Le nouveau régime juridique des cookies: information et consentement
MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.
L'article 5 de la directive 2002/58/CE «vie privée et communications électroniques» a été modifié par la directive 2009/136/CE. Il conditionne désormais le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal d'un internaute au consentement de ce dernier. La France a transposé cette directive par ordonnance le 24 août 2011.
1. Les cookquoi?
Les cookies, ou témoins de connexion, sont des informations stockées sur l'équipement terminal de l'utilisateur d'un réseau de communications électroniques. La Cnil définit un cookie comme étant «un petit fichier texte déposé sur le disque dur par le serveur du site» internet visité. Il contient notamment le nom du serveur qui l'a écrit, un identifiant sous forme de numéro unique (le plus souvent) et, éventuellement, une date d'expiration. Les cookies sont des données utilisées par un serveur web pour envoyer des informations au navigateur d'un utilisateur, qui va alors renvoyer des informations au serveur web d'origine. Si certains cookies permettent juste de répondre à une demande d'un internaute, d'autres sont destinés à analyser et cibler l'internaute par rapport à ses choix, sa navigation... Or, c'est principalement, mais non uniquement, ces cookies qui se trouvent visés par les nouvelles dispositions susvisées.
2. Le nouveau régime des cookies: l'opt-in
Jusqu'à présent, la loi imposait aux éditeurs de sites internet d'informer les internautes du fait qu'ils installaient des cookies. En pratique, les responsables de traitement concernés intégraient cette information dans leurs conditions générales ou leur notice légale. Si, aujourd'hui, l'obligation d'information des utilisateurs demeure, il a été ajouté l'obligation de recueillir leur consentement préalable pour certains cookies.
2.1 L'obligation information
Aux termes de l'article 32 de la loi Informatique et Libertés modifiée par l'ordonnance précitée, cette information doit être claire et complète. Cependant, l'ordonnance ne modifie en rien le texte antérieur. Néanmoins, la tendance est à la transparence et à la recherche d'une information spécifique sur les cookies qui doit être suffisante et intelligible. Les termes de l'article 32 impliquent, pour le responsable du traitement, de déterminer avec précision l'intégralité des cookies (ou techniques similaires) utilisés sur le site et leur finalité, ainsi que les moyens dont l'utilisateur dispose pour refuser les cookies et d'en informer ce dernier. Si cette obligation d'information peut suffire dans certaines cas, elle devra toutefois s'accompagner du recueil du consentement préalable de l'utilisateur pour de nombreux types de cookies.
2.2 L'opt-in
Le principe du consentement préalable revient à faire passer le régime de certains cookies en opt-in. Cette obligation ne concerne pas tous les cookies, mais seulement ceux qui n'ont pour finalité exclusive ni de permettre ou de faciliter la communication par voie électronique, ni d'être strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. Par conséquent, les responsables de traitements doivent identifier, dans les cookies installés sur le poste de l'internaute, ceux qui relèvent du régime de l'opt-in et ceux qui relèvent de l'opt-out. S'ils relèvent de l'opt-in, alors il conviendra de déterminer de quelle manière recueillir le consentement préalable à leur installation. Pour se conformer à ces nouvelles dispositions, il est impératif que les éditeurs de sites web engagent sans attendre une réflexion devant aboutir à la mise en conformité de leurs sites.