Une question revient de plus en plus du côté des entreprises désireuses de trouver une astuce aux contraintes posées par la réglementation sur les cookies associé à la notion de consentement empruntée au RGPD : peut-on imposer un choix à l’internaute lors de son passage sur un site web ? « Etes-vous oui ou non d’accord pour que nous déposions un cookie sur votre machine ? Répondez ou partez ».

Dit autrement : l’internaute est-il en droit de ne pas répondre à la sempiternelle question « acceptez-vous nos cookies ? » ? Devoir choisir entre « j’accepte » et « je refuse » est-ce toujours bénéficier de la notion de consentement libre imposé par le RGPD ?

Soyons francs, la question est loin d’être simple en réalité et ne pourra être tranchée que par la succession des contentieux qui seront éventuellement tranchés par les juridictions nationales et européennes… On attend le positionnement d’une jurisprudence durable. C’est d’ailleurs son rôle : affiner l’analyse juridique des articles des textes existants.

Le futur règlement EPrivacy apportera-t-il une réponse plus évidente ? Difficile à dire tant que le texte définitif n’est pas voté. Mais on peut quand même en douter tant les références à la notion de consentement présente dans le RGPD sont nombreuses.

Et elles sont reprises dans le projet de rédaction actuelle du règlement Eprivacy.

Risquons-nous à une analyse…

L’article 4.11 du RGPD définit ainsi le consentement : « consentement » de la personne :

« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Intéressons-nous à la notion de liberté.

Un choix est-il libre quand on impose une alternative limitée ? A « oui » ou « non », ne manque-t-il pas toute une série de réponses possibles ? Et notamment le « oui mais ».

« Oui, mais plus tard », « oui mais pas sur tout », « oui mais pas aujourd’hui ».

Pour analyser un tel dispositif, il nous faut remonter aux sources du droit et ressortir nos cours de première année de Fac… Comment qualifier, juridiquement parlant, le dépôt d’un cookie ou pour être plus précis, le consentement donné au dépôt d’un cookie ?

Se présentent à nous deux options : le fait juridique ou l’acte juridique.

Il est acquis que la différence entre ces deux notions tient aux effets de droit qui y sont attachés. Dans l’hypothèse d’un fait juridique, les effets de droits ne sont pas produits par la volonté du sujet de droit, mais par la règle de droit elle-même (règlement, loi, traité international…) : le licenciement d’un salarié lui ouvre des droits : c’est un fait juridique. Ce fait juridique peut être volontaire ou involontaire.

Mais le sujet de droit ne recherchait pas forcément à produire les effets de droit attachés au fait par la règle de droit.

La situation est tout autre avec l’acte juridique : les effets de droit induits par un acte juridique découlent pleinement de la volonté du sujet de droit : je signe un contrat.

On retrouve dans cette hypothèse la notion de volonté (de consentement…).

Alors quid de ce dépôt de fichier (le cookie) ? Nous nous plaçons dans l’hypothèse ou un consentement est requis. Qui dit consentement, dit forcément « acte juridique ».

Le dépôt de cookie dans une telle hypothèse serait donc un acte juridique auquel j’ai consenti.

Or, si le dépôt du cookie est un acte juridique, mon consentement doit également être analysé à l’aune du consentement aux actes juridiques. Voilà ce que nous dit l’article 1100-1 du Code civil :

« Les actes juridiques sont des manifestations de volonté destinées à produire des effets de droit. Ils peuvent être conventionnels ou unilatéraux.
Ils obéissent, en tant que de raison, pour leur validité et leurs effets, aux règles qui gouvernent les contrats ».

On est donc sur le terrain ô combien important de la théorie de l’autonomie de la volonté dont Rousseau a su nous expliquer l’étendue et qui peuple les toutes premières heures de cours des étudiants en droit de première et deuxième année.

La jurisprudence qui est venue façonner cette notion depuis 1804 n’admet pas la moindre notion de contrainte, quelle qu’elle soit, lorsqu’il s’agit de considérer un consentement comme « libre ».

Revenons maintenant à l’hypothèse d’une navigation sur un site e-commerce par exemple.

Une navigation sans contrainte consisterait à pouvoir consulter le site web, sans obstacle. On peut donc s’interroger sur l’interdiction de pouvoir consulter le site web en question sans au préalable avoir du - donc être contraint - formaliser un choix entre des options imposées par l’éditeur dudit site web. C’est en effet l’éditeur qui choisit, seul, les options qui s’offrent à vous. Si celles-ci ne vous conviennent pas, vous devez quitter le site web.

La combinaison du considérant n°42 et de L’article 7.4 du RGPD fournit une grille de lecture pour évaluer la « qualité » du consentement fourni :
 Considérant n°42 : Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice,
 Article 7.4 : « Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cet article 7.4 évoque la notion de contrat. On a vu plus haut que le dépôt d’un fichier sur votre matériel (le cookie) est susceptible de relever de la qualification d’acte juridique. Il y aurait donc une cohérence juridique entre le consentement contractuel et le consentement au cookie évoqué par le RGPD.

