Mise en place de la réglementation européenne sur les cookies

« Ce site Internet utilise des cookies ». Voici une phrase que les internautes commencent à connaître par cœur. Les administrateurs de sites Internet doivent être transparents en ce qui concerne l’utilisation des données utilisateurs. D’après la directive européenne dite « paquet télécom », il faut que les internautes en soient informés et qu’ils donnent pleinement leur consentement via une procédure dite d’opt-in au moins pour le suivi des cookies. Cela a été récemment confirmé par la Cour de justice de l’Union européenne : ils doivent donner un « consentement actif » avant que les cookies ne puissent être installés et doivent ainsi disposer de la possibilité de ne pas être tracés lorsqu’ils visitent un site Internet.

L’entrée en vigueur du RGPD en mai 2018 a aussi modifié la réglementation en France notamment concernant la récolte et le traitement des données personnelles. Mais concernant précisément les cookies, c’est l’e-privacy qui va être juridiquement contraignante. Elle a été présentée officiellement par l’UE le 10 janvier 2017 et il est prévu qu’elle vienne compléter de manière détaillée le RGPD en particulier concernant l’application des cookies. Mais elle ne doit pas entrer en vigueur avant 2020 et remplacera alors la directive de l’UE sur les cookies, précisant et complétant la règlementation actuelle. Mais quel est l’état actuel de la réglementation ?

Arrêt de la Cour de justice de l’Union européenne : le consentement doit être actif

La justice européenne a rendu une décision le 1er octobre 2019 sur le consentement pour l’utilisation des cookies. En effet, la Fédération allemande des organisateurs de consommateurs avait lancé une procédure contre la société Planet49 GmbH, cette dernière avait créé un jeu promotionnel en ligne ou pour y participer, les internautes devaient cocher deux cases. Hors la seconde était déjà cochée par défaut et visait à obtenir l’autorisation pour installer des cookies sur leur ordinateur, posant ainsi problème. Après avoir été saisie, la Cour fédérale de justice allemande (Bundesgerichtshof) a par la suite interrogé la justice européenne afin d’avoir des précisions sur l’interprétation des textes européens.

La réponse de la Cour de justice de l’UE est claire : « le consentement que l’utilisateur doit donner pour le placement et la consultation de cookies sur son équipement n’est pas valablement donnée au moyen d’une case cochée par défaut ». Ainsi les utilisateurs doivent pouvoir cocher la case eux-mêmes et la Cour souligne que le consentement doit être spécifique, c’est ainsi un pas de plus vers l’obligation de recourir à l’opt-in. La Cour a aussi à nouveau exprimé le fait que les internautes devaient être informés de toute utilisation des cookies et les exploitants de sites Web doivent fournir des informations sur la durée de validité des fichiers et dans quel but ils sont stockés.

Cependant il faudra certainement attendre la mise en application de l’e-Privacy pour avoir plus de clarté concernant le traitement des cookies en France. En effet, il existe des cookies sans lesquels un site Web ne peut fonctionner correctement et pour de nombreux professionnels et acteurs du Web, seuls les cookies publicitaires relèvent du récent jugement européen.

Qu’est-ce qu’un cookie et quelles sont les données collectées ?

Les cookies (ou les traceurs pour être plus exact) sont des fichiers textes qui sont téléchargés dans le navigateur d’un site Internet sur l’ordinateur d’un internaute. Ils sauvegardent les données relatives à la visite d’un site Web, ce qui a pour conséquence d’améliorer son ergonomie. Pour citer quelques exemples, un navigateur garde en mémoire les informations de connexion, les identifiants voire les langues de préférence, ce qui permet aux internautes de ne pas avoir à constamment configurer leur programme. Au-delà de l’aspect pratique, les critiques de ce système soulignent le fait que les cookies sont incompatibles avec une politique stricte de confidentialité. En effet, la plupart des cookies sont appliqués afin de pointer certains aspects du comportement des utilisateurs et par exemple aider les acteurs du Web à mieux cibler leurs publicités.

Un cookie est composé d’une donnée concernant la durée de vie d’un fichier texte mais aussi d’un numéro généré au hasard dont le but est qu’il soit reconnu par votre ordinateur. En règle générale, la sauvegarde de cookies est anonymisée. Les données relatives aux personnes peuvent par la suite être collectées si la page correspondante exige un identifiant.

Remarque

Les données stockées dans un fichier texte ne peuvent être lues que par le serveur Web qui a configuré le cookie.

Que prévoit la directive européenne sur les cookies ?

