'enregistrement. Si vous visitez ensuite le site d'un partenaire publicitaire enregistré pour Remintrex (en consultant la déclaration relative à la protection des données du partenaire publicitaire vous verrez s'il est enregistré), on repère automatiquement à l'aide d'un IFrame de Remintrex qui y est lié la visite que vous (c'est-à-dire l'utilisateur dont l'ID a été stocké) avez faite sur la page, le produit auquel vous vous êtes intéressé et la conclusion éventuelle d'un contrat.

L'accord donné pour la publicité à la faveur de l'inscription au jeu promotionnel permet alors à [Planet49] de vous faire ensuite parvenir des courriers publicitaires en fonction des intérêts que vous avez manifestés sur le site du partenaire publicitaire. En cas de retrait de l'accord donné pour la publicité, vous ne recevez bien entendu plus de publicité par courrier électronique.

Les informations transmises par les cookies sont exclusivement utilisées pour de la publicité présentant des produits du partenaire publicitaire. Les informations sont collectées, stockées et utilisées séparément pour chaque partenaire publicitaire. Les profils d'utilisateur ne sont en aucun cas établis pour plusieurs partenaires publicitaires. Les différents partenaires publicitaires ne reçoivent aucune donnée à caractère personnel.

Si l'utilisation de cookies ne vous intéresse plus, vous pouvez la supprimer à tout moment par votre navigateur. Vous trouverez des instructions dans la fonction ["aide"] de votre navigateur.

Les cookies ne permettent pas d'exporter des programmes ni de transférer des virus.

Vous avez bien entendu la possibilité de revenir à tout moment sur cet accord. Vous pouvez adresser votre retrait par écrit à [Planet49] [adresse]. Un simple courrier électronique à notre service clientèle suffit cependant [adresse électronique]. "

31 Il ressort de la décision de renvoi que les cookies sont des fichiers, que le fournisseur d'un site Internet place sur l'ordinateur de l'utilisateur de ce site et auxquels il peut accéder à nouveau lors d'une nouvelle visite du site par l'utilisateur, pour faciliter la navigation sur Internet ou des transactions ou pour obtenir des informations sur le comportement de ce dernier.

32 Dans le cadre d'une mise en demeure qui est restée sans suite, la fédération, qui est inscrite sur la liste des organismes ayant qualité pour agir au titre de l'article 4 du Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz - UKlaG) (loi sur les actions en cessation d'atteintes au droit de la consommation et autres), du 26 novembre 2001 (BGBl. 2001 I, p. 3138), a soutenu que les déclarations d'accord sollicitées par Planet49 au moyen des première et seconde cases à cocher ne remplissaient pas les conditions requises par les dispositions combinées de l'article 307 du BGB, de l'article 7, paragraphe 2, point 2, du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), du 3 juillet 2004 (BGBl. 2004 I, p. 1414), dans sa version applicable au litige au principal, et des articles 12 et suivants du TMG.

33 La fédération a introduit devant le Landgericht Frankfurt am Main (tribunal régional de Francfort-sur-le-Main, Allemagne) un recours tendant, en substance, à ce que Planet49 cesse de solliciter de telles déclarations d'accord et qu'elle soit condamnée à lui verser la somme de 214 euros, majorée d'intérêts depuis le 15 mars 2014.

34 Le Landgericht Frankfurt am Main (tribunal régional de Francfort-sur-le-Main) a partiellement fait droit à ce recours.

35 À la suite d'un appel interjeté par Planet49 devant l'Oberlandesgericht Frankfurt am Main (tribunal régional supérieur de Francfort-sur-le-Main, Allemagne), cette juridiction a estimé que la demande de la fédération tendant à ce que Planet49 cesse d'inclure, dans des conventions de jeu promotionnel passées avec des consommateurs, la mention telle qu'elle figure au point 27 du présent arrêt, dont la seconde case à cocher était cochée par défaut, n'était pas fondée en ce que, d'une part, l'utilisateur avait connaissance de la possibilité de décocher cette case et, d'autre part, celle-ci était présentée dans une typographie suffisamment claire et donnait des informations sur les modalités d'utilisation des cookies, sans qu'il soit nécessaire de divulguer l'identité des tiers susceptibles d'avoir accès aux informations recueillies.