Après avoir lu ces textes, sans doute faut-il alors se poser la question suivante pour tenter d’obtenir un début de réponse sur la conformité d’un choix imposé au dépôt de cookie : le dépôt de cookie est-il nécessaire à la fourniture du service (la consultation libre et sans contrainte du site web) ?

Si la réponse est oui, la contrainte de choix peut apparaître légitime.

Dans le cas contraire, la contrainte de choix semble imposée en violation de l’article 7.4 du RGPD, ce d’autant plus que le considérant n°32 ne laisse pas sans réponse l’acteur économique dès lors que l’absence de réponse de l’internaute équivaut à un refus (Considérant n°32 : « (…) Il ne saurait (…) y avoir de consentement en cas de silence (…) ou d’inactivité »).

Invoquer le silence ou l’inactivité, n’est-ce pas lui donner corps juridiquement ? Le législateur européen a en tout cas, c’est une certitude, envisagé ce cas de figure. Il répond donc à l’argument qui consisterait pour le site e-commerce à dire : « je veux un choix ! ». Laissez passer sans contrainte l’internaute - la « véritable liberté de choix » - et vous aurez votre réponse : elle sera négative car la règlementation vous autorise à formaliser cette déduction.

Etre libre dans cette analyse juridique c’est avoir la possibilité d’agir sans être contraint. Du tout. Or, imposer un choix, devoir choisir, c’est imposer une contrainte.

Ce faisant, on peut considérer qu’on interdit à l’internaute d’avoir recours à l’un des choix que lui offre le règlement : celui, justement, de ne pas choisir (pas de consentement en cas de silence).

Mais poussons un peu plus le raisonnement. Autorisons-nous à penser que le consentement au cookie est bien un acte juridique (postulat important vous l’avez compris). Si tel est bien le cas, quid d’un consentement obtenu par dépit, par fatigue, par envie de poursuivre sa navigation ? Le droit considère-t-il les situations dans lesquelles une personne a consenti pour des raisons qu’elle pensait bonne ou par erreur… par contrainte ?

Réponse oui et cela donne lieu - en tout cas en droit français - à une très large littérature : celle se référant à la théorie des vices du consentement. Attention, on doit, pour accepter d’envisager de piocher dans les arguments de cette théorie, accepter de considérer qu’un consentement est un acte juridique (débat lui aussi ouvert, restons prudents).

Mais si on accepte ce postulat, que nous apprend la théorie des vices du consentement ? D’abord qu’elle est posée de longue date par le Code civil : l’article 1130 dit ceci : « L’erreur, le dol et la violence vicient le consentement lorsqu’ils sont de telle nature que, sans eux, l’une des parties n’aurait pas contracté ou aurait contracté à des conditions substantiellement différentes.

Leur caractère déterminant s’apprécie eu égard aux personnes et aux circonstances dans lesquelles le consentement a été donné ».

Mettons de côté la violence. Il nous reste l’erreur et le dol.

Le dol, c’est la volonté de tromper. Et c’est l’article 1137 du Code civil qui en traite :

« le dol est le fait pour un contractant d’obtenir le consentement de l’autre par des manœuvres ou des mensonges ».

On distingue habituellement en jurisprudence, le « bon dol » (l’habileté d’un vendeur à mettre en avant ses produits par exemple) du « mauvais dol » (le mensonge, la tromperie volontaire).

Et l’erreur correspond (en simplifiant) à une vision erronée de la réalité pour celui qui consent. L’erreur pour être valablement retenue devra porter sur les qualités essentielles et déterminantes du contenu de l’acte juridique. On dit aussi qu’on doit pouvoir prouver que la personne ne pouvait éviter l’erreur (en raison de ses compétences professionnelles par exemple) et qu’il n’y avait aucun aléa dans le contrat. L’erreur, dit-on en jurisprudence, doit-être « excusable ».

Or lorsque le quidam de base consent à un cookie, sait-il seulement ce qu’est… un cookie ? Il en connaît ce qu’il a vaguement pu en entendre au 13h de TF1 entre le reportage sur la préservation de la recette centenaire de la Garbure dans les Pyrénées-Orientales et celui sur la pêche à pieds le long de la côte d’Opale… Soyons sérieux, rares sont les gens qui seraient en mesure d’expliquer de manière sérieuse le principe de fonctionnement d’un cookie.

Est-il illusoire alors de considérer que l’on fait consentir l’internaute à un acte juridique dont il n’est pas en mesure de comprendre la portée, puisqu’il n’est justement pas suffisamment expliqué ? La voie est ainsi ouverte à la caractérisation de l’erreur excusable et donc au vice du consentement.

Il faut se rappeler à ce stade que l’article 1100-1 du Code civil édicte dans son second alinéa que les actes juridiques

« (…) obéissent (…) pour leur validité et leurs effets, aux règles qui gouvernent les contrats ».

A chacun donc de s’interroger sur ces notions et la volonté délibérée de certains éditeurs d’y avoir recours pour capter de précieuses données personnelles.

La notion de consentement peut-elle aller puiser des réponses sur la validité de sa récolte dans le droit des contrats et son abondante jurisprudence ? C’est en tout cas le sens de cette analyse.

La question est très intéressante et pas seulement sur le plan juridique. Soyons suffisamment lucide pour énoncer qu’elle supporterait, pour être creusée, des arguments contraires comme dans tout bon débat juridique qui se respecte.

Les réponses viendront très probablement de la jurisprudence. La matière de la protection des données doit encore se façonner au fil du temps et mûrir pour trouver le juste équilibre entre contraintes économiques, techniques et protection des données personnelles.

Mais ce débat pourra se nourrir d’autres éléments, il est vaste !

Et on ne saurait d’ailleurs achever un argumentaire juridique sur l’analyse de la mise en place d’une pratique qui demeure avant toute autre considération, une pratique informatique, sans citer le fabuleux article premier de la loi fondatrice du 6 janvier 1978 :

« L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

On se détachera quelques instants de la mathématique du droit pour s’interroger de manière plus aérienne et philosophique sur le fait de savoir si la pratique du cookiewall s’inscrit ou non dans l’esprit de ce texte.

De la réponse à cette seule question devrait découler une prise de position assez nette.

Depuis 1957 et le Traité de Rome, l’Europe envisage son avenir autour de la notion de communauté, laquelle impose de faire cohabiter en bonne intelligence, impératifs économiques et respect des libertés individuelles. Ces deux notions s’entrechoquent régulièrement. C’est bien le cas avec la protection des données personnelles et on ne peut pas balayer d’un revers de main l’impérieuse nécessité des entreprises de continuer à exploiter celles-ci pour pérenniser parfois leur modèle économique.

Deux grands principes constituent des « murs porteurs » de l’Union Européenne : la libre circulation des personnes et la libre circulation des marchandises. Le RGPD est venu - contrairement à ce que beaucoup trop de monde pense - créer un troisième axe : celui de la libre circulation de la donnée personnelle.

Oui, le RGPD est un texte libéral et dès le considérant n°4, le législateur européen le rappelle :

« Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ».

L’objectif ? C’est le considérant n°7 qui le rappelle : « (…) susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur ».

La lecture attentive de ce texte, la maîtrise de ses concepts révèle un mode d’emploi, le postulat de l’acceptation d’un changement de logiciel pour utiliser les données personnelles à des fins économiques : on peut à peu près tout faire pourvu qu’on ne laisse pas le citoyen être un simple spectateur de la vie de ses propres données. Il doit en toute circonstances, tenir le rôle principal. Ou plus exactement : on doit le mettre en position d’être cet acteur. A lui ensuite de savoir s’il veut être dans un rôle actif ou passif.

Or, la pratique du cookiewall à l’évidence ne s’inscrit pas dans cette démarche de compromis entre principe de libre entreprise et protection des droits fondamentaux de la personne humaine.

L’inventeur du web, Tim Berners-Lee qui a refusé de breveter sa création, a écrit en 1999 dans son ouvrage, « Weaving the Web » :

« The Web is more a social creation than a technical one. I designed it for a social effect - to help people work together - and not as a technical toy. The ultimate goal of the Web is to support and improve our weblike existence in the world. We clump into families, associations, and companies. We develop trust across the miles and distrust around the corner. What we believe, endorse, agree with, and depend on is representable and, increasingly, represented on the Web. We all have to ensure that the society we build with the Web is of the sort we intend ».

Le cookiewall ne s’inscrit pas dans cette logique. Il défigure le web et dessert ceux qui le mette en pratique.

Loin d’être un mur porteur, il est une simple cloison fragile donnant sur la plus vilaine pièce de la maison, celle qu’on cache généralement aux invités quand on a refait tout le reste.

Ceux qui, parmi les décideurs, feront les premiers le pari d’abattre ces cloisons fragiles pour s’orienter avec détermination vers une logique d’inclusion de l’internaute dans une collaboration commerciale ouvertement revendiquée et assumée (« nous souhaiterions avoir vos données et voilà pourquoi, qu’en dites-vous ? ») poseront assurément les jalons de cette nouvelle économie numérique qui bâtit actuellement ses fondations sur les murs porteurs de la protection des données personnelles.

En complément de cet article, je vous conseille la lecture de l’article de Romain Bessuges-Meusy : "Consent Wall et Cookie Wall" [1].

Christophe Landat, Avocat au Barreau de Montpellier - Associé fondateur d'Axeptio, solution de recueil de consentements conformes au RGPD et de solutions de Cookies www.getavocat.fr