La directive de l’Union européenne 2009/136/CE vise à améliorer et à renforcer la protection des données des utilisateurs sur Internet. Elle prévoit en substance que les visiteurs d’un site Web soient informés de l’utilisation de cookies grâce à une indication relativement compréhensible, et qu’ils doivent donner leur consentement. Il est avant tout question ici des cookies publicitaires qui sont utilisés dans le cadre du reciblage mais également pour les analyses marketing et pour les réseaux sociaux. Il est possible que les cookies soient appliqués sans autorisation des utilisateurs s’ils sont jugés techniquement nécessaires pour la délivrance d’un service fourni par le site Internet, et expressément demandé par l’abonné ou l’utilisateur. Ces données sont par exemple les configurations de langues, les identifiants, les paniers d’achat voire les cookies flash pour la lecture de contenu multimédia.

Voici un aperçu des cookies nécessitant une information préalable et une demande de consentement :

  • Les cookies liés aux opérations publicitaires ;
  • Les cookies de mesures d’audience ;
  • Les cookies des réseaux sociaux.

Cependant, la directive de l’UE ne précise pas comment ces exigences doivent être mises en œuvre exactement. L’incertitude reste de mise surtout en ce qui concerne la déclaration de consentement des visiteurs du site Web.

La situation va changer avec le règlement e-Privacy

Le nouveau règlement va en effet mieux répondre à cette question. Le projet actuel interdit généralement les cookies techniquement inutiles, à l’exception de ceux que les utilisateurs acceptent en amont. La première ébauche ne mentionnait que les applications Web. La version du 22 mars 2018 comprend tous les types de communication par machine, comme les applications, les courriers électroniques, et la collecte de métadonnées pour les appels VoIP. Ceci s’applique également à la communication entre deux machines, ce qu’on appelle la communication M2M.

Même si le règlement e-Privacy fera partie du droit communautaire, son contenu risque aussi de concerner les fournisseurs internationaux de services de communication. En effet, le règlement stipule que les règles s’appliquent dès qu’un terminal se trouve à l’intérieur des frontières de l’UE.

Par exemple, la protection des données aux États-Unis est moins stricte. Dans l’affaire de Microsoft en Irlande, un tribunal américain souhaitait obliger la société à rendre accessibles les données relatives aux clients des citoyens de l’UE aux États-Unis. C’est là que se trouve le siège social de Microsoft, soumis à la loi américaine. Toutefois, les données des clients européens sont stockées et protégées en Europe par une filiale. Au motif que la loi américaine ne s’applique que sur le sol américain, l’action pourrait être évitée en premier lieu. Mais le processus est toujours en cours. Reste à voir dans quelle mesure le droit européen va interférer à l’avenir avec le droit américain.

Étant donné que le règlement e-Privacy va s’appliquer dès qu’un terminal en Europe accède à des services de communication, les entreprises américaines devront donc adapter leurs offres par rapport aux cookies pour l’UE et placer ainsi une publicité moins ciblée.

En France, c’est la CNIL (Commission nationale de l'informatique et des libertés) qui gère le dossier, et les contrôles ont commencé dès le mois d’octobre 2014. Tout acteur contrevenant à cette obligation s’expose à une amende pouvant atteindre 150 000 euros. Par ailleurs, étant donné que ce consentement peut être oublié par les internautes, la directive estime nécessaire de limiter dans le temps la portée de l’accord à 13 mois maximum.

Contenu de la directive actuelle de l’UE sur les cookies

L’Union européenne souhaite protéger davantage les données personnelles des internautes avec la directive sur les cookies. Fondamentalement, l’UE fait la distinction entre les cookies techniquement nécessaires et les cookies non nécessaires :

  1. Cookies techniquement nécessaires : le stockage de données nécessaire comprend les cookies qui sont absolument nécessaire pour les fonctions d’un site Web. Cela signifie, par exemple, enregistrer les données de connexion, le panier d’achat ou bien la sélection de la langue à l’aide de cookies de session (qui sont supprimés lorsque le navigateur est fermé).
  2. Les cookies techniquement non nécessaires : les cookies non essentiels sont considérés comme des fichiers texte qui ne servent pas uniquement à la fonctionnalité du site Web, mais qui collectent aussi d’autres données. Ce sont notamment les suivants :
  • Les cookies de suivi
  • Les cookies de ciblage (targeting)
  • Les cookies d'analyse
  • Les cookies de réseaux sociaux

Conformément à la directive, les cookies nécessaires peuvent être mis en place dès le début, sans le consentement préalable des utilisateurs. Mais les visiteurs d’un site Web doivent donner leur consentement avant que les cookies ne sauvegardent des données non nécessaires. Ainsi, la directive de l’UE sur les cookies exige généralement une solution opt-in pour les cookies non nécessaires.