36 Le Bundesgerichtshof (Cour fédérale de justice, Allemagne), saisi par la fédération d'un recours en Revision, considère que l'issue du litige au principal dépend de l'interprétation des dispositions combinées de l'article 5, paragraphe 3, et de l'article 2, sous f), de la directive 2002/58, de l'article 2, sous h), de la directive 95/46 ainsi que de l'article 6, paragraphe 1, sous a), du règlement 2016/679.

37 Éprouvant des doutes sur la validité, au regard de ces dispositions, de l'obtention, par Planet49, du consentement des utilisateurs du site Internet www.dein-macbook.de au moyen de la seconde case à cocher ainsi que sur l'étendue de l'obligation d'information prévue à l'article 5, paragraphe 3, de la directive 2002/58, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

" 1) a) Le consentement visé à l'article 5, paragraphe 3, et à l'article 2, sous f), de la directive [2002/58], lus conjointement avec l'article 2, sous h), de la directive [95/46], est-il valablement donné lorsque le stockage d'informations ou l'accès à des informations stockées dans l'équipement terminal de l'utilisateur est autorisé par une case cochée par défaut que l'utilisateur doit décocher pour refuser de donner son consentement ?

b) L'article 5, paragraphe 3, et l'article 2, sous f), de la directive [2002/58], lus conjointement avec l'article 2, sous h), de la directive [95/46], reçoivent-ils une application différente selon que les informations stockées ou consultées sont des données à caractère personnel ?

c) Dans les circonstances évoquées dans la [première question], sous a), le consentement visé à l'article 6, paragraphe 1, sous a), du règlement [2016/679] est-il valablement donné ?

2) Quelles sont les informations que le fournisseur de services doit donner à l'utilisateur au titre de l'information claire et complète voulue par l'article 5, paragraphe 3, de la directive [2002/58] ? La durée de fonctionnement des cookies et l'accès ou non de tiers aux cookies en font-ils partie ? "

Sur les questions préjudicielles

Observations liminaires

38 À titre liminaire, il convient d'examiner l'applicabilité de la directive 95/46 et du règlement 2016/679 aux faits en cause au principal.

39 Avec effet au 25 mai 2018, la directive 95/46 a été abrogée et remplacée par le règlement 2016/679, en vertu de l'article 94, paragraphe 1, de ce dernier.

40 Certes, cette date est postérieure à la date de la dernière audience qui s'est tenue devant la juridiction de renvoi, laquelle a eu lieu le 14 juillet 2017, ainsi qu'à la date à laquelle la Cour a été saisie de la demande de décision préjudicielle introduite par ladite juridiction.

41 Toutefois, la juridiction de renvoi a indiqué que, compte tenu de l'entrée en vigueur, le 25 mai 2018, du règlement 2016/679, sur lequel porte d'ailleurs une partie de la première question, il était probable que ce règlement doive être pris en compte au moment de trancher le litige au principal. En outre, ainsi que le gouvernement allemand l'a indiqué lors de l'audience devant la Cour, il n'est pas exclu que, dans la mesure où la procédure introduite par la fédération vise à faire cesser le comportement de Planet49 pour l'avenir, le règlement 2016/679 soit applicable ratione temporis dans le cadre du litige au principal en raison de la jurisprudence nationale relative à la situation juridique pertinente en matière d'actions en cessation, ce qu'il incombe à la juridiction de renvoi de vérifier (voir, s'agissant d'un recours de nature déclaratoire, arrêt du 16 janvier 2019, Deutsche Post, C 496/17, EU:C:2019:26, point 38).

42 Dans ces conditions, et eu égard au fait que, en vertu de l'article 94, paragraphe 2, du règlement 2016/679, les références faites, dans la directive 2002/58, à la directive 95/46 s'entendent comme faites audit règlement, il n'est pas exclu, en l'occurrence, que la directive 2002/58 s'applique conjointement soit avec la directive 95/46, soit avec le règlement 2016/679, en fonction de la nature des demandes de la fédération et de la période concernée.

43 Il y a donc lieu de répondre aux questions posées sur la base tant de la directive 95/46 que du règlement 2016/679.

Sur la première question, sous a) et c)

44 Par sa première question, sous a) et c), la juridiction de renvoi demande, en substance, si l'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 6, paragraphe 1, sous a), du règlement 2016/679, doivent être interprétés en ce sens que le consentement visé à ces dispositions est valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que l'utilisateur doit décocher pour refuser de donner son consentement.

