Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une nouvelle proposition de régulation européenne sur les cookies

février 2017 par Annabelle Richard & Guillaume Morat, Avocats – Pinsent Masons France LLP

La Commission européenne a publié le 10 janvier 2017 une proposition de règlement relatif à la vie privée et aux communications électroniques[1].

La régulation des « cookies », ces fichiers déposés sur le disque dur d’un utilisateur par le serveur du site qu’il visite à des fins – par exemple – d’identification / authentification, de mesure d’audience ou de publicité ciblée, devrait prochainement évoluer sous l’empire de cette proposition de règlement.

La réglementation actuelle

Cette proposition de règlement est destinée à remplacer la directive 2002/58/CE du 12 juillet 2002 (dite « directive vie privée et communications électroniques ») qui avait été modifiée par la directive 2009/136/CE du 25 novembre 2009 puis transposée en France en 2011[2].

En l’état de la réglementation actuelle, les traceurs (cookies ou autres) ne peuvent être déposés ou lus sur le terminal d’un internaute tant que celui-ci n’a pas donné son consentement préalable, à l’exception des cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et les cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur (e.g. les cookies de paniers d’achat pour les sites de e-commerce, les cookies identifiant de session pour la durée d’une session, etc.)[3].

Ces informations sont notamment regroupées, conformément aux recommandations de la Commission nationale de l’Informatique et des libertés (Cnil), sur un bandeau s’affichant automatiquement dès l’arrivée sur le site et qui doit notamment préciser les finalités des cookies utilisés, la possibilité de s’y opposer et le fait que la poursuite de la navigation vaut accord pour l’installation et la lecture de cookies[4].

Les apports de la proposition de règlement

Les autorités européennes ont constaté que la réglementation actuelle serait tout à la fois excessivement contraignante pour les éditeurs de site web ou d’applications mobiles et inefficace pour les utilisateurs.

Cette nouvelle proposition de règlement innove concernant les modalités de consentement en permettant le recueil du consentement de l’utilisateur en amont via le paramétrage de son navigateur lorsque cela est techniquement possible et réalisable[5].

L’objectif consiste à ne plus contraindre les internautes de répondre sans cesse à des demandes d’autorisation liées au dépôt des cookies alors que celles-ci sont généralement accordées de manière automatique sans en mesurer la véritable portée.

Faut-il en conclure que l’obligation de recueil de consentement ne pèse désormais plus que sur le logiciel de navigation ?

C’est ce qui semble ressortir de la proposition de règlement mais encore faut-il que cela soit "techniquement possible et réalisable".

La Cnil s’était d’ailleurs déjà exprimée sur le paramétrage du navigateur comme mode de recueil du consentement pour les cookies et avait relevé que les paramètres du navigateur ne permettaient pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP et qu’ils ne pourraient être satisfaisants s’ils permettaient de gérer d’autres technologies (e.g. les pixels invisibles, les cookies flash, ou les techniques de fingerprinting)[6].

De notre point de vue, cette nouvelle proposition doit être accueillie favorablement ne serait-ce que parce qu’elle permettrait d’alléger les obligations incombant actuellement aux éditeurs de site web ou d’applications mobiles.

Toutefois, cette proposition nous semble relativement complexe à mettre en œuvre dans la mesure où une majorité de personnes concernées pourraient être tentées de refuser par défaut certains cookies alors qu’elles auraient pu les accepter au cas par cas.

En outre, ce nouveau système nécessiterait de paramétrer chaque logiciel de navigation sur chaque appareil (PC, tablette, Smartphone, etc.) et ne serait pas véritablement rattaché à un "compte utilisateur".

Par ailleurs, la proposition de règlement prévoit, par l’effet d’un renvoi aux dispositions du règlement dit "GDPR" (applicable à partir du 25 mai 2018), que l’internaute devra pouvoir retirer son consentement à tout moment et en être informé lors du recueil de son consentement.

Le texte exclut enfin de l’obligation de consentement l’ensemble des cookies dits "non intrusifs", c’est-à-dire les cookies d’analyse et de fréquentation de site, élargissant ainsi la liste des exceptions actuelles.

En tout état de cause, un travail de pédagogie sera nécessaire pour accompagner l’application de cette nouvelle proposition de règlement mais celle-ci est encore susceptible d’évoluer.

[1] Proposal for a regulation of the European parliament and of the council concerning the respect for private life and the protection of personal data in electronic communications and repealing directive 2002/58/EC
[2] Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques - Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
[3] Loi 78-17 du 6 janvier 1978 modifiée (dite "loi Informatique et Libertés") modifiée, art 32 II
[4] Délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978
[5] Art. 9 § 2 : "Without prejudice to paragraph 1, where technically possible and feasible, for the purposes of point (b) of Article 8(1), consent may be expressed by using the appropriate technical settings of a software application enabling access to the internet."
[6] Délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978


Voir les articles précédents

    

Voir les articles suivants