Les bandeaux cookies sont de plus en plus fréquents sur les sites internet, un passage leur est consacré dans la politique de confidentialité. Parfois même, une politique leur est exclusivement consacrée.

*Ce bulletin est une mise à jour du bulletin Les cookies, une croquée dans la vie privée des internautes? Tour d'horizon canado-européen publié le 14 mai 2020. 

Mais qu'est-ce qu'un cookie? Aussi appelé « fichier témoin », « témoin de connexion » ou tout simplement « témoin », il s'agit d'un petit ensemble de données numériques sous forme de fichier texte, envoyé par un site web et stocké localement sur l'appareil (ordinateur, tablette, mobile) de l'utilisateur par le biais du navigateur web de ce dernier pendant qu'il navigue sur Internet, souvent à son insu.

Les cookies remplissent des fonctions souvent essentielles. Par exemple, les cookies d'authentification1 permettent de savoir si l'utilisateur est connecté, et avec quel compte2. Sans un tel mécanisme, le site ne saurait pas, par exemple, s'il doit exiger que l'utilisateur s'authentifie en se connectant. Les cookies de suivi, quant à eux, en particulier les cookies tiers, c'est-à-dire appartenant à un domaine différent de celui indiqué dans la barre d'adresse3, à la différence des cookies nominatifs correspondant au domaine mentionné dans la barre d'adresse, font l'objet d'une utilisation en croissance exponentielle. Ce type de cookie apparaît lorsque des pages web présentent du contenu provenant de sites tiers, comme des bannières publicitaires, et permet de suivre l'historique de la navigation de l'utilisateur afin de lui proposer des publicités pertinentes, adaptées à son profil4.

Mais s'agit-il pour autant de renseignements personnels ?

État des lieux au Canada

Notion de « renseignement personnel »

Au Canada, actuellement, seule la loi anti-pourriel (LCAP) mentionne expressément les cookies. Selon cette loi, il est interdit, dans le cadre d'activités commerciales, d'installer ou faire installer un programme d'ordinateur dans l'ordinateur d'une autre personne, sans avoir obtenu le consentement exprès de la personne (LCAP, art. 8.1) sauf s'il est raisonnable de croire, d'après son comportement, qu'elle consent à l'installation du programme, auquel cas son consentement est réputé présumé (LCAP, art. 10(8)).

Pour obtenir ce consentement, une information claire est nécessaire (LCAP, art. 10(3)) (voir ci-après).

En tout état de cause, le cookie ne pourrait-il pas être considéré comme un « renseignement personnel » aux termes des lois canadiennes relatives aux renseignements personnels, lesquelles trouveraient donc à s'appliquer? Autrement dit, un cookie peut-il constituer un « renseignement concernant un individu identifiable »5, ou existe-t-il « une possibilité sérieuse qu'un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris seul ou en combinaison avec d'autres renseignements disponibles »6? Bien que la jurisprudence canadienne commande en principe une interprétation large de la notion de renseignement personnel7, elle demeure à ce jour muette, tant au niveau de l'interprétation des lois provinciales que de la loi fédérale, sur la qualification des cookies en tant que renseignements personnels.

Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a, en 2011, statué sur cette question concernant les cookies de suivi. En effet, il a reconnu que la publicité comportementale en ligne et la personnalisation des publicités selon l'activité de navigation de l'individu, ce qui comprend notamment les habitudes d'achat, les « paniers » d'items enregistrés sur les plateformes de vente en ligne et l'historique des recherches, implique la collecte de ces renseignements par les tierces parties réceptrices des cookies de suivi. Ainsi, « compte tenu de la portée et de l'envergure des renseignements recueillis, des moyens puissants qui permettent de regrouper et d'analyser des données disparates et le caractère personnalisé de l'activité, il est raisonnable de penser qu'il y aura souvent une forte possibilité que les renseignements puissent être liés à une personne »8.

En d'autres termes, les renseignements collectés et transcrits dans les cookies, dans le cadre du suivi et du ciblage en ligne dans le but d'offrir des publicités personnalisées, « seront habituellement considérés comme des renseignements personnels »9 au sens de la Loi sur la protection des renseignements personnels et les documents électroniques10(« LPRPDE »).

Au Québec, la CAI considère que les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet (notamment via les cookies) sont soumises à la Loi sur la protection des renseignements personnels dans le secteur privé. Elles ont donc l'obligation de recueillir seulement les renseignements nécessaires à l'objet du dossier qu'elles détiennent sur une personne. De plus, elles doivent informer cette personne de la raison du dossier et de l'utilisation qui sera faite des renseignements ainsi collectés11.

Consentement

Rappelons que la LPRPDE, à l'instar des autres lois provinciales en la matière, exige généralement le consentement à la collecte, à l'utilisation et à la divulgation des renseignements personnels. Ce consentement peut être exprimé de façon explicite ou implicite12, selon le cas d'espèce, et certains autres facteurs tels que la sensibilité des renseignements en jeu.

Dans le cas spécifique de l'utilisation de cookies de suivi dans le cadre de la publicité comportementale en ligne, le Commissariat considère que le consentement implicite est valable lorsque certaines conditions sont réunies. Notamment, les internautes doivent être informés, au moment de la collecte ou avant celle-ci, des objectifs de la pratique d'une manière claire et compréhensible et des différentes parties impliquées dans la publicité comportementale en ligne. Les internautes doivent également pouvoir y renoncer, laquelle renonciation doit être durable dans le temps. Enfin, les renseignements personnels concernés ne doivent pas être sensibles, sans quoi le consentement explicite sera requis, et doivent être détruits ou anonymisés (de façon permanente et irréversible) dès que possible13.

Ainsi, parce que les « cookies zombies »14, les « supercookies »15 et les cookies de tiers n'offrent aucune possibilité de contrôle de la part de l'internaute, et donc aucune possibilité pour l'individu de consentir ou de retirer son consentement, le Commissariat considère que ce suivi ne devrait pas être entrepris parce qu'il ne peut être fait en conformité avec la LPRPDE.

Au Québec, il en ira bientôt différemment. Si une seule disposition de la Loi sur le secteur privé telle que modifiée par la Loi 25 modernisant des dispositions législatives en matière de protection des renseignements personnels (anciennement "Projet de Loi 64") vise expressément les témoins de connexion (le nouvel art. 9.1 énonçant que l'obligation de s'assurer que les paramètres de confidentialité d'un produit ou service technologiques offerts au public assurent par défaut le plus haut niveau de confidentialité, ne s'applique pas aux témoins de connexion), l'article 8.1. pourra trouver à s'appliquer dès lors qu'il réfère aux technologies permettant d'identifier, localiser ou d'effectuer un profilage.

8.1. En plus des informations devant être fournies suivant l'article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci doit, au préalable, l'informer :

1° du recours à une telle technologie;

2° des moyens offerts, le cas échéant, pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage.

Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

En d'autres termes, à compter du 22 septembre 2023, toute entreprise recueillant des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage, c'est-à-dire en ayant recours notamment à des pixels de tracking et de reciblage, devra au préalable l'informer :

  • du recours à une telle technologie ;
  • des moyens offerts pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage. En d'autres mots, ces technologies ne pourront être activées par défaut; ce sera à la personne concernée de les activer si elle le souhaite.

À cet égard, soulignons au passage deux éléments d'intérêt.

D'abord, l'introduction de la notion de « témoin de connexion » dans la Loi 25 se veut surprenante, alors que les lois canadiennes sur la protection des renseignements personnels nous ont habitué à suivre une approche principielle technologiquement neutre. L'article 9.1 de ce texte, transposant le concept de confidentialité par défaut dans la loi québécoise, ne réfère pas, contrairement à l'article 25 du RGPD16 à la notion de nécessité qui permet d'échapper au paramétrage des produits et services technologiques. En d'autres mots, seul le témoin de connexion, technologie certes utile mais vouée à être un jour remplacée, semble bénéficier d'une telle exemption17.