45 À titre liminaire, il convient de préciser que, selon les indications figurant dans la décision de renvoi, les cookies qui sont susceptibles d'être placés sur l'équipement terminal d'un utilisateur qui participe au jeu promotionnel organisé par Planet49 comportent un numéro qui est attribué aux données d'enregistrement de cet utilisateur, lequel doit inscrire son nom et son adresse dans le formulaire de participation à ce jeu. La juridiction de renvoi ajoute que l'association de ce numéro et de ces données personnalise les données stockées par les cookies lorsque l'utilisateur recourt à l'Internet, si bien que la collecte de ces données au moyen de cookies relève d'un traitement de données à caractère personnel. Ces indications ont été confirmées par Planet49, qui a souligné dans ses observations écrites que le consentement correspondant à la seconde case à cocher est censé autoriser la collecte et le traitement de données à caractère personnel, et non d'informations anonymes.

46 Cela étant précisé, il y a lieu de relever que, conformément à l'article 5, paragraphe 3, de la directive 2002/58, les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un utilisateur n'est permis qu'à condition que l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46, une information claire et complète, entre autres sur les finalités du traitement.

47 À cet égard, il convient de rappeler qu'il découle des exigences tant de l'application uniforme du droit de l'Union que du principe d'égalité que les termes d'une disposition du droit de l'Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l'Union, une interprétation autonome et uniforme [arrêts du 26 mars 2019, SM (Enfant placé sous kafala algérienne), C 129/18, EU:C:2019:248, point 50, et du 11 avril 2019, Tarola, C 483/17, EU:C:2019:309, point 36].

48 En outre, selon une jurisprudence constante de la Cour, lors de l'interprétation d'une disposition du droit de l'Union, il y a lieu de tenir compte non seulement des termes de celle-ci et des objectifs qu'elle poursuit, mais également de son contexte ainsi que de l'ensemble des dispositions du droit de l'Union. La genèse d'une disposition du droit de l'Union peut également revêtir des éléments pertinents pour son interprétation (arrêt du 10 décembre 2018, Wightman e.a., C 621/18, EU:C:2018:999, point 47 ainsi que jurisprudence citée).

49 S'agissant des termes de l'article 5, paragraphe 3, de la directive 2002/58, il convient de relever que, si cette disposition prévoit expressément que l'utilisateur doit avoir " donné son accord " au placement et à la consultation de cookies sur son équipement terminal, ladite disposition ne contient pas, en revanche, d'indications concernant la manière dont cet accord doit être donné. Les termes " donné son accord " se prêtent toutefois à une interprétation littérale selon laquelle une action de l'utilisateur est nécessaire pour exprimer son consentement. À cet égard, il ressort du considérant 17 de la directive 2002/58 que le consentement d'un utilisateur, aux fins de cette directive, peut être donné selon toute modalité appropriée permettant à l'utilisateur d'indiquer ses souhaits librement, de manière spécifique et informée, notamment " en cochant une case lorsqu'il visite un site Internet ".

50 En ce qui concerne le contexte entourant l'article 5, paragraphe 3, de la directive 2002/58, il y a lieu de souligner que l'article 2, sous f), de cette directive, qui définit le " consentement ", au sens de celle-ci, renvoie, à cet égard, au " consentement de la personne concernée " figurant dans la directive 95/46. Le considérant 17 de la directive 2002/58 précise que le consentement d'un utilisateur, aux fins de cette directive, devrait avoir le même sens que le consentement de la personne concernée tel que défini et davantage précisé par la directive 95/46.

51 L'article 2, sous h), de cette dernière directive définit le " consentement de la personne concernée " comme étant " toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ".

52 Ainsi, comme l'a souligné M. l'avocat général au point 60 de ses conclusions, l'exigence d'une " manifestation " de volonté de la personne concernée évoque clairement un comportement actif et non pas passif. Or, un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur d'un site Internet.

53 Cette interprétation est corroborée par l'article 7 de la directive 95/46, qui prévoit une liste exhaustive des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite (voir, en ce sens, arrêts du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C 468/10 et C 469/10, EU:C:2011:777, point 30, ainsi que du 19 octobre 2016, Breyer, C 582/14, EU:C:2016:779, point 57).

