Mise en place de la réglementation européenne sur les cookies

« Ce site Internet utilise des cookies ». Voici une phrase que les internautes commencent à connaître par cœur. Les administrateurs de sites Internet doivent être transparents en ce qui concerne l’utilisation des données utilisateurs. D’après la directive européenne dite « paquet télécom », il faut que les internautes en soient informés et qu’ils donnent pleinement leur consentement via une procédure dite d’opt-in, au moins pour le suivi des cookies. Cela a été récemment confirmé par la Cour de justice de l’Union européenne : ils doivent donner un « consentement actif » avant que les cookies ne puissent être installés et doivent ainsi disposer de la possibilité de ne pas être tracés lorsqu’ils visitent un site Internet.

L’entrée en vigueur du RGPD en mai 2018 a aussi modifié la réglementation en France, notamment concernant la récolte et le traitement des données personnelles. En fait, le nouveau règlement ePrivacy, dont le projet a été officiellement présenté par l’UE le 10 janvier 2017, devait devenir juridiquement contraignant au même moment. Il est prévu de compléter le RGPD de manière détaillée, notamment dans le domaine de l’application des cookies, mais son développement est actuellement au point mort. Le Parlement n’a pas encore pu se mettre d’accord sur un projet, et il n’y a donc aucune perspective d’entrée en vigueur dans un avenir proche. Par conséquent, la directive européenne sur les cookies reste en vigueur. Mais quel est l’état actuel de la jurisprudence ?

La justice européenne a rendu une décision le 1^er octobre 2019 sur le consentement pour l’utilisation des cookies. En effet, la Fédération allemande des organisateurs de consommateurs avait lancé une procédure contre la société Planet49 GmbH, cette dernière avait créé un jeu promotionnel en ligne ou pour y participer, les internautes devaient cocher deux cases. Or la seconde était déjà cochée par défaut et visait à obtenir l’autorisation pour installer des cookies sur leur ordinateur, posant ainsi problème. Après avoir été saisie, la Cour fédérale de justice allemande (Bundesgerichtshof) a par la suite interrogé la justice européenne afin d’avoir des précisions sur l’interprétation des textes européens.

La réponse de la Cour de justice de l’UE est claire :

Ainsi, les utilisateurs doivent pouvoir cocher la case eux-mêmes et la Cour souligne que le consentement doit être spécifique. C’est ainsi un pas de plus vers l’obligation de recourir à l’opt-in. L’arrêt de la Cour montre que le consentement des utilisateurs doit être actif, volontaire et résultant d’une information préalable. Tout d’abord, cela signifie que les visiteurs d’un site Web doivent cocher eux-mêmes la case d’approbation (active). En même temps, l’absence de consentement ne peut pas empêcher la visite du site Web (volontaire). Enfin, il faut que les visiteurs sachent clairement ce qu’ils acceptent : les informations doivent être claires et non pas cachées dans de longs textes juridiques. Cela signifie que le pouvoir judiciaire prend désormais également des mesures contre ce que l’on appelle les dark patterns, dans lesquels une conception du site volontairement confuse est utilisée pour imposer une certaine activité (par exemple, le consentement à la publicité des cookies) aux utilisateurs.

Les cookies (ou les traceurs pour être plus exact) sont des fichiers textes qui sont téléchargés dans le navigateur d’un site Internet sur l’ordinateur d’un internaute. Ils sauvegardent les données relatives à la visite d’un site Web, ce qui a pour conséquence d’améliorer son ergonomie. Pour citer quelques exemples, un navigateur garde en mémoire les informations de connexion, les identifiants voire les langues de préférence, ce qui permet aux internautes de ne pas avoir à constamment configurer leur programme. Au-delà de l’aspect pratique, les critiques de ce système soulignent le fait que les cookies sont incompatibles avec une politique stricte de confidentialité. En effet, la plupart des cookies sont appliqués afin de pointer certains aspects du comportement des utilisateurs et par exemple aider les acteurs du Web à mieux cibler leurs publicités.

Un cookie est composé d’une donnée concernant la durée de vie d’un fichier texte mais aussi d’un numéro généré au hasard dont le but est qu’il soit reconnu par votre ordinateur. En règle générale, la sauvegarde de cookies est anonymisée. Les données relatives aux personnes peuvent par la suite être collectées si la page correspondante exige un identifiant.