Ensuite, le nouvel article 8.1 semble être voué à entraîner de lourdes conséquences pour les entreprises, visant une notion très large de « profilage » - s'entendant de toute collecte ou utilisation de renseignements personnels permettant d'évaluer des caractéristiques de tout individu, incluant des employés – mais aussi toute fonction technologique permettant d'identifier ou de localiser ces individus. C'est donc dire que, par exemple, des dispositifs permettant la localisation d'employés via la collecte d'adresse IP ou des cartes d'accès, pour des raisons de sécurité, seraient assujettis à cette « désactivation » par défaut. Les organisations québécoises pourraient donc se retrouver dans la fâcheuse position où elles doivent demander l'activation de ces fonctions, malgré leur nature nécessaire dans certaines circonstances.

Aussi, les cookies qui, selon l'utilisation qui en est faite, permettent d'identifier un individu sont considérés comme des renseignements personnels et donc, soumis aux lois canadiennes relatives à la vie privée. Mais la situation est-elle réellement différente en Europe?

État des lieux au sein de l'Union Européenne

La qualification des cookies en données personnelles

Au sein de l'Union Européenne, la situation est quelque peu différente car un texte a vocation à s'appliquer aux cookies, via la notion de stockage d'informations : il s'agit de la directive e-Privacy18. Elle prévoit notamment que le dépôt de cookies ne peut se faire sans l'information préalable ni le consentement de l'utilisateur19. Toutefois, cette directive ne précise pas si le cookie est une donnée personnelle.

Pour en avoir cSur net, il convient de se tourner vers le RGPD20 qui prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identi?ants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identi?ants, par exemple des étiquettes d'identi?cation par radiofréquence. Ces identi?ants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identi?ants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des pro?ls de personnes physiques et à identi?er ces personnes»21.

En d'autres termes, pris isolément, un cookie ne serait pas, en tant que tel, une donnée personnelle. Mais combiné avec d'autres éléments, il en deviendrait une. Finalement, ce n'est pas autre chose que la définition de la donnée personnelle de l'article 4(1) du RGPD selon lequel « une personne physique qui peut être identi?ée, directement ou indirectement, notamment par référence à un identi?ant, tel qu'un nom, un numéro d'identi?cation, des données de localisation, un identi?ant en ligne, ou à un ou plusieurs éléments spéci?ques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Cette position a été confirmée récemment par la Cour de justice de l'Union européenne22:

« 45. [...] les cookies qui sont susceptibles d'être placés sur l'équipement terminal d'un utilisateur qui participe au jeu promotionnel organisé par Planet49 comportent un numéro qui est attribué aux données d'enregistrement de cet utilisateur, lequel doit inscrire son nom et son adresse dans le formulaire de participation à ce jeu. La juridiction de renvoi ajoute que l'association de ce numéro et de ces données personnalise les données stockées par les cookies lorsque l'utilisateur recourt à l'Internet, si bien que la collecte de ces données au moyen de cookies relève d'un traitement de données à caractère personnel ».

« 67. Comme il a été relevé au point 45 du présent arrêt, il ressort de la décision de renvoi que le placement des cookies en cause au principal participe d'un traitement de données à caractère personnel ».

Il en résulte que si le cookie n'est pas une donnée personnelle, seule la directive e-Privacy s'appliquera. En revanche, si le cookie est une donnée personnelle, la directive e-privacy et le RGPD trouveront à s'appliquer. Cela ne pose pas de problème dès lors que la directive e-Privacy23 fait déjà de nombreux renvois au prédecesseur du RGPD, la directive 95/4624. En effet, les dispositions de la directive e-Privacy et celles du RGPD sur le consentement «ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679 »25.

