Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Ce que le Paquet Télécom change pour les cookies

26 avril 2012

La transposition en droit français des directives dites "paquet télécom" renforce notamment l'obligation d'information des internautes à l'égard des cookies. La loi impose désormais, dans certains cas, aux responsables de sites d'informer les internautes et de recueillir leur consentement avant l'insertion de cookies. Comment se mettre en conformité ? Quels cookies sont concernés ? La CNIL fait le point sur ces nouvelles obligations.

I. Qu’est-ce que le Paquet Télécom ?

Le "Paquet Télécom" est le nom donné aux deux directives et au règlement relatifs aux communications électroniques adoptés par le Parlement et le Conseil européen le 25 novembre 2009.

L’un de ces textes intéresse directement la protection des données, puisque la directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (2002/58/CE) a été modifiée (directive 2009/136/CE).

Le gouvernement français a transposé ces nouvelles normes dans une ordonnance publiée le 24 août 2011 (dite ordonnance "Paquet télécom") qui modifie notamment l’article 32 II de la loi du 6 janvier 1978.

II. Que dit la loi ?

Texte de référence : nouvel article 32 II de la loi informatique et libertés

"II. - Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

  • de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
  • des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

  • soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur."

1.  Que disait l’ancienne législation ?

Les sites devaient informer les internautes qu’un cookie était installé sur leur ordinateur et leur permettre de s’y opposer.

En pratique, l’information était générale et se retrouvait, le plus souvent, perdue dans les conditions générales d’utilisation (CGU).

2.  Qu’est-ce qui change avec l’ordonnance "Paquet Telecom" ?

L’information doit être préalable au dépôt du cookie, et le consentement de l’internaute doit être demandé.

Attention : Le droit de s’opposer à tout moment à l’utilisation d'un cookie d'ores et déjà installé demeure, ainsi que l’obligation de préciser à quoi sert le cookie.

3.  Que veut-on dire quand on parle de "cookie" ?

Il s’agit des "informations stockées dans l’équipement terminal", qui sont déposées par un site Internet sur le terminal d’un utilisateur. Déposer un "cookie" consiste donc à coller une "étiquette" sur le terminal de l’internaute. Si cette étiquette contient un numéro d’identification unique, le site pourra utiliser cet identifiant pour distinguer un internaute d’un autre, et donc le reconnaître d’une visite à l’autre.

Par exemple, en matière de publicité comportementale en ligne, un identifiant numérique contenu dans un cookie permet d’étiqueter et donc de "pister" un internaute pour constituer un profil à partir des pages qu’il a visitées sur Internet. Ce profil permet de proposer à l’utilisateur des publicités ciblées.

Ces dispositions sont aussi valables pour des technologies apparentées aux cookies, comme les cookies "flash" (aussi appelé "Local Shared Object") ou encore le stockage local web (aussi appelé "Stockage DOM"). Le mot "cookie" utilisé dans le reste de ce document est à prendre avec un sens large.

4. Tous les cookies sont-ils concernés ?

Non. Ces règles ne s’appliquent pas à un cookie qui :

  • a "pour finalité exclusive de permettre ou faciliter la communication par voie électronique",
  • ou qui est "strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur",

Ainsi, par exemple, les cookies suivants ne sont pas concernés par ces règles d’information et de consentement préalable :

  • les cookies qui sont utilisés comme "panier d’achat" sur un site marchand,
  • les cookies de "session utilisateur" (SessionID) permettant de lier les actions d’un utilisateur lorsque cela est nécessaire pour lui fournir le service qu’il demande,
  • les cookies qui ont pour unique finalité de contribuer à la sécurité du service demandé par l’utilisateur,
  • les cookies permettant d’enregistrer la langue parlée par l’utilisateur (pour les sites traduits en plusieurs langues) ou autres préférences nécessaires à la fourniture du service demandé,
  • les cookies flash contenant des éléments strictement nécessaires pour faire fonctionner un lecteur de média (audio ou vidéo), correspondant à un contenu demandé par l’utilisateur.

