Utilisation des cookies sur votre site internet

26 Octobre 2011

Ce que le "Paquet Télécom" change pour les cookies

La transposition en droit français des directives dites "paquet télécom" renforce notamment l'obligation d'information des internautes à l'égard des cookies. La loi impose désormais, dans certains cas, aux responsables de sites d'informer les internautes et de recueillir leur consentement avant l'insertion de cookies.

Comment se mettre en conformité ? Quels cookies sont concernés ? La CNIL fait le point sur ces nouvelles obligations

I. Qu’est-ce que le Paquet Télécom ?

Le "Paquet Télécom" est le nom donné aux deux directives et aux règlements relatifs à communications électroniques adoptées par le Parlement et le Conseil européen le 25 novembre 2009.

L’un de ces textes intéresse directement la protection des données, puisque la directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (2002/58/CE) a été modifiée (directive 2009/136/CE).

Le gouvernement français a transposé ces nouvelles normes dans une ordonnance publiée le 24 août 2011 (dite ordonnance "Paquet télécom") qui modifie notamment l’article 32 II de la loi du 6 janvier 1978.

II. Que dit la loi ?

Texte de référence : nouvel article 32 II de la loi informatique et libertés Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

• de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
• des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

• soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
• soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

III. Que disait l’ancienne législation ?

Les sites devaient informer les internautes qu’un cookie était installé sur leur ordinateur et leur permettre de s’y opposer.

En pratique, l’information était générale et se retrouvait, le plus souvent, perdue dans les conditions générales d’utilisation (CGU).

IV. Qu’est-ce qui change avec l’ordonnance "Paquet Telecom" ?

L’information doit être préalable au dépôt du cookie, et le consentement de l’internaute doit être demandé.

Attention : Le droit de s’opposer à tout moment à l’utilisation d'un cookie d'ores et déjà installé demeure, ainsi que l’obligation de préciser à quoi sert le cookie.

V. Que veut-on dire quand on parle de "cookie" ?

Il s’agit des "informations stockées dans l’équipement terminal", qui sont déposés par un site Internet sur le terminal d’un utilisateur. Déposer un "cookie" consiste donc à coller une "étiquette" sur le terminal de l’internaute. Si cette étiquette contient un numéro d’identification unique, le site pourra utiliser cet identifiant pour distinguer un internaute d’un autre, et donc le reconnaître d’une visite à l’autre.

Par exemple, en matière de publicité comportementale en ligne, un identifiant numérique contenu dans un cookie permet d’étiqueter et donc de "pister" un internaute pour constituer un profil à partir des pages qu’il a visitées sur Internet. Ce profil permet de proposer à l’utilisateur des publicités ciblées.

Ces dispositions sont aussi valables pour des technologies apparentées aux cookies, comme les cookies "flash" (aussi appelé "Local Shared Object") ou encore le stockage local web (aussi appelé "Stockage DOM"). Le terme de "cookie" est donc à prendre avec un sens large.

VI. Tous les cookies sont-ils concernés ?

Non. Ces règles ne s’appliquent pas à un cookie qui :

• a "pour finalité exclusive de permettre ou faciliter la communication par voie électronique",
• ou qui est "strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur",

Ainsi, par exemple, les cookies suivants ne sont pas concernés par ces règles d’information et de consentement préalable :

• les cookies qui sont utilisés comme "panier d’achat" sur un site marchand,
• les cookies de "session utilisateur" (SessionID) permettant de lier les actions d’un utilisateur lorsque cela est nécessaire pour lui fournir le service qu’il demande,
• les cookies qui ont pour unique finalité de contribuer à la sécurité du service demandé par l’utilisateur,
• les cookies permettant d’enregistrer la langue parlée par l’utilisateur (pour les sites traduits en plusieurs langues) ou autres préférences nécessaires à la fourniture du service demandé,
• les cookies flash contenant des éléments strictement nécessaires pour faire fonctionner un lecteur de média (audio ou vidéo), correspondant à un contenu demandé par l’utilisateur.

Si une information préalable n’est pas nécessaire pour ce type de cookie, il est néanmoins recommandé de fournir une information sur leur utilisation dans la politique de confidentialité du site web.

VII. Les cookies ne contenant pas de données à caractère personnel sont ils également soumis à la nouvelle législation?

Oui. La directive 2002/58/CE ne fait pas de distinction selon la nature des informations.

Elle précise que "l’équipement terminal de l’utilisateur … ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, (…) doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales".

