Le nouvel encadrement de l’utilisation des cookies

L’article 37 de l’ordonnance du 24 août dernier transposant le « Paquet Telecom » modifie la loi informatique et Libertés, en indiquant que l’inscription de cookies traceurs sur le disque dur  des visiteurs d’un site ne peut avoir lieu qu’à condition que le visiteur ait été informé de la finalité de la pose de cookie, ainsi que des moyens dont il dispose pour s’y opposer, puis qu’il ait donné son accord. 

Quelles sont les conséquences en pratique pour les sites marchands ? 

Le texte adopté ne diffère que très peu du projet commenté dans un article précédent sur ce blog. Il s’agit d’un texte de compromis trouvé suite aux actions de lobbying notamment de l’IAB (Interactive Advertising Bureau, regroupement des grands acteurs de la publicité). On peut dire sans prendre de risques que le texte ne modifie que très peu la pratique actuelle. Voici le texte complet du nouvel article 32 .II. de la loi Informatique et Libertés du 6 janvier 1978. 

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 

-           de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 

-           des moyens dont il dispose pour s’y opposer. 

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. 

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 

 - soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 

 - soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. » 

L’obligation d’information sur la finalité de l’utilisation des cookies ainsi que les moyens de s’y opposer subsiste. 

Un nouvel alinéa impose le recueillement d’un consentement préalable avant le début de l’utilisation des cookies. 

Cependant, cette exigence de consentement préalable apparait largement assouplie du fait de la précision selon laquelle le consentement peut résulter « de paramètres appropriés de son dispositif de connexion » ou de tout autre dispositif placé sous le contrôle de l’utilisateur. 

Si le principe est clair, sa mise en œuvre l’est moins. La problématique se cristallise autour du consentement, de la nature de celui-ci, et du moyen de l’exprimer dans la pratique. 

La nature du consentement : global ou spécifique ?

Ce consentement doit il être donné pour chaque cookie séparément, ou une fois pour toute pour tous les cookies ? 

A la première lecture du texte, il semble suffire que le navigateur soit configuré pour accepter les cookies pour affirmer que l’utilisateur a émis son consentement. Cela ne tiendrait cependant pas compte du fait qu’au sens strict, en pratique, pour l’utilisateur n’ayant jamais paramétré son navigateur, l’information est fournie après la pose de cookies, et que l’utilisateur peut refuser ceux-ci, les effacer et empêcher la lecture des cookies déjà posés seulement après avoir reçu l’information. Cette interprétation serait en tout cas rassurante, pour les opérateurs du web qui n’auraient pas, de ce fait, à mettre en œuvre des solutions relativement difficiles à mettre en place telles qu’un opt-in avant la pose de chaque cookie. 

Même si la rédaction large du texte français ne semble pas exclure la possibilité d’un consentement global, selon les normes européennes, le consentement se doit d’être spécifique. C’est ce qu’a précisé la CNIL dans un communiqué en date du 19 septembre, ajoutant qu’ 

« un paramétrage du navigateur, acceptant tous les cookies sans distinguer leur finalité, ne pourra pas être considéré comme un accord valablement exprimé ».  

Finalité des cookies et consentement

La formulation de la CNIL  soulève une question intéressante, à savoir celle de la distinction entre divers types de cookies en fonction de leur finalité. L’obligation d’information et de recueil du consentement n’est imposée que pour les cookies publicitaires et non pour ceux destinés à assurer le bon fonctionnement du site ou ceux posés pour exécuter la prestation expressément souhaitée par le client. Cette question est étroitement liée à celle de la modalité d’expression du consentement. L’utilisateur doit pouvoir exprimer un consentement relatif à un cookie ou un groupe de cookies dont il connait la finalité, et non pas globalement.

Dans quelle mesure les navigateurs et leurs outils peuvent ils distinguer entre divers types de cookies ? Permettent- ils d’en accepter certains et d’en refuser d’autres ?

Certains navigateurs offrent des possibilités beaucoup plus développées qu’un simple choix entre accepter et refuser les cookies. Par exemple, les dernières versions d’Internet Explorer proposent plusieurs niveaux de protection des données. Peuvent par exemple n’être refusés que les cookies enregistrant des informations susceptibles de donner lieu à une prise de contact sans consentement préalable, ou alors uniquement les cookies de sites n’ayant pas de politique de protection des données ou alors uniquement de tiers. La technique semble suffisamment évoluée pour permettre au navigateur puisse déterminer quelles informations exactement un cookie enregistre.

Un tel mécanisme est il suffisant, notamment aux yeux de la CNIL, organisme chargé de faire respecter la loi Informatique et libertés ? Les distinctions effectuées par ce navigateur ou d’autres correspondent t’elles aux catégories de cookies établies par la loi ?

En  tout état de cause, il semble que les sites internet doivent maintenant modifier les informations fournies au sujet des cookies, en indiquant que le consentement est obligatoire. Il faut intégrer les nouvelles dispositions de l’ordonnance à la pratique. Une doctrine détaillée de la CNIL accompagnée de textes types sur ces thèmes serait la bienvenue.