Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques
Comme mentionné dans notre précédent article intitulé « Accélération de la transposition des modifications de la Directive Vie Privé et Communications Electroniques » , la directive 2009/136/CE du 25 novembre 2009 venant modifier la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données personnelles et aux communications électroniques, prévoit notamment des dispositions en matière de « cookies » visant à (i) renforcer l’obligation d’information des internautes, mais surtout à (ii) réformer le consentement des internautes.
La France vient de s’ajouter à la liste de pays ayant transposé la directive (voir aussi notre article sur la transposition au Royaume Uni effective en mai 2011 ). Elle l’a fait par voie d’ordonnance pour éviter d’aggraver le retard pris par rapport au calendrier européen et les éventuelles sanctions de la Commission européenne. L’ordonnance est directement applicable mais un projet de loi de ratification doit être présenté au Parlement avant la fin novembre 2011 sous peine de la rendre caduque.
1. Qu’est qu’un cookie ?
Les cookies sont de petits fichiers installés sur l’ordinateur de l’internaute via son navigateur, permettant de repérer et mémoriser ses connexions à différentes pages Internet. Ils ont une durée de vie limitée.
Les cookies peuvent avoir des finalités différentes. Ils peuvent être utilisés pour maintenir les données relatives à l’utilisateur durant sa navigation, permettant de la fluidifier, construire des historiques de consultation ou des paniers d’achat sur les sites de commerce électronique. Ils sont devenus quasi indispensables sur les sites internet. . Mais, les cookies peuvent également avoir une finalité de pistage, et représenter un enjeu commercial important. En effet, en permettant aux opérateurs de repérer les habitudes de navigation de l’internaute, les cookies les renseignent sur leurs centres d’intérêt et permettent donc d’offrir des services de publicité ciblés. Enfin, les cookies peuvent émaner de l’opérateur du site web lui-même, ou d’un tiers, on les appelle alors des « cookies tierce partie ». La plupart de ces cookies sont utilisés afin de réaliser des études publicitaires comportementales.
La directive et la réglementation française ne se limitent pas aux cookies mais à tout procédé permettant d’accéder à des informations déjà stockées dans l’équipement terminal (ordinateur, ordinateur portable, téléphone portable, tablette…) ou à inscrire des informations dans cet équipement
2. L’internaute doit désormais donner son autorisation préalable à l’implantation de cookie dans son ordinateur
Selon la directive, « les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement.»
L’ordonnance du 24 août 2011 vient modifier l’article 32 II de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés »).
L’article 32 II prévoyait déjà que tout internaute doit être informé (i) de la finalité des cookies en place sur les sites, et (ii) des moyens par lesquels il peut s’opposer aux cookies.
De ce fait le consentement des internautes était présumé et le système reposait sur un principe de « opt out ». L’ordonnance est venu inverser ce principe en requérant un « opt in » à savoir que les opérateurs internet doivent obtenir le consentement éclairé des internautes (après leur avoir donné des informations claires et complètes) avant de pouvoir implanter des cookies dans leurs ordinateurs.
En revanche, l’ordonnance a conservé (ainsi que cela est prévu dans la directive) les deux exceptions à l’obligation d’obtenir l’autorisation préalable prévues à article 32 II de la Loi Informatique et Liberté, à savoir :
• Les cookies qui ont pour « finalité exclusive de permettre ou faciliter la communication par voie électronique » et
• Les cookies qui sont « strictement nécessaires à la fourniture d’un service expressément demandé par [l’internaute] » tel que les cookies permettant créer des paniers d’achat sur les sites de commerce électronique.
3. Comment se manifeste le consentement préalable de l’internaute ?
Il y a déjà eu de nombreux débats sur cette question que ce soit à la suite de la publication de la directive ou dans le cadre de la « Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique » adoptée par le Sénat le 23 mars 2010.
Le problème principal mis en avant est ce lui de la fluidité de la navigation qui serait grandement limitée si le consentement devrait être requis systématiquement. Il risque d’être à l’origine d’inconvénients disproportionnés, aussi bien pour les internautes que pour les opérateurs internet. Les débats en France ont surtout mis en avant la nécessité d’une transparence accrue (information complète sur les finalités, la nature des données collectées et des destinataires, le tout dans une rubrique spécifique et permanente ainsi que de manière claire et accessible).
La loi française a suivi une proposition exposée au point 66 du préambule de la directive en précisant à l’article 32 II que le consentement de l’internaute « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
En l’état de la loi et de la réglementation, il n’y a pas plus de précisions sur les modalités d’obtention du consentement. Il est a rappeler par exemple que sur le sujet même du paramétrage il y a des différences d’interprétation en Europe. Si le groupe de travail de l’article 29 considère que ce paramétrage doit se caractériser par un « opt in », le Royaume Uni semble avoir pris la position qu’une abstention (une absence de « opt out ») peut également marquer le consentement de l’internaute. Cette position du Royaume Unis est justifiée par le fait, qu’à l’heure actuelle, les paramètres de la plupart des navigateurs ne sont pas suffisamment sophistiqués pour permettre aux internautes de donner leur consentement éclairé. En effet, les navigateurs permettent aujourd’hui aux opérateurs internet la mise en place des cookies par défaut, et l’autorisation des internautes est donc présumée. Ainsi, le consentement des internautes ne peut pas encore être obtenu grâce aux paramètres de navigation.
La CNIL proposera peut être un certain nombre de modalités.
En attendant l’autorité des données personnelles au Royaume Unis, l’ICO, a listé un certain nombre de méthodes possibles (autre que le paramétrage du navigateur) et leur inconvénients que nous vous avions déjà présenté dans l’article relatif à la transposition anglaise de la directive, à savoir :
• L’opérateur internet peut bien sûr utiliser des fenêtres pop-up, indiquant par exemple : « Nous autorisez-vous à poser des fichiers sur votre ordinateur dans le but de faciliter votre navigation ? Pour plus d’informations, consultez les informations légales. ». Cependant, cette technique est susceptible de perturber les internautes dans la mesure où un nombre très important de cookies sont utilisés.
• L’opérateur internet peut procéder à la modification de ses conditions générales sur son site web, intégrant la réforme. Cependant, ces changements doivent être non seulement portés à l’attention de l’internaute, mais également acceptés par ce dernier avant que les cookies soient installés sur son ordinateur. Ainsi, les internautes doivent cocher une case « j’accepte » après avoir lu les conditions générales, ce qui revient au même et reste aussi contraignant que l’utilisation de fenêtres « pop-up ».
• L’opérateur peut ajouter dans les paramètres personnalisables de son site web, un paramètre spécifique relatif aux cookies, et permettant en particulier à l’internaute d’accepter ou refuser l’implantation de cookies provenant du site web en question.
Pour bon nombre d’opérateurs, la question de la modalité est à apprécier en tenant compte des contraintes et précisions apportées par chacun des pays de l’EU dans leur texte de transposition.
__________________________________________________________________________________________________________________________
Nous reproduisons ci-dessous l’article 32 de l’ordonnance :
Le II de l’article 32 de la loi du 6 janvier 1978 susvisée est remplacé par les dispositions suivantes :
« II. ― Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
« ― de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
« ― des moyens dont il dispose pour s’y opposer.
« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
― soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
― soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »