Eric Barbry – Directeur du Pôle « Droit du numérique »
Alain Bensoussan Avocats Lexing®
Omniprésents sur le web, les cookies sont pourtant très méconnus sur le plan juridique. Cette méconnaissance est singulière car les sanctions sont bien réelles et les conditions pour respecter la légalité relativement simples à respecter.
Au plan technique il s’agit schématiquement de données utilisées par un serveur pour envoyer des informations d’état au navigateur d’un utilisateur et pour ce navigateur de renvoyer des informations d’état au serveur d’origine. Les informations d’état peuvent être par exemple un identifiant de session, une langue, une date d’expiration, …
Les cookies permettent de conserver ces informations d’état lorsqu’un navigateur accède aux différentes pages d’un site Web ou lorsque ce navigateur retourne ultérieurement sur ce site Web.
En droit français, la notion de « cookie » est traduite par celle de « témoin de connexion » et l’on voit ici en filigrane toute la problématique posée … « témoin » c’est à dire mouchard … de « mes connexions » autrement dit de ma vie sur le web !
Pourtant si l’on peut penser que les cookies de « ciblage » publicitaires sont intrusifs tel n’est pas nécessairement le cas des cookies dit de « confort » (cookie de session ou de langue).
Le législateur européen, afin de garantir un niveau de protection élevé de l’utilisateur et ce par le biais de l’information, a révisé la directive 2002/58/CE (faisant partie du « Paquet télécom ») par l’adoption de la directive 2009/136/CE et pose en matière de cookies, le principe de l’opt-in c’est-à-dire que le dépôt de cookies sur le terminal d’un utilisateur ne doit se faire qu’avec le consentement préalable de l’utilisateur.
La directive, transposée par l’ordonnance du 24 aout 2011 a modifié l’article 32-II de la Loi informatique et libertés.
Or, cet article demeure assez vague et difficile à mettre en pratique. C’est pour venir éclairer les responsables de traitements utilisant ce genre de traceurs, que la Cnil a, le 5 décembre 2013 adopté une recommandation précisant le champ d’application de l’article.*
Afin de donner son consentement (entendu comme une « manifestation de volonté, libre, spécifique et informée ») l’utilisateur se doit d’être au préalable dument informé d’une part des finalités pour lesquelles les cookies sont déposés sur le terminal et d’autre part des moyens dont ce premier dispose afin de s’y opposer.
Il est très important de se rendre compte du caractère non déterminant de la qualification de « données à caractère personnel » des cookies pour devoir appliquer la Loi informatique et libertés. L’article 32-II a, en réalité, vocation à s’appliquer à partir du moment où il est question d’ « action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».
Toutefois, et pour prendre en compte les impératifs de certaines entreprises qui basent la structure de leurs services sur le dépôt de cookies, l’article prévoit certaines exceptions.
Il s’agit de cas où les informations consultées ou stockées sur le terminal ont pour finalité:
Pour exemple, ne seront pas concernés par les obligations d’information et de consentement, les « cookies de panier » ou de « session utilisateur ».
A cet égard, la Cnil a indiqué que sous réserve d’une information efficace, les paramètres de navigateur pouvaient être utilisés pour les cookies HTTP, mais seulement si l’utilisateur :
La Cnil, en cas de manquement à la Loi informatique et libertés, peut prononcer des sanctions (avertissement, mise en demeure, ….). Par ailleurs des sanctions pénales peuvent également être encourues. Sur ce fondement l’homologue espagnol de la Cnil a d’ailleurs déjà eu l’occasion de prononcer une sanction pécuniaire le 14 janvier 2014** à l’encontre d’un éditeur de site internet qui ne s’était pas mis en conformité avec la législation « cookies ».
De plus, la loi du 17 mars 2014, loi « Hamon » est venu accorder à la Cnil un pouvoir de contrôle en ligne alors qu’il se limitait alors aux contrôles sur place et sur audition. Les risques sont donc accrus et une réelle attention doit être portée sur sa politique cookie.
Démarche de conformité ?
La démarche de conformité n’est pas si compliquée qu’il n’y paraît et repose sur 5 actions de base :
Action 1 – Recensement des cookies, identification de leur finalité et durée de validité pour les qualifier et déterminer le niveau d’obligation à respecter (information v. autorisation) ;
Action 2 – Déploiement des interfaces et/ou mentions utilisateur adaptées ;
Action 3 – Rédaction et mise en ligne d’une politique cookies ;
Action 4 – Vérification et/ou adaptation des déclarations réalisées auprès de la Cnil ;
Action 5 – Sensibilisation des équipes web marketing.
D’autres actions peuvent venir enrichir ce socle de base comme par exemple l’analyse spécifique des cookies dans un environnement « application mobile », le recours au « device fingerprinting », …
Mais respecter les 5 premières actions… c’est déjà un bon début :)
Pour aller plus loin :
http://www.alain-bensoussan.com
* http://www.alain-bensoussan.com/recommandations-cnil-cookies/2013/12/20/
** http://www.alain-bensoussan.com/cookies-premiere-sanction-espagne/2014/02/21/
.png?width=51&name=linkedin%20(1).png "linkedin SLAP digital")