Ou l’évolution du cadre légal encadrant l’usage des cookies
Est explicitement exclue par le Comité Européen de la Protection des Données (CEPD) et la CNIL, la pratique selon laquelle la poursuite par l’internaute de sa navigation, sur un site ou une application mobile, constitue une expression valable de son consentement aux cookies. Le 28 juin 2019, emboitant le pas du CEPD, la CNIL a rappelé que, pour installer les cookies, le recueil du consentement s’impose à tous responsables de sites, d’applications mobiles, régies publicitaires, réseaux sociaux, et éditeurs de solutions de mesure d’audience. Ces exigences figurent aussi dans la proposition de Règlement e-Privacy.
L’encadrement légal du recours aux cookies est essentiel puisque ces derniers permettent de collecter des données personnelles et des informations sur les internautes, comme leurs « traces numériques » sur les sites qu’ils consultent rendant par là même possibles l’analyse de leurs comportements, habitudes mais aussi leur profilage.
Ce phénomène de profilage plus ou moins poussé confère une valeur commerciale certaine aux données personnelles ainsi collectées.
La règlementation relative à la protection des données personnelles en matière de communication électronique évolue vers une protection accrue des internautes. Toutes les entreprises communiquant via Internet et en particulier les entreprises de e-commerce doivent se mettre rapidement en conformité non seulement avec le Règlement Général sur la Protection des Données personnelles (RGPD), entré en vigueur le 25 mai 2016, mais aussi avec les normes applicables aux tracking walls ou cookies.
La protection des Internautes, d’abord encadrée par une directive européenne adoptée en 1995, est désormais régie par la Directive Vie privée et communications électroniques adoptée en 2002 puis modifiée en 2009. La directive vise à garantir le plein respect des droits et libertés fondamentaux prévus aux articles 7 et 8 de la Convention Européenne des Droits de l’Homme (CEDH), et en particulier, le droit au respect de la vie privée et familiale. Les utilisateurs de services de communications électroniques accessibles au public sont protégés indépendamment des technologies utilisées.
La notion de cookie a été étendue en 2009 pour permettre une meilleure protection. Elle englobe les cookies, simples « témoin de connexion », et « toutes les technologies servant à collecter et à garder des données personnelles ». La Directive de 2009 prévoit que les utilisateurs doivent explicitement donner leur consentement et ce, après avoir reçu une information claire et complète, notamment sur les finalités du traitement. De plus, les éditeurs de sites internet doivent permettre aux utilisateurs de s’opposer au dépôt de cookies.
A ce propos, la CNIL rappelle que le consentement recueilli dans une telle situation dispose d’une validité de 13 mois maximum. L’obligation de recueil du consentement s’impose aux responsables de sites, aux éditeurs d’applications mobiles, aux régies publicitaires, aux réseaux sociaux, aux éditeurs de solutions de mesure d’audience, qui ont l’entière responsabilité de se mettre en accord avec la loi.
Cependant, certains cookies sont dispensés du recueil de ce consentement. Ainsi, les cookies et traceurs strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur n’ont pas à être autorisés par l’internaute. Il s’agit par exemple des cookies du panier d’achat pour un site commerçant ou de l’identifiant de cession.
Ainsi, pour qu’un site internet soit conforme, la Cnil rappelle qu’il convient de :
-
Le 28 juin 2019, la CNIL a rappelé, que le cadre juridique lié au consentement a récemment évolué. Elle emboite le pas du CEPD qui, dans ses recommandations du 28 novembre 2017 (révisées en 2018), adapte ses solutions au RGPD. Il exclut donc explicitement la pratique selon laquelle la poursuite par l’internaute de sa navigation, sur un site ou une application mobile, constitue une expression valable de son consentement.
La CNIL vient d’abroger le 4 juillet dernier son propre texte découlant des recommandations de 2013. Elle a adopté de nouvelles lignes directrices rappelant les règles de droit applicables en la matière. Une nouvelle durée de 12 mois est prévue pour laisser la possibilité aux éditeurs de sites internet de se conformer aux principes qui divergent de la version précédente (exposée plus haut). Ces règles sont détaillées dans notre article « Reprendrez-vous un cookie. Partie 2 ».
Enfin, la CNIL annonce que son site, cnif.fr, ne déposera plus aucun traceur tant que l’utilisateur ne donnera pas son consentement de façon active, selon la technique de l’opt-in promue par le RGPD.
La CNIL prend ainsi de l’avance sur la proposition de règlement e-Privacy, en débat au Parlement européen depuis 2017, qui prévoit entre
-
autres de généraliser cette technique.
Que prévoit le Règlement e-Privacy ?
Le 10 janvier 2017, la Commission Européenne a fait une proposition de règlement. Il devait abroger la directive de 2002, uniformiser la législation des États membres en matière de confidentialité des communications à l’ère numérique et encadrer particulièrement les cookies.
Ce règlement élargirait le champ d’application de la Directive 2002/58/CE, puisque seraient désormais visés les traitements des données de communications électroniques effectués en relation avec la fourniture et l’utilisation de services de communications électroniques dans l’Union, mais aussi les traitements des informations liées aux équipements terminaux des utilisateurs finaux.
Ce règlement s’articulerait donc avec les principes de RGPD pour une meilleure protection des données personnelles. S’agissant particulièrement des cookies et autres traceurs, l’objectif visé est d’éviter que les internautes aient constamment à répondre à des demandes d’autorisation par un clic sur un bandeau, lors de chacune de leurs visites sur un site internet.
Garantir la transparence des pratiques des sites internet est un enjeu majeur. Le règlement propose donc de simplifier les conditions de fourniture du consentement des internautes au dépôt des cookies et traceurs, en leur permettant d’accepter ou de refuser ce dépôt via la configuration de leur navigateur sans que cela ne nuise à la qualité de leur navigation.
Cette approche, que les législateurs européens tentent d’imposer est celle du Privacy by design, c’est-à-dire que dès leur conception, les sites mettant en place des traitements de données personnelles doivent adopter des mesures organisationnelles et techniques permettant de limiter aux stricts besoins du traitement, la collecte d’information.
Le Privacy by design est intimement lié à la technique de l’opt-in qui suppose que l’individu donne son consentement préalable et explicite avant d’être la cible d’une prospection directe. La Commission européenne tente de généraliser l’opt-in selon lequel, par exemple, l’internaute ne peut être le destinataire d’une newsletter publicitaire s’il ne l’a pas accepté en cochant la case « oui, je veux recevoir la newsletter » lors de son inscription. Bien entendu, il n’y aurait pas de consentement valable si la case était précochée et que l’individu devait la décocher, car il s’agit là « d’opt-out ».
Les difficultés de mise en œuvre de ces mécanismes et les sanctions élevées, similaires à celles prévues par le RGPD, expliquent en partie pourquoi le Règlement a été proposé le 10 janvier 2017, mais n’a toujours pas été adopté. Certains s’opposent violemment au texte arguant qu’il bloque l’innovation. Néanmoins, il y a de très fortes chances pour qu’il soit adopté, alors autant prendre de l’avance et se mettre dès maintenant en conformité, à l’image de la CNIL.
