Dans une affaire récente, la Cour de justice de l'UE a statué que les "données" qui peuvent révéler des "données sensibles" doivent être considérées comme des "données sensibles".
Jusqu'à présent, les données relatives aux cookies ont toujours été traitées comme des données à caractère personnel en vertu du GDPR et non comme des données sensibles. Mais que se passerait-il si les cookies étaient effectivement considérés comme des données sensibles à la lumière de cet arrêt ? Quelles en seraient les conséquences ?
Dans cet article, nous expliquons pourquoi ce scénario n'est pas farfelu et pourquoi il aurait un impact profond sur la façon dont nous utilisons les cookies.
- Quel est l'objet de l'affaire ?
- Que signifie cet arrêt ?
- Les implications pratiques
- Qu'est-ce que cela signifie pour les cookies ?
- Réflexions finales
Entrons dans le vif du sujet
Quel est l'objet de l'affaire ?
L'affaire en question a été portée devant les tribunaux par le directeur d'un établissement lituanien bénéficiant d'un financement public. En vertu de la loi lituanienne sur les conflits d'intérêts, il était tenu de fournir certaines informations personnelles - notamment le nom de son conjoint - à une commission d'éthique en vue de leur publication.
Le directeur a refusé de fournir ces informations. Il a fait valoir que la divulgation du nom de son partenaire sur un site web accessible au public révélerait indirectement son orientation sexuelle, qui constitue une donnée sensible au sens du règlement GDPR.
Il a porté l'affaire devant un tribunal administratif, puis devant la Cour de justice de l'Union européenne qui a posé une question préjudicielle. La Cour a finalement décidé que les données dont les données sensibles peuvent être déduites doivent elles-mêmes être traitées comme des données sensibles au sens du GDPR. 1
Que signifie cet arrêt ?
Le GDPR protège les données personnelles en général mais établit des règles plus strictes pour les catégories de données particulièrement sensibles, telles que les données de santé, les opinions politiques, les croyances religieuses et l'orientation sexuelle2. [Comme l'a explicitement noté la Cour, le nom d'une personne n'est pas, en soi, une donnée sensible. Cependant, ces données peuvent révéler l'orientation sexuelle de la personne, ce qui est effectivement une donnée sensible. C'est pourquoi la Cour a estimé que le nom du partenaire d'une personne pouvait être considéré comme une donnée sensible.
Cet arrêt ouvre une grande boîte de Pandore. De très nombreuses données personnelles ne sont pas sensibles en elles-mêmes mais peuvent révéler des informations sensibles.
Les implications pratiques
Le secteur de la publicité en ligne recueille actuellement d'énormes quantités de données pour établir le profil des internautes en vue de publicités personnalisées, dont certaines ciblent les utilisateurs en fonction de leur orientation sexuelle, de leur état de santé et de leurs convictions politiques (ou d'autres propriétés sensibles de ce type).
Il est difficile de croire qu'aucune des données traitées pour ce type de publicité n'est susceptible de révéler des informations sensibles. C'est particulièrement vrai pour les grandes entreprises technologiques axées sur les données, comme Google ou Facebook. Lorsque de grandes quantités de données personnelles sont combinées et introduites dans leurs algorithmes sophistiqués basés sur l'IA, même des informations apparemment "neutres" peuvent révéler des données sensibles sur un utilisateur.
L'impact de cet arrêt pourrait ne pas se limiter aux grandes entreprises technologiques. Supposons qu'un site web utilise des cookies de tiers. Les habitudes de navigation d'un utilisateur ne sont pas des données sensibles en soi, mais il est facile de penser à des exemples où des déductions sensibles peuvent être tirées de ces cookies. Que se passerait-il si l'utilisateur visitait des sites web d'information sur des problèmes de santé spécifiques, des communautés en ligne liées à la santé mentale ou des sites web hébergeant de la pornographie ? Et qu'en est-il des cookies de première partie traités par ces "sites web sensibles" ?