Le groupe des CNIL Européennes (G29) a même rappelé que "c'est la protection d’un domaine réputé relever de la vie privée de la personne concernée qui est l’élément déclencheur des obligations visées à l’article 5, paragraphe 3, et non le fait que les informations soient ou non des données à caractère personnel."

VIII. Que faire pour se mettre en conformité ?

1. Qui doit informer l’internaute ?

C’est le responsable du traitement mettant en oeuvre des cookies qui a la responsabilité d’informer l’internaute. Néanmoins, cette information peut être réalisée par un tiers désigné par le responsable de traitement.

Dans le cas où le cookie est inséré par un tiers (dans le cas, par exemple, d'une publicité ciblée insérée par une régie publicitaire), l’information et le consentement n’ont pas à être réalisés deux fois. Ainsi, si la régie publicitaire recueille l’information et le consentement de l'internaute, le site internet sur lequel la publicité est diffusée n’a pas à répéter cette opération.

Dans l'hypothèse où le responsable de traitement est établi hors de l'union européenne, il peut déléguer la mise en oeuvre de l'application de la loi informatique et libertés à un représentant établi en France. Ce représentant peut également être chargé de l'information des internautes.

2. Qu’est-ce qu’un "accord" ou un "consentement" ?

L’utilisation du terme "accord", dans la directive comme dans l’ordonnance, résulte d’une traduction imprécise de la directive en anglais qui utilise le terme "consent".

Le terme "accord" se réfère donc bien au consentement tel que défini à l’article 2 (h) de la directive 95/46/CE, c’est-à-dire "toute manifestation de volonté, libre, spécifique et informée".

Dès lors, l’accord de l’internaute doit être :

• libre : c’est à dire qu’il doit résulter du libre choix de l’utilisateur,
• spécifique : il doit porter sur un cookie précis associé à une finalité clairement définie,
• informé : l’information doit être préalable et préciser la finalité du cookie ainsi que la possibilité de s’opposer ultérieurement.

La validité du consentement est liée à la qualité de l’information reçue. Celle-ci doit être rédigée en des termes simples et compréhensibles du grand public tout en étant précise.

Par exemple, si le cookie a pour finalité de "créer des profils d’utilisateurs afin d’adresser des publicités ciblées", l’information devra reprendre l'ensemble de ces termes et non se limiter à indiquer "publicité".

3. Le paramétrage du navigateur est-il une modalité valable du consentement ?

Pour qu’il y ait consentement libre et spécifique exprimé à travers les paramètres du navigateur, ce dernier doit pouvoir permettre à l’utilisateur de choisir quels cookies il accepte et pour quelle finalité. Un navigateur qui accepterait par principe tous les cookies sans distinguer leur finalité ne pourra pas être considéré comme permettant de donner un accord valable puisqu’il ne serait pas spécifique.

Le paramétrage de la plupart des navigateurs (comme firefox, internet explorer, safari ou chrome) peut être modifié pour que l’accord de l’utilisateur soit demandé pour chaque cookie. Néanmoins, cette solution soulève un certain nombre de problèmes pratiques et ergonomiques, pour les raisons suivantes :

• à elle seule, cette solution est insuffisante, car elle ne donne pas une information "claire et complète" à l’utilisateur lors de la demande de consentement ;
• le site web qui souhaite utiliser ce mécanisme n’a pas aujourd’hui les moyens de vérifier si effectivement le paramétrage du navigateur de l’utilisateur est correctement établi ;
• ce paramétrage concerne tous les cookies, même ceux qui sont exemptés de consentement préalable, car le navigateur n’est pas en mesure de faire cette distinction ;
• ce paramétrage est complexe à mettre en oeuvre par l’utilisateur, et varie d’un navigateur à un autre de manière significative.

Les navigateurs actuels n’offrant pas à eux seuls un paramétrage qui répond aux exigences de la loi, le Législateur a prévu d’autres possibilités en précisant que le consentement de l’utilisateur pouvait également être exprimé par "tout autre dispositif placé sous son contrôle". Cela pourrait être, par exemple, un module à ajouter au navigateur ou une plateforme web gérant les consentements.

4. Comment recueillir valablement le consentement ?

Il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement.

Le mécanisme de recueil de l’accord de l’utilisateur peut prendre plusieurs formes, comme par exemple:

• une bannière en haut d’une page web (tel qu’instaurée sur le site www.ico.gov.uk),
• une zone de demande de consentement en surimpression sur la page,
• des cases à cocher lors de l’inscription à un service en ligne.