La directive de l’Union européenne 2009/136/CE vise à améliorer et à renforcer la protection des données des utilisateurs sur Internet. Elle prévoit en substance que les visiteurs d’un site Web soient informés de l’utilisation de cookies grâce à une indication relativement compréhensible, et qu’ils doivent donner leur consentement. Il est avant tout question ici des cookies publicitaires qui sont utilisés dans le cadre du reciblage mais également pour les analyses marketing et pour les réseaux sociaux. Il est possible que les cookies soient appliqués sans autorisation des utilisateurs s’ils sont jugés techniquement nécessaires pour la délivrance d’un service fourni par le site Internet, et expressément demandé par l’abonné ou l’utilisateur. Ces données sont par exemple les configurations de langues, les identifiants, les paniers d’achat voire les cookies flash pour la lecture de contenu multimédia.

Voici un aperçu des cookies nécessitant une information préalable et une demande de consentement :

• Les cookies liés aux opérations publicitaires ;
• Les cookies de mesures d’audience ;
• Les cookies des réseaux sociaux.

Cependant, la directive de l’UE ne précise pas comment ces exigences doivent être mises en œuvre exactement. L’incertitude reste de mise surtout en ce qui concerne la déclaration de consentement des visiteurs du site Web.

En France, c’est la CNIL (Commission nationale de l’informatique et des libertés) qui gère le dossier, et les contrôles ont commencé dès le mois d’octobre 2014. Tout acteur contrevenant à cette obligation s’expose à une amende pouvant atteindre 150 000 euros. Par ailleurs, étant donné que ce consentement peut être oublié par les internautes, la directive estime nécessaire de limiter dans le temps la portée de l’accord à 13 mois maximum.

L’Union européenne souhaite protéger davantage les données personnelles des internautes avec la directive sur les cookies. Fondamentalement, l’UE fait la distinction entre les cookies techniquement nécessaires et les cookies non nécessaires :

1. Cookies techniquement nécessaires : le stockage de données nécessaire comprend les cookies qui sont absolument nécessaire pour les fonctions d’un site Web. Cela signifie, par exemple, enregistrer les données de connexion, le panier d’achat ou bien la sélection de la langue à l’aide de cookies de session (qui sont supprimés lorsque le navigateur est fermé).
2. Les cookies techniquement non nécessaires : les cookies non essentiels sont considérés comme des fichiers texte qui ne servent pas uniquement à la fonctionnalité du site Web, mais qui collectent aussi d’autres données. Ce sont notamment les suivants :

• Les cookies de suivi, qui collectent des données telles que la localisation des internautes
• Les cookies de ciblage (targeting), qui adaptent les publicités à l’internaute
• Les cookies d’analyse, qui renseignent sur le comportement des internautes sur un site Web
• Les cookies de réseaux sociaux, qui relient un site Web à des plateformes comme Facebook, Twitter, etc.

Conformément à la directive, les cookies nécessaires peuvent être mis en place dès le début, sans le consentement préalable des utilisateurs. Mais les visiteurs d’un site Web doivent donner leur consentement avant que les cookies ne sauvegardent des données non nécessaires. Ainsi, la directive de l’UE sur les cookies exige généralement une solution opt-in pour les cookies non nécessaires.

Voici la différence entre l’opt-out et l’opt-in :

• Opt-out : les cookies sont mis en place dès le début et les utilisateurs ne peuvent s’opposer à l’enregistrement des données que plus tard.
• Opt-in : les cookies ne sont pas mis en place tout de suite, mais seulement lorsque l’utilisateur accepte l’enregistrement des données.

Consciente que la loi comporte une certaine complexité, la CNIL consacre une partie de son site Web à ce sujet. Elle explique à qui est imposée cette obligation, quels sont les cookies visés, les solutions de mesures d’audience, comment recueillir valablement le consentement et cadre la durée de vie des cookies. A noter que les règles de la CNIL ont été mises à jour le 1er avril 2021 afin de permettre aux internautes d’être clairement informés des finalités des traceurs.

Le scénario type est le suivant : les administrateurs de sites Internet doivent désactiver tous les modules (analytics, régies pub et boutons sociaux) et afficher un bandeau avec un message expliquant tous les usages liés aux cookies. L’internaute a alors le choix entre un consentement ou un refus clair sous la forme d’un bouton. La fermeture de cette bannière sans réponse explicite équivaut à un refus et aucun traceur non essentiel ne pourra être déposé.

