La transposition en droit français des directives dites “paquet télécom” renforce notamment l’obligation d’information des internautes à l’égard des cookies. La loi impose désormais, dans certains cas, aux responsables de sites d’informer les internautes et de recueillir leur consentement avant l’insertion de cookies. Comment se mettre en conformité ? Quels cookies sont concernés ? La CNIL fait le point sur ces nouvelles obligations.
I. Qu’est-ce que le Paquet Télécom ?
Le “Paquet Télécom” est le nom donné aux deux directives et au règlement relatif aux communications électroniques adoptés par le Parlement et le Conseil européen le 25 novembre 2009.
L’un de ces textes intéresse directement la protection des données, puisque la directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (2002/58/CE) a été modifiée (directive 2009/136/CE).
Le gouvernement français a transposé ces nouvelles normes dans une ordonnance publiée le 24 août 2011 (dite ordonnance “Paquet télécom”) qui modifie notamment l’article 32 II de la loi du 6 janvier 1978.
II. Que dit la loi ?
Texte de référence : nouvel article 32 II de la loi informatique et libertés
“II. – Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
ð de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
ð des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
ð soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
ð soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.”
Qu’est-ce qui change avec l’ordonnance “Paquet Telecom” ?
L’information doit être préalable au dépôt du cookie, et le consentement de l’internaute doit être demandé.
Attention : Le droit de s’opposer à tout moment à l’utilisation d’un cookie d’ores et déjà installé demeure, ainsi que l’obligation de préciser à quoi sert le cookie.
Que veut-on dire quand on parle de “cookie” ?
Il s’agit des “informations stockées dans l’équipement terminal”, qui sont déposées par un site Internet sur le terminal d’un utilisateur. Déposer un “cookie” consiste donc à coller une “étiquette” sur le terminal de l’internaute. Si cette étiquette contient un numéro d’identification unique, le site pourra utiliser cet identifiant pour distinguer un internaute d’un autre, et donc le reconnaître d’une visite à l’autre.
Par exemple, en matière de publicité comportementale en ligne, un identifiant numérique contenu dans un cookie permet d’étiqueter et donc de “pister” un internaute pour constituer un profil à partir des pages qu’il a visitées sur Internet. Ce profil permet de proposer à l’utilisateur des publicités ciblées.
Ces dispositions sont aussi valables pour des technologies apparentées aux cookies, comme les cookies “flash” (aussi appelé “Local Shared Object”) ou encore le stockage local web (aussi appelé “Stockage DOM”). Le mot “cookie” utilisé dans le reste de ce document est à prendre avec un sens large.
Comment recueillir valablement le consentement ?
Il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement.