Si une information préalable n’est pas nécessaire pour ce type de cookie, il est néanmoins recommandé de fournir une information sur leur utilisation dans la politique de confidentialité du site web.

5. Quelle est la position de la CNIL concernant les cookies utilisés pour réaliser de la mesure d'audience ?

La CNIL a conscience de la nécessité pour un éditeur de mesurer l'audience de son site internet. Elle observe que les cookies sont fréquemment utilisés pour cette finalité et que ce dispositif contribue dans certains cas au service fourni à l’internaute. En effet, les statistiques de fréquentation permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou encore de mettre en avant certains contenus particulièrement demandés par les internautes. Dès lors, la CNIL s’est interrogée sur la possibilité de considérer que ce type de cookies entre dans les cas d’exception décrits à la question précédente.

Compte tenu, d’une part, de la finalité spécifique de ces cookies et, d’autre part, du risque très limité sur la protection de la vie privée que pose ce type de traitement dans certaines conditions, la CNIL a décidé de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées.

Pour bénéficier de cette exemption au consentement, la CNIL considère cependant qu’un tel traitement doit respecter des conditions particulières afin de respecter l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Ces conditions sont les suivantes:

  • Information : Une information claire et complète de l’internaute doit être délivrée par l’éditeur du site internet afin d’assurer une parfaite transparence sur l’utilisation des outils d’analyse de fréquentation. Un lien vers cette information devrait être présent sur la page d’accueil du site, qui peut ensuite être détaillée précisément dans les conditions générales d’utilisation, par exemple.
  • Droit d’accès : La personne doit pouvoir exercer son droit d’accès.
  • Droit d’opposition : Concernant le droit d’opposition, l’outil permettant de désactiver la traçabilité mise en œuvre par l’outil d’analyse de fréquentation doit remplir a minima plusieurs caractéristiques, notamment celles d’un accès et d’une installation aisés pour tous les internautes sur l’ensemble des terminaux (y compris les smartphones), des systèmes d’exploitation et des navigateurs internet. De plus, aucune information relative aux internautes ayant décidé d’exercer leur droit d’opposition ne doit être transmise à l’éditeur de l’outil d’analyse de fréquentation.
  • Finalité limitée : La finalité du dispositif doit être limitée à la mesure d’audience des pages du site internet, afin de permettre une évaluation des contenus publiés et de l’ergonomie du site, sans pour autant permettre l’identification des personnes. Les données collectées ne doivent donc pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites par exemple). L’utilisation du cookie déposé doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation de l’internaute sur les sites d’éditeurs distincts.
  • Adresse IP : L’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Cette adresse IP doit également être supprimée ou anonymisée une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles.
  • Durée de conservation : Enfin, les informations doivent être conservées pendant une durée non excessive. S’agissant des cookies permettant la traçabilité des internautes, ils ne doivent pas être conservés au-delà de six mois (La date d’expiration du cookie ne doit donc pas excéder six mois à partir de sa première insertion et cette durée ne doit pas être prorogée lors des nouvelles visites). Les données de fréquentation brutes associant un identifiant (adresse IP par exemple) ne doivent pas être conservées plus de six mois. Au-delà de ce de délai, les données doivent être soit supprimées, soit anonymisées.

Assortissant l’absence de consentement préalable à des conditions strictes de mise en œuvre pour ce type de cookies, la CNIL a pour objectif de concilier respect de la vie privée et l’activité des éditeurs. Cette position est susceptible d’évoluer en fonction de la position commune que pourrait adopter l’ensemble des CNIL européennes (G29) dans les prochains mois, afin d’encourager une mise en œuvre uniforme de la loi dans l’ensemble de l’Union européenne.

6. Les cookies ne contenant pas de données à caractère personnel sont-ils également soumis à la nouvelle législation?

Oui. La directive 2002/58/CE ne fait pas de distinction selon la nature des informations. Elle précise que "l’équipement terminal de l’utilisateur … ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, (…) doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales".