Ces exemples ne sont pas limitatifs.

Attention : les fenêtres "pop-up" classiques ne sont pas recommandées, car celles-ci sont souvent bloquées par les navigateurs.

5. Et demain, quels développements techniques sont envisageables pour répondre à la loi?

Les fabricants de navigateurs sont en train de développer des nouveaux mécanismes pour permettre aux internautes d’exprimer leurs préférences en matière de vie privée. On peut citer par exemple, le mécanisme "do not track" ("ne pas pister") développé par la fondation Mozilla, éditeur du navigateur Firefox, qui pourrait être bientôt standardisé par le World Wilde Web consortium (w3c). Ce mécanisme ne cible pas directement les cookies mais il pourrait sans doute être adapté ou modifié pour répondre à la loi, à condition d’être activé par défaut sur les navigateurs et de permettre à l’utilisateur de le paramétrer facilement pour exprimer ses préférences.

L’industrie de la publicité en ligne a développé des plateformes centralisées qui permettent aux utilisateurs d’exprimer leurs préférences en fonction des cookies que les régies de publicité en ligne utilisent. Ces plateformes visent à être conformes à l’ancienne législation mais n’ont pas encore évoluées pour s’adapter au principe de consentement prévu dans la nouvelle réglementation. Il serait techniquement peu complexe de modifier ces plateformes pour les rendre compatibles avec la nouvelle réglementation. L’utilisateur pourrait alors accéder à une plateforme centralisée lui permettant d’exprimer au cas par cas son accord pour recevoir des cookies correspondant à ses choix personnels.

6. Doit-on solliciter l’accord de l’utilisateur à chaque visite d’une page web ?

Non, si l’utilisateur à précédemment donné son accord (ou exprimé son refus) pour un cookie, il n’est pas nécessaire de solliciter de nouveau son accord lors des visites suivantes.

Ce principe est valable aussi pour les cookies "tiers". Ainsi, par exemple, si un internaute accepte de recevoir des cookies tiers provenant d’une certaine régie publicitaire pour de la publicité comportementale, alors cet accord sera valable sur tous les sites web qui affichent des publicités provenant de cette même régie publicitaire.

7. Peut-on utiliser un cookie pour mémoriser le refus d’un utilisateur à ne pas recevoir de cookies ?

Oui, cette solution est tout à fait envisageable : si l’utilisateur refuse le cookie, il est utile de mémoriser ce refus pour ne pas le solliciter de nouveau inutilement lors des visites suivantes. L’une des solutions possibles consiste précisément à utiliser un "cookie de refus" qui mémorisera son choix.

Puisque le consentement de l’utilisateur est spécifique à une finalité déterminée, l'utilisateur peut à la fois :

• refuser de donner son accord pour recevoir un cookie qui enregistrera, par exemple, les derniers articles qu’il a consultés sur un site marchand.
• accepter de donner son accord pour recevoir un cookie qui matérialisera son refus de recevoir le cookie précédemment décrit.

En pratique, le site devrait pouvoir offrir un choix multiple à l’internaute :

• accepter le cookie décrit,
• refuser le cookie et lui redemander son avis la prochaine fois,
• refuser le cookie décrit et mémoriser ce refus par l’installation d’un "cookie de refus".

8. La modification des conditions générales d’utilisation (CGU) constitue-t-elle une modalité acceptable du recueil du consentement?

Non : un seul document tel que les CGU ne permet pas de recueillir valablement le consentement pour chaque type de cookie. Par ailleurs, un internaute pourrait souhaiter accepter les CGU, et refuser la clause indiquant qu’il accepte les cookies permettant le profilage à des fins publicitaires.

9. Ma responsabilité est-elle engagée si le cookie est déposé par un tiers sur mon site ?

Oui : Votre responsabilité est engagée dès lors que votre site permet à un tiers de déposer un cookie sur le terminal d’un de vos internautes. C’est par exemple le cas si vous avez comme partenaire une régie publicitaire.

En cas de sous-traitance, il convient de bien encadrer les obligations de chacun dans un document écrit, explicite et accepté des deux parties.

10. Quels sont les risques si je ne me conforme pas à la nouvelle réglementation ?

Tout manquement à la loi "informatique et libertés" est passible de sanctions financières pouvant aller jusqu'à 300 000€. La Commission a conscience que la mise en conformité de certains sites nécessitera plus de délai que d’autres. En cas de plainte ou de contrôle, la Commission appréciera les efforts mis en oeuvre par le responsable du traitement pour se mettre en conformité.