Voici la différence entre l’opt-out et l’opt-in :

  • Opt-out : les cookies sont mis en place dès le début et les utilisateurs ne peuvent s’opposer à l’enregistrement des données que plus tard.
  • Opt-in : les cookies ne sont pas mis en place tout de suite, mais seulement lorsque l’utilisateur accepte l’enregistrement des données.
Note

Le nouvel arrêt de la Cour de justice de l’Union européenne a bouleversé cette distinction claire : l’obligation de l’opti-in doit s’appliquer aussi aux cookies sans donnée à caractère personnel.

Comment mettre en pratique cette directive ?

Consciente que la loi comporte une certaine complexité, la CNIL consacre une partie de son site Web à ce sujet. Elle explique à qui est imposé cette obligation, quels sont les cookies visés, les solutions de mesures d’audience, comment recueillir valablement le consentement et explique les durées de vie des cookies.

Que faire pour être en conformité ?

Le scénario type est le suivant. Les administrateurs de sites Internet doivent désactiver tous les modules (analytics, régies pub et boutons sociaux) et afficher un bandeau avec un message stipulant que la poursuite de la navigation équivaut au consentement de l’internaute.

Il faut veiller à ne pas dégrader l’expérience utilisateur en attendant que celui-ci poursuive son chemin. Si l’internaute refuse par exemple, il est important de créer une alternative pour que votre site internet ne soit pas bloqué. Pour les publicités par exemple, il peut être recommandé de mettre en place un panneau de contrôle pour permettre à l’internaute d’activer chaque service de manière indépendante.

Opt-in ou Opt-out ?

La directive européenne sur les cookies n’était pas claire concernant le fait de savoir si l’utilisateur doit accepter l’utilisation des cookies avant que ces fichiers texte n’enregistrent ses données, ou si l’exploitant du site peut utiliser des cookies dès le départ. Pour le premier cas, nous parlons de opt-in, pour le dernier, de opt-out. En ce qui concerne le premier, le consentement de l’utilisateur est obligatoire pour le stockage de données tandis que opt-out ne permet aux visiteurs du site de donner leur avis qu’après coup.

Étant donné que la directive européenne sur les cookies ne définit pas précisément si le stockage de données peut être fait dès la première utilisation ou non, sa mise en œuvre différait d’un pays à l’autre. La France avait adopté une position assez flexible et n’avait pas retenu les aspects les plus contraignants de la directive. Mais, le 1er octobre 2019, la justice européenne a tranché : le consentement doit être actif concernant le placement des cookies. Ainsi une case cochée par défaut est désormais insuffisante. Cet arrêt a justement le mérite de clarifier des zones d’ombres restantes malgré la mise en application du RGPD. Déjà en juillet 2019, la CNIL avait rédigé une précision au journal officiel sur la nécessite d’une information claire et complète sur le dépôt de cookies et l’accès aux informations stockées par les cookies. Actuellement la CNIL discute avec les professionnels et les acteurs du Web pour trouver la meilleure manière de recueillir le consentement du dépôt des cookies en amont, mais la CNIL va maintenant devoir tenir compte du récent arrêt de la Cour de justice de l’UE.

Cookies et protection des données : que réserve l’avenir ?

Les exploitants de sites Web devraient suivre de près l’évolution de la mise en œuvre de la directive européenne sur les cookies, car la situation juridique va certainement évoluer avec le règlement e-Privacy. Le règlement de l’UE sur la protection des données (RGPD) contient d’autres dispositions relatives à la sécurité des données personnelles des utilisateurs. Tant que le règlement e-Privacy n’est pas contraignant et mis en œuvre, les cookies relèvent au moins de la sphère d’influence des données à caractère personnel comme l’encadre le chapitre 1 du RGPD dans la mesure où les exploitants de sites Internet collectent des donnés qui permettent d’identifier un utilisateur de quelque manière que ce soit (profil d’utilisateur, numéro d’identification, etc.).

Ces dernières années, les sites Web français ont dû suivre de plus près la directive sur les cookies quand par exemple, ils vendaient, via une boutique en ligne, des biens à d’autres pays de l’UE qui appliquent le droit communautaire de manière plus stricte. La politique européenne sur les cookies a aussi eu un impact sur le retargeting, où les experts en marketing Web utilisent des cookies de suivi pour encourager les clients à effectuer d’autres transactions.

De plus, avec l’introduction du Règlement général sur la protection des données, des règles plus strictes s’appliquent désormais en France pour le traitement des données à caractère personnel. Cette mise en œuvre scrupuleuse permettra aux exploitants de sites Web d’économiser beaucoup de travail quand la nouvelle directive sur les cookie via l’e-Privacy sera juridiquement contraignante.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.