Mise en place de la réglementation européenne sur les cookies

 « Ce site Internet utilise des cookies ». Voici une phrase que les internautes commencent à connaître par cœur. Les administrateurs de sites Internet doivent être transparents en ce qui concerne l’utilisation des données utilisateurs. D’après la directive européenne dite « paquet télécom », il faut que les internautes en soient informés et qu’ils donnent leur consentement. Ils doivent disposer de la possibilité de ne pas être tracés lorsqu’ils visitent un site Internet.

L’entrée en vigueur du RGPD en mai 2018 a aussi modifié la réglementation en France notamment concernant la récolte et le traitement des données personnelles. Mais concernant précisément les cookies, c’est l’e-privacy qui va être juridiquement contraignante. Elle a été présentée officiellement par l’UE le 10 janvier 2017, mais ne doit pas entrer en vigueur avant mai 2019 et remplacera alors la directive de l’UE sur les cookies, précisant et complétant la règlementation actuelle. Mais quel est l’état actuel de la réglementation ?

Qu’est-ce qu’un cookie et quelles sont les données collectées ?

Les cookies (ou les traceurs pour être plus exact) sont des fichiers textes qui sont téléchargés dans le navigateur d’un site Internet sur l’ordinateur d’un internaute. Ils sauvegardent les données relatives à la visite d’un site Web, ce qui a pour conséquence d’améliorer son ergonomie. Pour citer quelques exemples, un navigateur garde en mémoire les informations de connexion, les identifiants voire les langues de préférence, ce qui permet aux internautes de ne pas avoir à constamment configurer leur programme. Au-delà de l’aspect pratique, les critiques de ce système soulignent le fait que les cookies sont incompatibles avec une politique stricte de confidentialité. En effet, la plupart des cookies sont appliqués afin de pointer certains aspects du comportement des utilisateurs et par exemple aider les acteurs du Web à mieux cibler leurs publicités.

Un cookie est composé d’une donnée concernant la durée de vie d’un fichier texte mais aussi d’un numéro généré au hasard dont le but est qu’il soit reconnu par votre ordinateur. En règle générale, la sauvegarde de cookies est anonymisée. Les données relatives aux personnes peuvent par la suite être collectées si la page correspondante exige un identifiant.

Remarque

Les données stockées dans un fichier texte ne peuvent être lues que par le serveur Web qui a configuré le cookie.

Que prévoit la directive européenne sur les cookies ?

La directive de l’Union Européenne 2009/136/CE vise à améliorer et à renforcer la protection des données des utilisateurs sur Internet. Elle prévoit en substance que les visiteurs d’un site Web soient informés de l’utilisation de cookies grâce à une indication relativement compréhensible et qu’ils doivent accorder leur consentement. Nous parlons ici avant tout des cookies publicitaires qui sont utilisés dans le cadre du reciblage mais également pour les analyses marketing et pour les média sociaux.  Il est possible que les cookies soient appliqués sans autorisation des utilisateurs s’ils sont jugés techniquement nécessaires pour la délivrance d'un service fourni par le site Internet et expressément demandé par l'abonné ou l'utilisateur. Ces données sont par exemple les configurations de langues, les identifiants, les paniers d’achat voire les cookies flash pour la lecture de contenu multimédia.

Voici un aperçu des cookies nécessitant une information préalable et une demande de consentement :

  • Les cookies liés aux opérations publicitaires ;
  • Les cookies de mesures d’audience ;
  • Les cookies des réseaux sociaux.

Cependant, la directive de l’UE ne précise pas comment ces exigences doivent être mises en œuvre exactement. L’incertitude règne surtout en ce qui concerne la déclaration de consentement des visiteurs du site Web.

La situation va changer avec le règlement e-Privacy

Le nouveau règlement va en effet mieux répondre à cette question. Le projet actuel interdit généralement les cookies techniquement inutiles, à l’exception de ceux que les utilisateurs acceptent en amont. La première ébauche ne mentionnait que les applications Web. La version du 22 mars 2018 comprend tous les types de communication par machine, comme les applications, les courriers électroniques, et la collecte de métadonnées pour les appels VoIP. Ceci s’applique également à la communication entre deux machines, ce qu’on appelle la communication M2M.

Même si le règlement e-Privacy fera partie du droit communautaire, son contenu risque aussi de concerner les fournisseurs internationaux de services de communication. En effet, le règlement stipule que les règles s’appliquent dès qu’un terminal se trouve à l’intérieur des frontières de l’UE.

Par exemple, la protection des données aux États-Unis est moins stricte. Dans l’affaire de Microsoft en Irlande, un tribunal américain souhaitait obliger la société à rendre accessibles les données relatives aux clients des citoyens de l’UE aux États-Unis. C’est là que se trouve le siège social de Microsoft, soumis à la loi américaine. Toutefois, les données des clients européens sont stockées et protégées en Europe par une filiale. Au motif que la loi américaine ne s’applique que sur le sol américain, l’action pourrait être évitée en premier lieu. Mais le processus est toujours en cours. Reste à voir dans quelle mesure le droit européen va interférer à l’avenir avec le droit américain.

Étant donné que le règlement e-Privacy va s’appliquer dès qu’un terminal en Europe accède à des services de communication, les entreprises américaines devront donc adapter leurs offres par rapport aux cookies pour l’UE et placer ainsi une publicité moins ciblée.

En France, c’est la CNIL (Commission nationale de l'informatique et des libertés) qui gère le dossier, et les contrôles ont commencé dès le mois d’octobre 2014. Tout acteur contrevenant à cette obligation s'expose à une amende pouvant atteindre 150 000 euros. Par ailleurs, étant donné que ce consentement peut être oublié par les internautes, la directive estime nécessaire de limiter dans le temps la portée de l’accord à 13 mois maximum.