Conséquences en terme de consentement et d'information préalable

Il en résulte que pour déposer des cookies sur le terminal d'un utilisateur, il conviendra d'obtenir son consentement préalable. Dans ce cas, le consentement constituera la base juridique du traitement en question26 et devra « répondre à toutes les exigences du consentement telles que prévues par l'article 5, paragraphe 3, de la directive. 4(11) et 7 du RGPD »27, à savoir que « le consentement doit être libre, spécifique et informé et constitue une indication non ambiguë des souhaits de la personne concernée. [...]. Ce consentement doit être fourni séparément, à des fins spécifiques [...]. Le consentement doit être aussi facile à retirer qu'il est donné. Il doit en être de même lorsque le consentement est nécessaire pour se conformer à la directive "vie privée et communications électroniques"»28.

Dans ces circonstances, une case précochée sera donc considérée comme illégale concernant le dépôt de cookies. En effet, pour démontrer du consentement de l'utilisateur, il faut un comportement actif de sa part. Or, il est « pratiquement impossible de déterminer de manière objective si l'utilisateur d'un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n'ait pas lu l'information accompagnant la case cochée par défaut, voire qu'il n'ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu'il visite »29.

De même, la pratique du scrolling ne vaut pas non plus consentement actif de l'utilisateur : « le fait pour un utilisateur d'activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l'utilisateur a valablement donné son consentement au placement de cookies »30. En d'autres termes, la poursuite de la navigation ne vaut plus, en Europe, consentement valide au dépôt de cookies, à l'instar des « cookie walls » et du fait que la fourniture du service repose sur le fait que la personne concernée clique sur le bouton « Accepter les cookies ». Cette position a été confirmée par les récentes lignes directrices du Comité européen de la protection des données sur le consentement.31.

L'idée derrière cette décision est qu'il y ait autant de consentements que de finalités distinctes en vertu du RGPD (le consentement doit être spécifique)... Et c'est impossible de s'assurer de cela avec une case précochée ou un scrolling. Cette position a encore été réitérée par l'avocat général Szpunar, dans ses conclusions sur l'affaire Orange Romania32.

Si le consentement doit résulter d'un comportement actif de l'utilisateur, encore faut-il que ce dernier soit parfaitement informé. Cette information doit notamment contenir la durée de traitement dès lors que « l'information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l'exigence d'un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l'utilisateur sur les sites des partenaires publicitaires de l'organisateur du jeu promotionnel »33.

Cette information doit également indiquer si des tiers peuvent avoir accès aux cookies puisqu'il « s'agit d'une information comprise dans les informations mentionnées à l'article 10, sous c), de la directive 95/46, ainsi qu'à l'article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données »34.

A n'en pas douter, l'information relative aux cookies devra être précisée. Il est d'ores et déjà possible de voir certains sites internet contenant un bandeau cookies avec un lien vers la liste des partenaires.

***

Ce tour d'horizon des approches canadienne et européenne en matière de protection de la vie privée quant à l'encadrement de l'utilisation des cookies nous permet de remarquer certaines ressemblances et divergences entre les deux. Alors qu'il semble y avoir consensus sur la qualification éventuelle des cookies en tant que « renseignements personnels » ou « données à caractère personnel », les effets juridiques découlant de cette qualification diffèrent. Bien qu'au Canada, sous réserve des spécificités des lois provinciales lorsqu'applicables, le consentement implicite soit valable mais à plusieurs conditions, le consentement actif est de mise en Europe. Alors que la LPRPDE sera réformée dans l'année à venir, il sera intéressant de voir comment le législateur canadien balancera ces inconvénients et, notamment, s'il adoptera l'approche européenne. Fasken est là pour vous assister et est en mesure de trouver des solutions pratiques qui respectent à la fois les lois relatives à la protection des renseignements personnels et/ou anti-pourriel, aussi bien au Canada qu'en Europe (lois actuelles et à venir).