Le groupe des CNIL Européennes (G29) a même rappelé que "c'est la protection d’un domaine réputé relever de la  vie privée de la personne  concernée qui est l’élément déclencheur des obligations visées à l’article 5, paragraphe 3, et non le fait que les informations soient ou non des données à caractère personnel."

III. Que faire pour se mettre en conformité ?

1. Qui doit informer l’internaute ?

C’est le responsable du traitement mettant en œuvre des cookies qui a la responsabilité d’informer l’internaute. Néanmoins, cette information peut être réalisée par un tiers désigné par le responsable de traitement.

Dans le cas où le cookie est inséré par un tiers (dans le cas, par exemple, d'une publicité ciblée insérée par une régie publicitaire), l’information et le consentement n’ont pas à être réalisés deux fois. Ainsi, si la régie publicitaire fournit l'information et recueille le consentement de l'internaute, le site internet sur lequel la publicité est diffusée n’a pas à répéter cette opération.

Dans l'hypothèse où le responsable de traitement est établi hors de l'union européenne, il peut déléguer la mise en œuvre de l'application de la loi informatique et libertés à un représentant établi en France. Ce représentant peut également être chargé de l'information des internautes.

2. Qu’est-ce qu’un "accord" ou un "consentement" ?

L’utilisation du terme "accord", dans la directive comme dans l’ordonnance, résulte d’une traduction imprécise de la directive en anglais qui utilise le terme "consent".

Le terme "accord" se réfère donc bien au consentement tel que défini à l’article 2 (h) de la directive 95/46/CE, c’est-à-dire "toute manifestation de volonté, libre, spécifique et informée".

Dès lors, l’accord de l’internaute doit être :

  • libre : c’est à dire qu’il doit résulter du libre choix de l’utilisateur,
  • spécifique : il doit porter sur un cookie précis associé à une finalité clairement définie,
  • informé : l’information doit être préalable et préciser la finalité du cookie ainsi que la possibilité de s’opposer ultérieurement.

La validité du consentement est liée à la qualité de l’information reçue. Celle-ci doit être rédigée en des termes simples et compréhensibles du grand public tout en étant précise.

Par exemple, si le cookie a pour finalité de "créer des profils d’utilisateurs afin d’adresser des publicités ciblées", l’information devra reprendre l'ensemble de ces termes et non se limiter à indiquer "publicité".

3. Le paramétrage du navigateur est-il une modalité valable du consentement ?

Pour qu’il y ait consentement libre et spécifique exprimé à travers les paramètres du navigateur, ce dernier doit pouvoir permettre à l’utilisateur de choisir quels cookies il accepte et pour quelle finalité. Un navigateur qui accepterait par principe tous les cookies sans distinguer leur finalité ne pourra pas être considéré comme permettant de donner un accord valable puisqu’il ne serait pas spécifique.

Le paramétrage de la plupart des navigateurs (comme firefox, internet explorer, safari ou chrome) peut être modifié pour que l’accord de l’utilisateur soit demandé pour chaque cookie. Néanmoins, cette solution soulève un certain nombre de problèmes pratiques et ergonomiques, pour les raisons suivantes :

  • à elle seule, cette solution est insuffisante, car elle ne donne pas une information "claire et complète" à l’utilisateur lors de la demande de consentement ;
  • le site web qui souhaite utiliser ce mécanisme n’a pas aujourd’hui les moyens de vérifier si effectivement le paramétrage du navigateur de l’utilisateur est correctement établi ;
  • ce paramétrage concerne tous les cookies, même ceux qui sont exemptés de consentement préalable, car le navigateur n’est pas en mesure de faire cette distinction ;
  • ce paramétrage est complexe à mettre en œuvre par l’utilisateur, et varie d’un navigateur à un autre de manière significative.