À l'heure actuelle, il est difficile de deviner quelle sera l'ampleur de l'application de cet arrêt dans la jurisprudence future. Mais à la lumière du raisonnement de la Cour, il est difficile de soutenir qu'aucune donnée sensible ne serait traitée dans aucun des scénarios susmentionnés.
Il en va de même pour la communication des données à des tiers : si un site web traite des données sensibles relatives aux cookies par l'intermédiaire de Google Analytics, le site web et Google seraient respectivement le responsable du traitement et le sous-traitant des données sensibles.
Qu'est-ce que cela signifie pour les cookies ?
Davantage de données peuvent être considérées comme sensibles et seront soumises à des règles plus strictes en vertu du GDPR. En fait, certaines opérations de traitement des données pourraient ne plus être légales en vertu du règlement plus strict sur les données sensibles.
Si les données des cookies - ou du moins certaines d'entre elles - étaient considérées comme des données sensibles, elles nécessiteraient le consentement explicite de l'utilisateur 3 - c'est-à-dire une forme "renforcée" du consentement "de base" prévu par le GDPR. Il existe d'autres moyens de se conformer, mais d'un point de vue pratique, l'obtention du consentement explicite de l'utilisateur sera la seule option dans la plupart des scénarios.
Cela peut sembler anodin puisque le consentement de l'utilisateur est déjà obligatoire pour les cookies en vertu de la directive "vie privée et communications électroniques"4. [Cependant, le consentement à l'utilisation des cookies est recueilli d'une manière qui n'est pas idéale, c'est le moins que l'on puisse dire. La "lassitude des cookies" est un phénomène bien connu qui pousse la plupart des utilisateurs à accepter les politiques en matière de cookies sans même cliquer dessus, et encore moins les lire. En outre, de nombreuses bannières de cookies utilisent des conceptions trompeuses pour rendre le refus de consentement de l'utilisateur aussi ennuyeux que possible. Compte tenu de l'exigence générale du GDPR selon laquelle le consentement doit être libre et éclairé 5, ces pratiques sont problématiques, et c'est un euphémisme.
Si les cookies - ou du moins les cookies de certains sites web - devaient à l'avenir nécessiter un consentement explicite, les autorités de contrôle pourraient adopter une position plus stricte sur les cookies en général et commencer à prendre plus au sérieux les exigences en matière de consentement "de base". Même si les autorités ne vont pas jusqu'à exiger un consentement explicite, le récent arrêt et le débat qu'il a suscité pourraient mettre en lumière les nombreuses lacunes de la mise en œuvre des cookies.
Réflexions finales
À l'heure actuelle, personne ne peut évaluer avec précision l'impact futur de l'arrêt, étant donné qu'il n'existe pas encore de lignes directrices ou d'autres cas de jurisprudence. Nous n'avons pas de boule de cristal, mais nous avons de bonnes raisons de penser que cet arrêt fera des vagues dans le paysage juridique.
Si l'arrêt est adopté de manière générale ou non, nous pensons qu'il ne s'agit pas seulement de rester dans le cadre de la loi. Cela va plus loin. Nous pensons que tout propriétaire de site web doit respecter la vie privée de ses visiteurs.
Nous croyons en la création d'un web indépendant et convivial pour les visiteurs de sites web. C'est pourquoi nous avons créé Simple Analytics, une alternative à Google Analytics respectueuse de la vie privée, qui n'utilise pas de cookies et ne collecte aucune donnée personnelle, tout en fournissant les informations dont vous avez besoin. Si vous vous sentez concerné, n'hésitez pas à nous essayer.
1 : La Cour a en fait fait référence à la fois au GDPR et à l'ancienne directive sur la protection des données dans cette affaire, mais a déclaré qu'il n'y avait pas de différence significative entre les articles pertinents du GDPR et de la directive. Il n'y a donc aucun risque à traiter cette affaire comme une affaire relevant du GDPR, comme nous le faisons dans notre article 2 : Art. 9 DU GDPR 3 : Art. 9(2)(a) GDPR 4 : Article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136 5 : Article 4, paragraphe 11, du RGPD.