Il faut veiller à ne pas dégrader l’expérience utilisateur en attendant que celui-ci poursuive son chemin. Par exemple, si l’internaute refuse, il est important de créer une alternative pour que votre site Internet ne soit pas bloqué. Pour les publicités, par exemple, il peut être recommandé de mettre en place un panneau de contrôle pour permettre à l’internaute d’activer chaque service de manière indépendante.

Le nouveau règlement ePrivacy vise à régler définitivement cette question. Les projets précédents prévoyaient une interdiction générale des cookies techniquement inutiles, à l’exception du fait que les utilisateurs acceptent leur utilisation à l’avance. Le premier projet ne parlait que des applications Web. La version datée du 22 mars 2018 inclut tous les types de communication par ordinateur, tels que les applications, le courrier électronique et la collecte de métadonnées pour les appels VoIP. Ceci s’applique également à la communication entre deux machines, appelée communication M2M.

Le règlement ePrivacy devrait également intéresser les fournisseurs internationaux de services de communication. En effet, le règlement stipule que les règles s’appliquent dès qu’un terminal est situé à l’intérieur des frontières de l’UE. Le lieu où le traitement des données d’un service contrôlé a lieu est sans importance.

Aux États-Unis, par exemple, la protection des données est interprétée de façon moins stricte. Étant donné que le champ d’application du règlement ePrivacy s’applique dès qu’un terminal en Europe accède à des services de communication, les entreprises américaines devront se demander si elles peuvent localiser leurs offres en ce qui concerne les cookies pour l’Europe, et donc afficher une publicité moins ciblée, ou si elles risquent de confronter les clients à une « barrière de paiement ».

Le premier projet de règlement ePrivacy exigeait que le niveau de protection de la vie privée le plus élevé soit généralement préréglé dans les paramètres du navigateur par le fabricant. En cela, le navigateur n’accepte pas les cookies provenant de tiers. Ceci permettrait d’éliminer les bannières de cookies actuellement largement utilisées, car les utilisateurs devraient choisir activement d’accepter les cookies à chaque installation de logiciel. Cette exigence était fondée sur le principe de « Privacy by Design », qui est déjà établi dans le RGPD. Toutefois, un projet plus récent a assoupli les règles relatives aux paramètres des navigateurs. Ceci permet aux utilisateurs de décider, d’un domaine à l’autre, s’ils acceptent ou non les cookies.

Le fait de pouvoir utiliser un site Web ne doit pas être subordonné à l’accord des utilisateurs pour l’utilisation de cookies. Toutefois, il existe des objectifs légitimes qui peuvent nécessiter l’utilisation de cookies nécessaires. Si, par exemple, un utilisateur doit s’authentifier dans les services bancaires en ligne ou s’il veut utiliser le panier d’une boutique en ligne, les cookies sont souvent nécessaires. Si les opérateurs de sites Web informent clairement les utilisateurs sur l’objectif, le consentement et l’utilisation peuvent aller de pair.

Les exploitants de sites Web devraient suivre de près l’évolution de la mise en œuvre de la directive européenne sur les cookies, car la situation juridique va certainement évoluer avec le règlement ePrivacy. Le règlement de l’UE sur la protection des données (RGPD) contient d’autres dispositions relatives à la sécurité des données personnelles des utilisateurs. Tant que le règlement ePrivacy n’est pas contraignant et mis en œuvre, les cookies relèvent au moins de la sphère d’influence des données à caractère personnel comme l’encadre le chapitre 1 du RGPD dans la mesure où les exploitants de sites Internet collectent des donnés qui permettent d’identifier un utilisateur de quelque manière que ce soit (profil d’utilisateur, numéro d’identification, etc.).

Ces dernières années, les sites Web français ont dû suivre de plus près la directive sur les cookies quand, par exemple, ils vendaien, via une boutique en ligne des biens à d’autres pays de l’UE qui appliquent le droit communautaire de manière plus stricte. La politique européenne sur les cookies a aussi eu un impact sur le reciblage, où les experts en marketing Web utilisent des cookies de suivi pour encourager les clients à effectuer d’autres transactions.

De plus, avec l’introduction du Règlement général sur la protection des données, des règles plus strictes s’appliquent désormais en France pour le traitement des données à caractère personnel. Cette mise en œuvre scrupuleuse permettra aux exploitants de sites Web d’économiser beaucoup de temps quand la nouvelle directive sur les cookies via l’ePrivacy sera juridiquement contraignante.