“Geen cookies zonder toestemming”, zegt het Europees Hof voor Justitie

Het Europees Hof voor Justitie bevestigde in een arrest van 1 oktober 2019 dat voor het plaatsen van cookies in beginsel altijd de voorafgaande vrije en geïnformeerde toestemming van de betrokkene vereist is en dat die toestemming niet kan blijken uit een vooraf aangevinkte checkbox. 

Geen cookies zonder toestemming

Toestemming vragen voor het plaatsen van cookies of niet?

De “cookiewet” is inmiddels 7 jaar oud en sinds haar ontstaan heeft ze weinig meer dan frustratie en verwarring gezaaid.  

De basisregel is nochtans niet moeilijk: voorafgaand aan het plaatsen van een cookie op iemands device heb je toestemming nodig van de betrokkene.  Volgens de Europese Richtlijn die aan de basis ligt van de cookiewet (Richtlijn 2002/58) moet die toestemming “vrij, specifiek en geïnformeerd” zijn.  Het enige geval waarin je geen voorafgaande toestemming nodig hebt, is als je cookies gebruikt die strikt noodzakelijk zijn om je website behoorlijk te laten functioneren.  Dat geldt overigens niet enkel voor cookies, maar dezelfde regels gelden voor alle vergelijkbare technieken zoals bijvoorbeeld fingerprinting.

Een pop-up banner bij het eerste bezoek aan een website waarin de toestemming wordt gevraagd om cookies te mogen plaatsen is met andere woorden echt wel noodzakelijk.  Dat betekent meteen ook dat de bezoeker vrij moet zijn om die toestemming niet te te geven en tóch je website te bezoeken. 

Nochtans zien we de voorbije jaren alle mogelijke creatieve oplossingen om toch maar geen expliciete toestemming te moeten vragen, gaande van eenvoudigweg geen toestemming vragen, over vooraf aangevinkte opt-ins tot een systeem van opt-outs.  In het licht van bovenstaande mag het duidelijk zijn dat een en ander meestal erg problematisch is.

Cookiewetgeving en GDPR

Om het nog ingewikkelder te maken, staat de cookiewetgeving niet op een eiland.  

Wie door middel van cookies persoonsgegevens wil verwerken, moet gelijktijdig en naast de cookiewet ook rekening houden met GDPR en moet in de meeste gevallen, afzonderlijk en naast de cookie opt-in nog een tweede opt-in bekomen voor het effectief gebruik van de betrokken persoonsgegevens.  

Dit subtiele onderscheid wordt duidelijk niet altijd door iedereen in de online marketing en e-commerce wereld goed begrepen. Zeer weinig bedrijven lijken volledig te begrijpen hoe GDPR en cookiewetgeving elkaar moeten aanvullen en hoe en wanneer persoonlijke gegevens kunnen worden verzameld door het gebruik van cookies en vergelijkbare technologie.

Wat heeft het Europees Hof hier nu precies mee te maken?

Wel, het Europees Hof moest recent enkele zeer pertinente vragen beantwoorden:

  • Mag een cookie opt-in vooraf aangevinkt zijn?
  • Is het daarbij relevant of er al dan niet persoonsgegevens onder GDPR verwerkt worden via de betreffende cookie?

Waarom moet het Europees Hof zich hierover buigen?

Het Duitse bedrijf Planet49 organiseert online promotionele wedstrijden en trekkingen. Wie wil deelnemen hieraan moet op een actiesite van Planet49 zijn of haar naam en adres invullen. Het invulformulier dat hiervoor gebruikt wordt, bevat twee checkboxen en een knop “Ik doe mee”.

Door het aanvinken van de eerste checkbox geeft de deelnemer toestemming om zijn of haar gegevens door te geven aan commerciële partners van Planet49.  Uit een linkje bij de checkbox blijkt dat het om maar liefst 57 bedrijven gaat, die je als deelnemer één per één kan uitvinken als je dat wil. Deelname aan de loterij is alleen mogelijk als de deelnemer deze eerste checkbox effectief aanvinkt.  

De tweede checkbox dient voor het bekomen van toestemming voor het plaatsen van cookies bij het eerste bezoek aan de website van Planet49. Die cookies hebben als doel het surfgedrag van de deelnemers te monitoren en op basis daarvan geïndividualiseerde reclame te sturen van de 57 partners.  Deze checkbox is vooraf aangevinkt.

En wat is het verdict?