Footnote

1. Commissariat à la protection de la vie privée du Canada, Les témoins et le suivi sur le Web, mai 2011 https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/protection-de-la-vie-privee-en-ligne-surveillance-et-temoins/temoins/02_05_d_49/.

2. Commissariat à la protection de la vie privée du Canada, Foire aux questions sur les témoins, mai 2011, https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/protection-de-la-vie-privee-en-ligne-surveillance-et-temoins/temoins/foire-aux-questions-sur-les-temoins/.

3. Supra, note 1.

4. À titre informatif, une autre pratique courante propre aux environnements applicatifs consiste à utiliser l'identifiant unique d'appareil, qui prend la forme d'une série de caractères alphanumériques et permettant d'identifier, de manière unique, la plupart des appareils mobiles disponibles sur le marché. Il est possible d'accumuler variété d'informations sur les utilisateurs par le biais d'applications mobiles et de les rattacher à leur identifiant unique d'appareil. Lorsque ces renseignements sont ainsi collectés, ils peuvent être associés à d'autres renseignements collectés auparavant avec ce même identifiant, celui-ci étant généralement beaucoup plus persistant dans le temps que les cookies. Voir, par exemple : Commissariat à la protection de la vie privée du Canada, Rapport de conclusions en vertu de la LPRPDE n° 2013-017, « Apple est sommée de fournir davantage de précisions sur l'utilisation et la communication des identifiants uniques d'appareils aux fins de la publicité ciblée ».

5. Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5, art. 2(1).

6. Gordon c. Canada (Ministre de la Santé), 2008 CF 258, par. 33.

7. À cet effet, voir notamment : Canada (Commissaire à l'information) c. Canada (Bureau canadien d'enquête sur les accident de transport et de la sécurité des transports), 2006 CAF 157, par. 34.

8. Commissariat à la protection de la vie privée du Canada, Lignes directrices sur la protection de la vie privée et la publicité comportementale en ligne, Décembre 2011, https://www.priv.gc.ca/fr/sujets-lies-a-la-protection- de-la-vie-privee/technologie/protection-de-la-vie-privee-en-ligne-surveillance-et-temoins/pistage-et- publicite/gl_ba_1112/.

9. Id.

10. Supra, note 4.

11. Commission d'accès à l'information, Publicité ciblée et protection des renseignements personnels

12. À noter que la Loi canadienne anti-pourriel, entrée en vigueur en 2014 et régissant plutôt les pourriels et autres menaces électroniques non nécessairement reliées à la vie privée, interdit à une partie d'installer tout type de programme informatique sur l'ordinateur d'une autre personne dans le cadre d'une activité commerciale sans avoir préalablement obtenu son consentement exprès, après avoir été informée de la finalité pour laquelle le consentement est demandé et de l'identité de la partie qui demande ce consentement. La loi pose également une présomption de consentement exprès, en son article 10(8): une personne peut également être réputée avoir expressément consenti à l'installation de cookies si son comportement est tel qu'il est raisonnable, dans les circonstances, de déduire qu'elle y a consenti.

13. Supra, note 8.

14. Un cookie zombie est un cookie qui est automatiquement recréé après avoir été supprimé. Pour ce faire, le contenu du cookie est stocké à plusieurs endroits, tels que l'objet partagé Flash Local, le stockage Web HTML5 et d'autres endroits c&ococirc;té client et même côté serveur.

15. Un supercookie est un cookie ayant pour origine un domaine de premier niveau (tel que .com) ou un suffixe public (tel que .co.uk). Les cookies ordinaires, en revanche, ont une origine d'un nom de domaine spécifique, comme par exemple .com. Les supercookies peuvent constituer un problème de sécurité potentiel et sont donc souvent bloqués par les navigateurs web. S'il est débloqué par le navigateur, un attaquant qui contrôle un site web malveillant peut créer un supercookie et potentiellement perturber ou se faire passer pour un utilisateur légitime pour un autre site web qui partage le même domaine de premier niveau ou suffixe public que le site web malveillant.