54 En particulier, l'article 7, sous a), de la directive 95/46 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est " indubitablement " donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence.

55 À cet égard, il apparaît pratiquement impossible de déterminer de manière objective si l'utilisateur d'un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n'ait pas lu l'information accompagnant la case cochée par défaut, voire qu'il n'ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu'il visite.

56 Enfin, en ce qui concerne la genèse de l'article 5, paragraphe 3, de la directive 2002/58, il convient de constater que la version initiale de cette disposition prévoyait seulement l'exigence que l'utilisateur ait le " droit de refuser " le placement de cookies, après avoir reçu, dans le respect de la directive 95/46, une information claire et complète, entre autres sur les finalités du traitement. La directive 2009/136 a introduit une modification substantielle du libellé de cette disposition, en substituant à cette expression les termes " donné son accord ". La genèse de l'article 5, paragraphe 3, de la directive 2002/58 tend ainsi à indiquer que le consentement de l'utilisateur ne peut dorénavant plus être présumé et doit résulter d'un comportement actif de ce dernier.

57 Au regard des éléments qui précèdent, le consentement visé à l'article 2, sous f), et à l'article 5, paragraphe 3, de la directive 2002/58, lus conjointement avec l'article 2, sous h), de la directive 95/46, n'est dès lors pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet est autorisé au moyen d'une case cochée par défaut par le fournisseur du service, que l'utilisateur devrait décocher pour refuser de donner son consentement.

58 Il convient d'ajouter que la manifestation de volonté visée à l'article 2, sous h), de la directive 95/46 doit, notamment, être " spécifique ", en ce sens qu'elle doit porter précisément sur le traitement de données concerné et ne saurait être déduite d'une manifestation de volonté ayant un objet distinct.

59 En l'occurrence, contrairement à ce qu'a fait valoir Planet49, le fait pour un utilisateur d'activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l'utilisateur a valablement donné son consentement au placement de cookies.

60 L'interprétation qui précède s'impose, à plus forte raison, à la lumière du règlement 2016/679.

61 En effet, ainsi que l'a constaté, en substance, M. l'avocat général au point 70 de ses conclusions, le libellé de l'article 4, point 11, du règlement 2016/679, qui définit le " consentement de la personne concernée ", aux fins de ce règlement et, en particulier, de son article 6, paragraphe 1, sous a), visé par la première question, sous c), apparaît encore plus strict que celui de l'article 2, sous h), de la directive 95/46, en ce qu'il requiert une manifestation de volonté " libre, spécifique, éclairée et univoque " de la personne concernée, prenant la forme d'une déclaration ou d'" un acte positif clair " marquant son acceptation du traitement des données à caractère personnel la concernant.

62 Un consentement actif est ainsi désormais expressément prévu par le règlement 2016/679. Il importe de relever à cet égard que, selon le considérant 32 de ce règlement, l'expression du consentement pourrait se faire notamment en cochant une case lors de la consultation d'un site Internet. Ledit considérant exclut en revanche expressément qu'il y ait un consentement " en cas de silence, de cases cochées par défaut ou d'inactivité ".

63 Il s'ensuit que le consentement visé à l'article 2, sous f), et à l'article 5, paragraphe 3, de la directive 2002/58, lus conjointement avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679, n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet est autorisé par une case cochée par défaut que l'utilisateur doit décocher pour refuser de donner son consentement.

64 Il convient, enfin, de souligner que la juridiction de renvoi n'a pas saisi la Cour de la question de savoir si la circonstance que le consentement d'un utilisateur au traitement de ses données personnelles à des fins publicitaires conditionne la possibilité, pour celui-ci, de participer à un jeu promotionnel, comme cela semble être en l'occurrence le cas, selon les indications figurant dans la décision de renvoi, à tout le moins pour la première case à cocher, est compatible avec l'exigence d'un consentement " libre ", au sens de l'article 2, sous h), de la directive 95/46 ainsi que de l'article 4, point 11, et de l'article 7, paragraphe 4, du règlement 2016/679. Dans ces conditions, il n'y a pas lieu pour la Cour d'examiner cette question.

