Internet : de nouvelles obligations applicables en matière de gestion des cookies et de sécurité des données

L’ordonnance du 24 août 2011, qui vient transposer les directives dites “paquet télécoms”, instaure de nouvelles règles en matière de gestion des cookies et de sécurité des données personnelles, modifiant deux articles de la loi Informatique et Libertés.

L'ordonnance relative aux communications électroniques du 24 août 2011 (1), qui vient transposer les directives dites "paquet télécoms" (2), instaure de nouvelles règles en matière de gestion des cookies et de sécurité des données personnelles, modifiant deux articles de la loi Informatique et Libertés relatifs aux obligations incombant aux responsables de traitements (3). Ces nouvelles règles concernent, d'une part tous les exploitants de sites web utilisant des cookies, d'autre part les fournisseurs de services de communications électroniques.

1. De nouvelles règles en matière de gestion des cookies

L'ordonnance modifie l'article 32 II de la loi Informatique et Libertés. Désormais, l'installation de cookies sur l'ordinateur d'un internaute et l'utilisation des informations déjà stockées sont soumises à deux conditions préalables :
    - l'internaute doit avoir été informé de la finalité de l'installation, ou de l'utilisation et des moyens dont il dispose pour s'y opposer, et
    - il doit avoir donné son consentement (opt-in) à l'installation du cookie et à l'utilisation de ses données. Jusqu'à présent les internautes pouvaient s'opposer aux cookies, mais uniquement postérieurement à leur installation, sauf à paramétrer leur navigateur de façon à refuser tous les cookies.

Avec cette nouvelle mesure, le consentement de l'internaute n'est pas nécessairement requis pour toute nouvelle installation de cookie. Le texte prévoit que le consentement peut provenir de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle, à savoir par exemple en paramétrant son logiciel de navigation.
Ces dispositions s'appliquent principalement aux cookies de traçage et de ciblage des utilisateurs. Elles ne s'appliquent ni aux cookies ayant pour principale finalité de permettre ou faciliter la communication par voie électronique, ni aux cookies strictement nécessaires à la fourniture d'un service à la demande de l'utilisateur.

Ces nouvelles règles s'imposent à tous types de prestataires sur internet, fournisseurs de services de communications électroniques comme éditeurs de services de communication au public en ligne (éditeurs de sites de e-commerce par exemple), à partir du moment où ces prestataires utilisent ces catégories de cookies pour collecter des informations sur leurs utilisateurs.

2. Une obligation renforcée de sécurité des données à caractère personnel :
L'article 34 de la loi Informatique et Libertés impose une obligation de sécurité au responsable du traitement, à savoir, "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès."
L'ordonnance crée un nouvel article 34 bis, instaurant une obligation de notification à la charge des fournisseurs de services de communications électroniques, en cas de violation de sécurité des données à caractère personnel.
Ainsi, les fournisseurs de services de communications électroniques (à savoir, les opérateurs de télécommunications et FAI notamment) sont désormais contraints de notifier sans délai à la Commission nationale de l'informatique et des libertés (CNIL), toute faille de sécurité "entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel (...)."

De plus, le fournisseur doit avertir sans délai l'intéressé dès lors que cette violation est susceptible de porter atteinte aux donnés à caractère personnel ou à la vie privée de celui-ci. Toutefois, cette obligation de notification n'est pas nécessaire si la CNIL a constaté que des mesures de protection ont été mises en oeuvre par le fournisseur (ex: mesures rendant les données inutilisables à toute personne non autorisée à y avoir accès). La CNIL peut également, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer l'intéressé.

Tout manquement à cette obligation de notification est puni de 5 ans d'emprisonnement et 300.000€ d'amende.

Enfin, le fournisseur doit tenir à jour un inventaire comportant la liste des failles de sécurité, leurs modalités, leurs effets et les mesures adoptées pour y remédier. Cet inventaire doit être mis à la disposition de la CNIL.

Cette obligation de notification s'impose à toute violation de sécurité, qu'elle soit accidentelle ou illicite (intrusion non autorisée par un tiers dans les systèmes du fournisseur de services).

Enfin, il est à noter que cette obligation s'impose aux fournisseurs de services de communications électroniques. Ne sont pas concernés les éditeurs de services de communication au public en ligne, tels les éditeurs de sites de commerce en ligne par exemple.

* * * * * * * * * * *

(1) Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.

(2) Directive 2009/136/CE du Parlement Européen et du Conseil du 25 novembre 2009, modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n°2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs.

(3) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

Autour du même sujet