16. CEPD, Lignes directrices 4/2019 relatives à l'article 25 Protection des données dès la conception et protection des données par défaut  : « 42. Le responsable du traitement devrait choisir et répondre de la mise en Suvre des paramètres et des options de traitement par défaut, de manière à ce que seul le traitement qui est strictement nécessaire pour atteindre la finalité licite prévue soit effectué par défaut. Dans ce contexte, les responsables du traitement doivent s'appuyer sur leur évaluation de la nécessité du traitement au regard des fondements juridiques visés à l'article 6, paragraphe 1. Il s'ensuit que, par défaut, le responsable du traitement ne doit ni collecter plus de données que nécessaire, ni traiter les données collectées plus qu'il n'est nécessaire pour atteindre ses finalités, ni conserver les données plus longtemps que nécessaire. L'exigence fondamentale est que la protection des données soit intégrée par défaut dans le traitement ».

17. À cet égard, les débats parlementaires précédant l'adoption d'un amendement à l'article 8.1, visant à inscrire le principe de confidentialité par défaut à l'égard des fonctions technologiques qui y sont énoncées, font référence à des situations où, bien que la fonctionnalité de localisation soit nécessaire à la prestation d'un service technologique, que cette activation soit par défaut désactivée (Journal des débats de la Commission des institutions, Le mercredi 10 mars 2021 - Vol. 45 N° 123).

18. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). A noter que cette directive est en cours de modification et deviendra un règlement (Proposition de Règlement du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques») COM/2017/010 final - 2017/03 (COD)).

19. Directive e-Privacy, art. 5(3) : « 5. (3). Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ».

20. RGPD, 2016/679.

21. RGPD, consid. 30.

22. CJUE, 1er octobre 2019, aff. C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV contre Planet49 GmbH (ci-après "Planet 49").

23. Ainsi que le projet de règlement e-Privacy précité: « La présente proposition constitue une lex specialis par rapport au RGPD, qu'elle précisera et complétera en ce qui concerne les données de communications électroniques qui peuvent être considérées comme des données à caractère personnel. Toutes les matières relatives au traitement de ces données, qui ne sont pas spécifiquement couvertes par la proposition, le sont par le RGPD. L'harmonisation avec le RGPD a entraîné l'abrogation de certaines dispositions comme les obligations en matière de sécurité figurant à l'article 4 de la directive «vie privée et communications électroniques» (exposé des motifs, point 1.2).

24. Voir, par exemple, directive e-Privacy, consid. 17 « Aux fins de la présente directive, le consentement d'un utilisateur ou d'un abonné, que ce dernier soit une personne physique ou morale, devrait avoir le même sens que le consentement de la personne concernée tel que défini et précisé davantage par la directive 95/46/CE. Le consentement peut être donné selon toute modalité appropriée permettant à l'utilisateur d'indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu'il visite un site Internet ».

25. CJUE, 1er octobre 2019, Planet 49, par. 71. Voir également CEPD, Guidelines 05/2020 on consent under Regulation 2016/679, 4 mai 2020, par. 6

26. CEPD, Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications Version 1.0 Adopted on 28 January 2020, par. 15

27. Planet 49., par. 15

28. Ibid., par. 46 and 47.

29. CJUE, 1er octobre 2019, Planet 49, par. 55.

30. Ibid., par. 59.

31. CEPD, Guidelines 05/2020 on consent under Regulation 2016/679, 4 mai 2020, Exemple 16.

32. Conclusions de l'avocat Général M. Maciej Szpunar, 4 mars 2020, Affaire C-61/19, Orange România SA c. Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), par. 44 et 45. Voir également Arrêt de la CJUE, 11 novembre 2020, Affaire C-61/19, Orange Romania SA contre Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (ANSPDCP), par. 37 et 46.

33. CJUE, 1er octobre 2019, Planet 49, par. 78.

34. Ibid., par. 80. Voir également par. 81.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.