Contenu de la directive actuelle de l’UE sur les cookies

L’Union européenne souhaite protéger davantage les données personnelles des internautes avec la directive sur les cookies. Fondamentalement, l’UE fait la distinction entre les cookies techniquement nécessaires et les cookies non nécessaires :

  1. Cookies techniquement nécessaires : le stockage de données nécessaire comprend les cookies qui sont absolument nécessaire pour les fonctions d’un site Web. Cela signifie, par exemple, enregistrer les données de connexion, le panier d’achat ou bien la sélection de la langue à l’aide de cookies de session (qui sont supprimés lorsque le navigateur est fermé).
  2. Les cookies techniquement non nécessaires : les cookies non essentiels sont considérés comme des fichiers texte qui ne servent pas uniquement à la fonctionnalité du site Web, mais qui collectent aussi d’autres données. Ce sont notamment les suivants :
  • Les cookies de suivi
  • Les cookies de ciblage (targeting)
  • Les cookies d‘analyse
  • Les cookies de réseaux sociaux

Conformément à la directive, les cookies nécessaires peuvent être mis en place dès le début, sans le consentement préalable des utilisateurs. Mais les visiteurs d’un site Web doivent donner leur consentement avant que les cookies ne sauvegardent des données non nécessaires. Ainsi, la directive de l’UE sur les cookies exige généralement une solution opt-in pour les cookies non nécessaires.

Voici la différence entre l‘opt-out et l’opt-in :

  • Opt-out : les cookies sont mis en place dès le début et les utilisateurs ne peuvent s’opposer à l’enregistrement des données que plus tard.
  • Opt-in : les cookies ne sont pas mis en place tout de suite, mais seulement lorsque l’utilisateur accepte l’enregistrement des données.

Comment mettre en pratique cette directive ?

Consciente que la loi comporte une certaine complexité, la CNIL consacre une partie de son site Web à ce sujet. Elle explique à qui est imposé cette obligation, quels sont les cookies visés, les solutions de mesures d’audience, comment recueillir valablement le consentement et explique les durées de vie des cookies.

Que faire pour être en conformité ?

Le scénario type est le suivant. Les administrateurs de sites Internet doivent désactiver tous les modules (analytics, régies pub et boutons sociaux) et afficher un bandeau avec un message stipulant que la poursuite de la navigation équivaut au consentement de l’internaute.

Il faut veiller à ne pas dégrader l’expérience utilisateur en attendant que celui-ci poursuive son chemin. Si l’internaute refuse par exemple, il est important de créer une alternative pour que votre site internet ne soit pas bloqué. Pour les publicités par exemple, il peut être recommandé de mettre en place un panneau de contrôle pour permettre à l’internaute d’activer chaque service de manière indépendante.

Opt-in ou Opt-out ?

La directive européenne sur les cookies n’est pas claire concernant la question de savoir si l'utilisateur doit accepter l'utilisation des cookies avant que ces fichiers texte n’enregistrent ses données, ou si l'exploitant du site peut utiliser des cookies dès le départ. Pour le premier cas, nous parlons de opt-in, pour le dernier, de opt-out. En ce qui concerne le premier, le consentement de l'utilisateur est obligatoire pour le stockage de données tandis que opt-out ne permet aux visiteurs du site de donner leur avis qu’après coup.

Étant donné que la directive européenne sur les cookies ne définit pas précisément si le stockage de données peut être fait dès la première utilisation ou non, sa mise en œuvre diffère d’un pays à l’autre. La majorité des pays de l'UE appliquent cette spécificité dans leurs droits nationaux. Le opt-in est obligatoire dans certains pays alors que le opt-out l’est dans d’autres. Certains états n’ont néanmoins pas encore pris leur décision. Dans l'ensemble, la mise en œuvre de la directive européenne sur les cookies est donc loin d'être uniforme.

La France a adopté une position favorable et n’a pas retenu les aspects les plus contraignants de la directive.

Cookies et protection des données : que réserve l’avenir ?

Les exploitants de sites Web devraient suivre de près l’évolution de la mise en œuvre de la directive européenne sur les cookies, car la situation juridique va certainement évoluer avec le règlement e-Privacy. Le règlement de l’UE sur la protection des données (RGPD) contient d’autres dispositions relatives à la sécurité des données personnelles des utilisateurs. Tant que le règlement e-Privacy n’est pas contraignant et mis en œuvre, les cookies relèvent au moins de la sphère d’influence des données à caractère personnel comme l’encadre le chapitre 1 du RGPD dans la mesure où les exploitants de sites Internet collectent des donnés qui permettent d’identifier un utilisateur de quelque manière que ce soit (profil d’utilisateur, numéro d’identification, etc.).

Ces dernières années, les sites Web français ont dû suivre de plus près la directive sur les cookies quand par exemple, ils vendaient, via une boutique en ligne, des biens à d’autres pays de l’UE qui appliquent le droit communautaire de manière plus stricte. La politique européenne sur les cookies a aussi eu un impact sur le retargeting, où les experts en marketing Web utilisent des cookies de suivi pour encourager les clients à effectuer d’autres transactions.

De plus, avec l’introduction du règlement général sur la protection des données, des règles plus strictes s’appliquent désormais en France pour le traitement des données à caractère personnel. Cette mise en œuvre scrupuleuse permettra aux exploitants de sites Web d’économiser beaucoup de travail quand la nouvelle directive sur le s cookie via l’e-Privacy sera juridiquement contraignante.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.