Comme mentionné dans notre précédent article intitulé « Accélération de la transposition des modifications de la Directive Vie Privé et Communications Electroniques », la directive 2009/136/CE du 25 novembre 2009 venant modifier la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données personnelles et aux communications électroniques, prévoit notamment des dispositions en matière de « cookies » visant à (i) renforcer l’obligation d’information des internautes, mais surtout à (ii) réformer le mode de consentement des internautes. Alors que cette directive devait être transposée par tous les Etats membres avant le 25 mai 2011, au jour d’aujourd’hui, seuls 5 Etats sur 27 l’ont transposé, à savoir le Danemark, l’Espagne, l’Estonie, le Luxembourg, et le Royaume-Uni.
En France, une ordonnance de transposition devrait voir le jour au plus tard le 21 septembre 2011. Il est possible que la loi anglaise serve de modèle.
La loi britannique modifiant le règlement relatif à la vie privée et les communications électroniques de 2003 (« the Privacy and Electronic Communications Regulations », surnommé le « Règlement PECR ») vient d’entrer en vigueur le 26 mai dernier.
1. L’internaute doit désormais donner son autorisation préalable à l’implantation de cookie dans son ordinateur
Selon la directive, « les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement.»
Tout d’abord, aux termes de la directive, les opérateurs doivent mettre en place des pages « Vie privée » indiquant (i) la fonction des cookies en place sur les sites, et (ii) les moyens par lesquels les internautes peuvent s’opposer aux cookies. Avant la loi de transposition du 26 mai 2011, le règlement PECR prévoyait déjà une telle obligation d’information à la charge des opérateurs internet.
La loi du 26 mai 2011 vient réformer le règlement PECR quant au consentement préalable de l’internaute en matière de cookies. En effet, avant la réforme, le consentement des internautes était présumé, et les internautes devaient simplement avoir la possibilité de refuser les cookies. Depuis le 26 mai 2011, le Royaume-Uni est passé d’un système d’« opt-out » à un système d’ « opt-in ». En effet, les opérateurs internet doivent désormais obtenir le consentement éclairé des internautes (i.e. après leur avoir donné toutes les informations requises) qui visitent leur site web, avant de pouvoir implanter des cookies dans leurs ordinateurs.
Cependant, le règlement PECR, transposant fidèlement la directive, prévoit une exception à cette obligation pour une catégorie spécifique de cookies. En effet, l’opérateur internet n’a pas besoin d’obtenir l’autorisation préalable de l’internaute pour pouvoir implanter les cookies qui sont strictement nécessaires à la fourniture d’un service expressément demandé par l’internaute, tels que les cookies permettant de retenir le login et le mot de passe de l’internaute, ou des paniers d’achat sur les sites de commerce électronique.
L’ICO reconnaît qu’en pratique l’obligation de recueillir le consentement préalable de l’internaute est difficile à mettre en œuvre, et risque d’être à l’origine d’inconvénients disproportionnés, aussi bien pour les internautes que pour les opérateurs internet. Elle a ainsi indiqué que les opérateurs internet disposent d’un délai de 12 mois (jusqu’en mai 2012) afin de se conformer à cette obligation.
Passé ce délai de 12 mois, les opérateurs internet sont susceptibles d’être sanctionnés. Depuis la loi du 26 mai 2011, les pouvoirs de l’ICO ont été renforcés, et l’autorité a désormais le pouvoir de prononcer des sanctions pécuniaire allant jusqu’à un montant de 500 000 £ lorsque des violations sérieuses de la loi ont été commises.
2. Comment se manifeste le consentement préalable de l’internaute ?
Selon l’ICO, il existe différentes méthodes permettant de récolter le consentement préalable des internautes, à savoir :
• L’opérateur internet peut bien sûr utiliser des fenêtres pop-up, indiquant par exemple : « Nous autorisez-vous à poser des fichiers sur votre ordinateur dans le but de faciliter votre navigation ? Pour plus d’informations, consultez les informations légales. ». Cependant, cette technique est susceptible de perturber les internautes dans la mesure où un nombre très important de cookies sont utilisés.
• L’opérateur internet peut procéder à la modification de ses conditions générales sur son site web, intégrant la réforme. Cependant, ces changements doivent être non seulement portés à l’attention de l’internaute, mais également acceptés par ce dernier avant que les cookies soient installés sur son ordinateur. Ainsi, les internautes doivent cocher une case « j’accepte » après avoir lu les conditions générales, ce qui revient au même et reste aussi contraignant que l’utilisation de fenêtres « pop-up ».
• L’opérateur peut ajouter dans les paramètres de son site web que chaque internaute doit personnaliser, un paramètre spécifique relatif aux cookies, et permettant en particulier à l’internaute d’accepter ou refuser l’implantation de cookies provenant de son site web.
• Enfin, l’article 6(3A) du règlement PECR dispose que le consentement peut être donné par l’internaute grâce à la modification ou la mise en place des paramètres du navigateur de son ordinateur, ou bien par l’utilisation d’une autre application ou programme informatique permettant à l’internaute de donner son consentement. Cependant, les paramètres de la plupart des navigateurs ne sont pas à l’heure actuelle suffisamment sophistiqués pour permettre aux internautes de donner leur consentement éclairé. En effet, les navigateurs permettent aujourd’hui aux opérateurs internet la mise en place des cookies par défaut, et l’autorisation des internautes est donc présumée. Ainsi, le consentement des internautes ne peut pas encore être obtenu grâce aux paramètres de navigation. C’est pourquoi le gouvernement britannique a d’ores et déjà mis en place un groupe de travail avec les représentants des fabricants de navigateur afin de créer des navigateurs conformes au règlement PECR tel que modifié par la réforme.
3. Incertitudes quant au consentement préalable de l’internaute obtenu grâce aux changements des paramètres du navigateur
Le gouvernement britannique a indiqué, marquant ainsi son opposition avec la position du groupe de travail de l’article 29, qu’il n’est pas nécessaire (nous supposons que c’est en l’état actuel de la technologie) pour l’internaute de signifier effectivement dans les paramètres de navigation de son ordinateur son consentement préalable à l’implantation de cookies. En effet, le gouvernement a précisé qu’une abstention peut également marquer le consentement de l’internaute.
Ainsi, il est difficile de savoir par avance la position que vont adopter les 22 États membres qui n’ont pas encore transposé la directive, et s’ils vont se rallier aux recommandations du groupe de travail de l’article 29, ou à la position du gouvernement britannique.