65 Eu égard à l'ensemble des considérations qui précèdent, il convient de répondre à la première question, sous a) et c), que l'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, lus conjointement avec l'article 2, sous h), de la directive 95/46, ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679, doivent être interprétés en ce sens que le consentement visé à ces dispositions n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

Sur la première question, sous b)

66 Par sa première question, sous b), la juridiction de renvoi cherche à savoir, en substance, si l'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679, doivent être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.

67 Comme il a été relevé au point 45 du présent arrêt, il ressort de la décision de renvoi que le placement des cookies en cause au principal participe d'un traitement de données à caractère personnel.

68 Cela étant précisé, il convient, en tout état de cause, de constater que l'article 5, paragraphe 3, de la directive 2002/58 fait référence au " stockage d'informations " et à " l'obtention de l'accès à des informations déjà stockées ", sans qualifier ces informations ni préciser que celles-ci devraient être des données à caractère personnel.

69 Ainsi que l'a constaté M. l'avocat général au point 107 de ses conclusions, cette disposition vise ainsi à protéger l'utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel.

70 Cette interprétation est corroborée par le considérant 24 de la directive 2002/58, selon lequel toute information stockée sur l'équipement terminal de l'utilisateur d'un réseau de communications électroniques relève de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Cette protection s'applique à toute information stockée sur cet équipement terminal, indépendamment du fait qu'il s'agisse ou non de données à caractère personnel et vise, notamment, comme il ressort de ce même considérant, à protéger les utilisateurs contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans l'équipement terminal de ces utilisateurs à leur insu.

71 Eu égard aux considérations qui précèdent, il convient de répondre à la première question, sous b), que l'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679, ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.

Sur la seconde question

72 Par sa seconde question, la juridiction de renvoi demande, en substance, si l'article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l'utilisateur d'un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d'avoir accès à ces cookies.

73 Ainsi qu'il ressort déjà du point 46 du présent arrêt, l'article 5, paragraphe 3, de la directive 2002/58 exige que l'utilisateur ait donné son accord, après avoir reçu, " dans le respect de la directive [95/46] ", une information claire et complète, notamment sur les finalités du traitement.

74 Comme l'a souligné M. l'avocat général au point 115 de ses conclusions, une information claire et complète doit permettre à l'utilisateur de déterminer facilement les conséquences du consentement qu'il pourrait donner et garantir que ce consentement soit donné en pleine connaissance de cause. Elle doit être clairement compréhensible et suffisamment détaillée pour permettre à l'utilisateur de comprendre le fonctionnement des cookies qui sont utilisés.

75 Or, dans une situation telle que celle en cause au principal, dans laquelle, selon les indications figurant dans le dossier soumis à la Cour, les cookies visent à recueillir des informations à des fins de publicité portant sur des produits des partenaires de l'organisateur d'un jeu promotionnel, la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d'avoir accès à ces cookies font partie de l'information claire et complète devant être fournie à l'utilisateur conformément à l'article 5, paragraphe 3, de la directive 2002/58.

76 À cet égard, il convient de relever que l'article 10 de la directive 95/46, à laquelle fait référence l'article 5, paragraphe 3, de la directive 2002/58, ainsi que l'article 13 du règlement 2016/679 énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant.

77 Ces informations comprennent notamment, en vertu de l'article 10 de la directive 95/46, outre l'identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l'égard de la personne concernée un traitement loyal des données.

78 Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l'expression " au moins " figurant à l'article 10 de la directive 95/46 que celles-ci ne sont pas énumérées de manière exhaustive. Or, l'information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l'exigence d'un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l'utilisateur sur les sites des partenaires publicitaires de l'organisateur du jeu promotionnel.

79 Cette interprétation est corroborée par l'article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant, notamment, sur la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée.

80 Quant à la possibilité ou non pour des tiers d'avoir accès aux cookies, il s'agit d'une information comprise dans les informations mentionnées à l'article 10, sous c), de la directive 95/46, ainsi qu'à l'article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

81 Eu égard aux considérations qui précèdent, il convient de répondre à la seconde question que l'article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l'utilisateur d'un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d'avoir accès à ces cookies.

Sur les dépens

82 La procédure revêtant, à l'égard des parties au principal, le caractère d'un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l'objet d'un remboursement.

Par ces motifs, la Cour (grande chambre) dit pour droit :

1) L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l'article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que le consentement visé à ces dispositions n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

2) L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679, ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.

3) L'article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l'utilisateur d'un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d'avoir accès à ces cookies.