Les navigateurs actuels n’offrant pas à eux seuls un paramétrage qui répond aux exigences de la loi, le Législateur a prévu d’autres possibilités en précisant que le consentement de l’utilisateur pouvait également être exprimé par "tout autre dispositif placé sous son contrôle". Cela pourrait être, par exemple, un module à ajouter au navigateur ou une plateforme web gérant les consentements.

4. Comment recueillir valablement le consentement ?

Il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement.

Le mécanisme de recueil de l’accord de l’utilisateur peut prendre plusieurs formes, comme par exemple:

  • une bannière en haut d’une page web (tel qu’instaurée sur le site www.ico.gov.uk),
  • une zone de demande de consentement en surimpression sur la page, 
  • des cases à cocher lors de l’inscription à un service en ligne.

Ces exemples ne sont pas limitatifs.

Attention : les fenêtres "pop-up" classiques ne sont pas recommandées, car celles-ci sont souvent bloquées par les navigateurs.

5. Existe-t-il un modèle type d’information de l’internaute ?

Le contenu de l’information délivrée à l’internaute dépend du contexte et du moyen utilisé pour délivrer l’information. L’important est de préciser de manière claire la finalité du cookie et de décrire le moyen dont l’internaute dispose pour s’opposer à ce cookie. Puisqu’il est nécessaire de recueillir l’accord de l’internaute en plus de l’informer, le mécanisme de consentement pourra en lui-même jouer implicitement le rôle d’information sur le moyen de refuser le cookie.

A titre d’exemple, un site qui souhaite permettre à des régies de publicité externes de proposer de la publicité ciblée pourra afficher la zone graphique suivante en surimpression sur la première page que l’internaute visite sur son site :

Acceptez-vous de recevoir un cookie de nos partenaires PUBIX et ADVIX afin d'analyser vos centres d'intérêts pour vous proposer des publicités personnalisées ? J'accepte / Je refuse


Ici, la finalité du cookie est clairement définie : "analyser vos centres d’intérêt pour vous proposer de la publicité personnalisée" de la part de deux partenaires fictifs appelés "pubix" et "advix". Le choix entre "refuser" et "accepter" donne implicitement l’information nécessaire permettant à l’internaute de s’opposer au cookie. Un lien supplémentaire a été ajouté afin de compléter l’information de l’internaute, en le renvoyant sur une page dédiée aux cookies ou vers les conditions générales d’utilisation (CGU).

Un réseau social en ligne peut également souhaiter proposer des contenus personnalisés sur des sites tiers. Cet affichage de contenus personnalisés utilise des cookies afin de reconnaitre l’internaute lorsqu’il visite de tels sites tiers. Dans ce scénario, le réseau social peut receuillir le consentement de l’utilisateur lors de l’inscription en ligne en rajoutant une case à cocher dans le formulaire d'inscription:

En cochant cette case, j'accepte de recevoir des cookies de mon-reseau-social.com lors de ma navigation sur des sites Internet partenaires afin de m'identifier lorsque je souhaite partager mes contenus favoris avec mes amis.


Dans cet exemple, la finalité du cookie est clairement définie: "m’identifier lorsque je souhaite partager mes contenus favoris avec mes amis". Ici aussi, l’information sur le moyen de s’opposer au cookie est implicitement donnée par le mécanimse sollicitant l’accord de l’internaute basé sur une case à cocher.

 6. Et demain, quels développements techniques sont envisageables pour répondre à la loi?

Les fabricants de navigateurs sont en train de développer des nouveaux mécanismes pour permettre aux internautes d’exprimer leurs préférences en matière de vie privée. On peut citer par exemple, le mécanisme "do not track" ("ne pas pister") développé par la fondation Mozilla, éditeur du navigateur Firefox, qui pourrait être bientôt standardisé par le world wide web consortium (w3c). Ce mécanisme ne cible pas directement les cookies mais il pourrait sans doute être adapté ou modifié pour répondre à la loi, à condition d’être activé par défaut sur les navigateurs et  de permettre à l’utilisateur de le paramétrer facilement pour exprimer ses préférences.

