Actualité : article de veille

L'utilisation de cookies requiert l'accord préalable obligatoire de l'internaute

Le 21/06/2012, par La Rédaction de Net-iris, dans Technologies / Droit de l'internet.

Vos réactions...

   

Le responsable d'un site internet qui met en oeuvre certains cookies à usage comportemental doit assurer l'information des internautes mais aussi recueillir leur accord préalable.

Introduction

A l'ère du tout numérique, la collecte et la conservation d'informations à caractère personnel sur les internautes sont essentielles pour les entreprises, les compagnies d'assurance, les banques mais aussi les sites des médias sociaux et les moteurs de recherches. On entend par données à caractère personnel "toutes les informations relatives à une personne, qu'elles se rapportent à sa vie privée, professionnelle ou publique", de sorte que cela regroupe bon nombre d'informations (nom, photographie, adresse de courrier électronique, coordonnées bancaires, messages publiés sur des réseaux sociaux, renseignements médicaux, adresse IP de l'ordinateur, etc.).

Selon la Charte des droits fondamentaux de l'Union européenne, "toute personne a droit à la protection, dans tous les aspects de sa vie, des données à caractère personnel la concernant : à son domicile, sur son lieu de travail, lorsqu'elle fait des achats ou reçoit un traitement médical, au poste de police ou sur Internet".
C'est pourquoi deux directives (n°2009/136/CE) et (n°2009/140/CE), dites Directives nouveau "Paquet télécom", ont été adoptées pour renforcer la protection et les droits des internautes, afin de tenir compte de l'évolution des pratiques liées à internet.

En France, ces directives ont été transposées depuis août 2011 par voie d'ordonnance. Ainsi, tout responsable d'un site internet mettant en oeuvre des cookies (technique qui consiste peu ou prou à coller une étiquette sur le terminal de l'internaute pour l'identifier lors de sa venue ultérieure), doit informer l'internaute de leur présence et solliciter son accord préalable. Celui-ci doit être associé à une information qui précise notamment les mécanismes permettant à l'internaute, le cas échéant, de revenir ultérieurement sur sa décision et d'exprimer son refus.
En conséquence, le paramétrage du navigateur acceptant tous les cookies, sans distinguer leur finalité, ne peut pas être considéré comme un accord valablement exprimé.

L'objectif de la réforme est de redonner à l'internaute une part, ne serait-ce que symbolique, de liberté et de libre choix d'être tracé ou non.

Quels sont les cookies concernés par l'obligation d'information ?

Il s'agit uniquement des cookies qui consistent à coller une étiquette (un numéro d'identification unique) sur l'ordinateur de l'internaute, afin d'utiliser cet identifiant ultérieurement pour distinguer un internaute d'un autre, et donc le reconnaître d'une visite à l'autre.

Il s'agit par exemple d'un cookie utilisé pour la publicité comportementale en ligne. Si un internaute est allé surfer sur un site d'offres de voyage, en surfant sur d'autres sites, même ceux qui n'ont rien à voir avec les voyages et les loisirs, l'affichage publicitaire dudit site sera ciblé et les pubs en rapport avec les voyages s'afficheront.

En revanche, et comme le souligne la CNIL, la nouvelle réglementation en matière d'information et de consentement préalable, ne s'appliquent pas en France à un cookie qui :

  • aurait pour finalité exclusive de permettre ou faciliter la communication par voie électronique,
  • serait strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

Il s'agit par exemples :

  • des cookies utilisés comme le panier d'achat d'un site marchand ;
  • des cookies de session utilisateur (sessionID) permettant de lier les actions d'un utilisateur lorsque cela est nécessaire pour lui fournir le service qu'il demande ;
  • des cookies ayant pour unique finalité de contribuer à la sécurité du service demandé par l'utilisateur ;
  • des cookies permettant d'enregistrer la langue parlée par l'utilisateur (pour les sites traduits en plusieurs langues) ou autres préférences nécessaires à la fourniture du service demandé ;
  • des cookies flash contenant des éléments strictement nécessaires pour faire fonctionner un lecteur de média (audio ou vidéo), correspondant à un contenu demandé par l'utilisateur.

Si une information préalable n'est pas nécessaire pour ce type de cookie, il est néanmoins recommandé de fournir une information sur leur utilisation dans les mentions légales ou toute page évoquant la politique de confidentialité du site web.

Les actions à mettre en oeuvre : information et droit d'opposition

L'information de l'internaute

Le responsable du traitement mettant en oeuvre des cookies, ou le tiers mandaté, doit délivrer à l'internaute une information personnalisée dont le contenu dépend du contexte et du moyen utilisé pour délivrer l'information.
L'information à destination de l'internaute doit :

  • porter sur la finalité du cookie ;
  • et décrire le moyen de s'opposer à ce cookie.

Bien entendu, le contenu de l'information délivrée à l'internaute doit être adapté au contexte et au moyen utilisé pour délivrer l'information. A noter que si le cookie est inséré par un tiers, une régie publicitaire par exemple, l'information et le consentement n'ont pas à être réalisés deux fois, précise la Commission nationale informatique et libertés.

Exemples d'informations affichées en surimpression sur la première page que l'internaute visite sur le site :

Acceptez-vous de recevoir un cookie de nos partenaires PUBIX et ADVIX afin d\'analyser vos centres d\'intérêts pour vous proposer des publicités personnalisées <span id=

Ou bien

En cochant cette case, j'accepte de recevoir des cookies de "site-internet.fr" lors de ma navigation sur des sites Internet partenaires afin de m'identifier lorsque je souhaite partager mes contenus favoris avec mes amis.

La possibilité de s'opposer aux cookies

L'internaute doit pouvoir refuser le cookie décrit. Ce refus sera mémorisé par l'installation d'un "cookie de refus" spécifique. Dans ce cas, il est important de fournir à l'internaute des explications détaillées sur les conséquences de ce "cookie de refus" dans une page dédiée du site.

© 2012 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :



-