Wel, het Hof van Justitie oordeelde in zaak C‑673/17 dat een vooraf aangevinkt selectievakje -voor zover daarover twijfel zou kunnen bestaan- géén geldige toestemming vormt onder de cookiewetgeving.

Wat interessant is, is dat het Hof uitgebreid de vergelijking maakt tussen GDPR enerzijds en cookieregels anderzijds.  Op basis van die vergelijking besluit het Hof dat toestemming of consent eigenlijk precies hetzelfde betekent onder beide regelgevingen: de bezoeker aan een website moet vrij zijn om ja of neen te zeggen, moet daarvoor zelf een actieve daad stellen (vakje aankruisen), moet voldoende geïnformeerd zijn over wat er met zijn gegevens gaat gebeuren (en welke cookies daarvoor gebruikt worden en hoe lang die bewaard worden) én hij of zij mag niet benadeeld worden voor het feit dat hij of zij geen opt-in geeft.

Bovendien bevestigt het Hof dat voor de verwerking van data door middel van cookies altijd de actieve toestemming van de betrokkene nodig is, ongeacht of er al dan niet persoonsgegevens bij betrokken zijn.

Wat betekent dit concreet?

De gevolgen zijn duidelijk: het plaatsen van cookies vereist altijd een actieve voorafgaande toestemming, tenzij het om noodzakelijke technische cookies gaat.

Dat betekent meteen ook dat iedereen die tot op heden impliciet uitging van het akkoord van de bezoeker “door het verdere bezoek aan onze website” niet in regel is, dat alle op opt-out gebaseerde cookiebanners niet in regel zijn, dat alle cookiebanners die één algemene opt-in voorzien zonder onderscheid per verwerking ook niet in regel zijn, … 

Tot nu toe was de Belgische Gegevensbeschermingsautoriteit niet erg actief in het opleggen van boetes, noch onder GDPR, noch voor het gebruik van cookies.  Op het vlak van GDPR zien we daar de voorbije weken en maanden alvast verandering in komen en met dit arrest in het achterhoofd, zal dat naar alle waarschijnlijkheid ook op het vlak van de cookieregels het geval zijn in de nabije toekomst…

De realiteit vandaag is overigens dat het cookiemodel onder grote druk staat. Consumenten zijn niet langer bereid om onbeperkte monitoring van hun online gedrag te accepteren en het wordt steeds moeilijker om opt-ins te verkrijgen.  In de tussentijd werkt de EU aan een volledige herziening van cookieregelgeving in de vorm van de toekomstige “ePrivacy-verordening”.  

Wat de impact van die ePrivacy verordening én van bijvoorbeeld Apple’s recente ITP 2.1 is op retargeting en affiliate marketing of op de huidige praktijken bij nieuwe versus terugkerende bezoekers, tijd om te converteren, marketing automatisering, op levenscyclus gebaseerde prospect of leadgeneratie, gepersonaliseerde inhoud, attributiemodellen, … leest u overigens in onze bijdrage in het eerstdaags te verschijnen boek “Obsessed” van Marc Bresseel en Renout Van Hove van Duval Union en Growth Agent.

Herbekijk je cookiebeleid

Wat bedrijven in afwachting eigenlijk moeten doen is hun cookiebeleid grondig herbekijken.  Onze vaststelling in de praktijk is dat heel wat bedrijven zelfs geen zicht hebben op welke cookies ze precies gebruiken, welke data daarmee verzameld worden en met wie die gedeeld worden.

Nochtans is dat een noodzaak, zowel onder GDPR als onder de cookiewet.  Het antwoord op de volgende vragen is essentieel voor elk bedrijf én moet gecommuniceerd worden aan de bezoekers van je website:

  • Welke cookies gebruiken we?
  • Wie is de uitgever daarvan? 
  • Hoe lang worden die cookies bewaard?
  • Met wie wordt de verzamelde data gedeeld?
  • Gaat het om persoonsgegevens?
  • Is de verwerking in het geval van persoonsgegevens “GDPR compliant”?
  • Hoe en wanneer vragen we om consent?
  • Is die consent vrij en geïnformeerd?

Precies om deze oefening te doorlopen, samen met een volledige technische audit van de gebruikte cookies op uw huidige website heeft Sirius Legal, samen met digital performance marketing agency Grava een gezamenlijke cookie audit uitgewerkt, waarbij we je website zowel technisch als juridisch doorlichten én optimaliseren.

Vragen over cookies of over onze cookie audit?  

Contacteer gerust vrijblijvend Bart Van den Brande op bart@siriuslegal.be of op 0486 901 931