L’industrie de la publicité en ligne a développé des plateformes centralisées qui permettent aux utilisateurs d’exprimer leurs préférences en fonction des cookies que les régies de publicité en ligne utilisent. Ces plateformes visent à être conformes à l’ancienne législation mais n’ont pas encore évoluées pour s’adapter au principe de consentement prévu dans la nouvelle réglementation. Il serait techniquement peu complexe de modifier ces plateformes pour les rendre compatibles avec la nouvelle réglementation. L’utilisateur pourrait alors accéder à une plateforme centralisée lui permettant d’exprimer au cas par cas son accord pour recevoir des cookies correspondant à ses choix personnels.

7. Doit-on solliciter l’accord de l’utilisateur à chaque visite d’une page web ?

Non, si l’utilisateur a précédemment donné son accord (ou exprimé son refus) pour un cookie, il n’est pas nécessaire de solliciter de nouveau son accord lors des visites suivantes.

Ce principe est valable aussi pour les cookies "tiers". Ainsi, par exemple, si un internaute accepte de recevoir des cookies tiers provenant d’une certaine régie publicitaire pour de la publicité comportementale, alors cet accord sera valable sur tous les sites web qui affichent des publicités provenant de cette même régie publicitaire.

8.  Peut-on utiliser un cookie pour mémoriser le refus d’un utilisateur à recevoir des cookies ?

Oui, cette solution est tout à fait envisageable : si l’utilisateur refuse le cookie, il est utile de mémoriser ce refus pour ne pas le solliciter de nouveau inutilement lors des visites suivantes. L’une des solutions possibles consiste précisément à utiliser un "cookie de refus" qui mémorisera son choix.

Puisque le consentement de l’utilisateur est spécifique à une finalité déterminée, l'utilisateur peut à la fois :

  • refuser de donner son accord pour recevoir un cookie qui enregistrera, par exemple, les derniers articles qu’il a consultés sur un site marchand.
  • accepter de donner son accord pour recevoir un cookie qui matérialisera son refus de recevoir le cookie précédemment décrit. Un tel cookie contient typiquement un simple mot tel que "REFUS" par exemple.

Ainsi un site peut très bien offrir le choix suivant à l’internaute avec deux boutons par exemple :

  • "accepter": cliquer sur ce bouton signifie que l’internaute accepte le cookie décrit,
  • "refuser": cliquer sur ce bouton signifie que l’internaute refuse le cookie décrit et que ce refus sera mémorisé par l’installation d’un "cookie de refus" spécifique.

Il est recommandé de donner des explications plus détaillées sur ce "cookie de refus" dans une page dédiée du site (exemple : dans les conditions générales), car il peut générer une confusion légitime auprès de certains internautes qui peuvent s’étonner de trouver un cookie alors qu’ils ont cliqué sur le bouton "refus".

9.  La modification des conditions générales d’utilisation (CGU) constitue-t-elle une modalité acceptable du recueil du consentement?

Non : un seul document tel que les CGU ne permet pas de recueillir valablement le consentement pour chaque type de cookie. Par ailleurs, un internaute pourrait souhaiter accepter les CGU, et refuser la clause indiquant qu’il accepte les cookies permettant le profilage à des fins publicitaires.

10. Ma responsabilité est-elle engagée si le cookie est déposé par un tiers sur mon site ?

Oui : Votre responsabilité est engagée dès lors que votre site permet à un tiers de déposer un cookie sur le terminal d’un de vos internautes. C’est par exemple le cas si vous avez comme partenaire une régie publicitaire.  

En cas de sous-traitance, il convient de bien encadrer les obligations de chacun dans un document écrit, explicite et accepté des deux parties.

11. Quels sont les risques si je ne me conforme pas à la nouvelle réglementation ?

Tout manquement à la loi "informatique et libertés" est passible de sanctions financières pouvant aller jusqu'à 300 000€. La Commission a conscience que la mise en conformité de certains sites nécessitera plus de délai que d’autres. En cas de plainte ou de contrôle, la Commission appréciera les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité. 

 

Chargement en cours...