Le nouveau règlement ePrivacy vise à régler définitivement cette question. Les projets précédents prévoyaient une interdiction générale des cookies techniquement inutiles, à l’exception du fait que les utilisateurs acceptent leur utilisation à l’avance. Le premier projet ne parlait que des applications Web. La version datée du 22 mars 2018 inclut tous les types de communication par ordinateur, tels que les applications, le courrier électronique et la collecte de métadonnées pour les appels VoIP. Ceci s’applique également à la communication entre deux machines, appelée communication M2M.
Le règlement ePrivacy devrait également intéresser les fournisseurs internationaux de services de communication. En effet, le règlement stipule que les règles s’appliquent dès qu’un terminal est situéà l’intérieur des frontières de l’UE. Le lieu où le traitement des données d’un service contrôlé a lieu est sans importance.
Aux États-Unis, par exemple, la protection des données est interprétée de façon moins stricte. Étant donné que le champ d’application du règlement ePrivacy s’applique dès qu’un terminal en Europe accède à des services de communication, les entreprises américaines devront se demander si elles peuvent localiser leurs offres en ce qui concerne les cookies pour l’Europe, et donc afficher une publicité moins ciblée, ou si elles risquent de confronter les clients à une « barrière de paiement ».
Le premier projet de règlement ePrivacy exigeait que le niveau de protection de la vie privée le plus élevé soit généralement préréglé dans les paramètres du navigateur par le fabricant. En cela, le navigateur n’accepte pas les cookies provenant de tiers. Ceci permettrait d’éliminer les bannières de cookies actuellement largement utilisées, car les utilisateurs devraient choisir activement d’accepter les cookies à chaque installation de logiciel. Cette exigence était fondée sur le principe de « Privacy by Design », qui est déjà établi dans le RGPD. Toutefois, un projet plus récent a assoupli les règles relatives aux paramètres des navigateurs. Ceci permet aux utilisateurs de décider, d’un domaine à l’autre, s’ils acceptent ou non les cookies.
Le fait de pouvoir utiliser un site Web ne doit pas être subordonné à l’accord des utilisateurs pour l’utilisation de cookies. Toutefois, il existe des objectifs légitimes qui peuvent nécessiter l’utilisation de cookies nécessaires. Si, par exemple, un utilisateur doit s’authentifier dans les services bancaires en ligne ou s’il veut utiliser le panier d’une boutique en ligne, les cookies sont souvent nécessaires. Si les opérateurs de sites Web informent clairement les utilisateurs sur l’objectif, le consentement et l’utilisation peuvent aller de pair.