par Etienne Wéry,
Avocat aux barreaux de Paris et de Bruxelles,
Cabinet
Ulys |
|
|
En
principe, les états membres de l'Union européenne
devaient avoir transposé la directive 2002/58 du 12
juilllet 2002 dite "vie privée et communications électroniques"pour
le 31 octobre 2003 au plus tard. En pratique, c'est
autre chose
Le rapport intermédiaire d'évaluation rendu
public par la Commission le 19 novembre 2003 signale
que cinq pays seulement ont adopté en temps et à heure
des mesures complètes de transposition. Des lettres
de mise en demeure, qui représentent la première étape
d'une procédure d'infraction, ont été envoyées en décembre
2003 par l'exécutif européen aux États membres suivants
: la Belgique, l'Allemagne, la Grèce, la France, le
Luxembourg, les Pays-Bas, le Portugal, la Finlande et
la Suède.
Nous
nous pencherons aujourd'hui sur l'une des dispositions
de cette directive, relative aux cookies, d'une part
parce que leur fréquence sur l'internet le justifie,
et d'autre part parce que certains plaident pour un
effet direct de cette disposition de la directive face
à la carence des Etats.
Le
régime applicable aux cookies est un élément du principe
général de confidentialité
L'article relatif aux cookies a été exigé par le Parlement
européen, qui a réussi à inclure un amendement dans
l'article relatif au principe général de confidentialité.
Rappelons qu'en vertu de ce principe général, les États
membres doivent garantir la confidentialité des communications
effectuées au moyen d'un réseau public de communications
et de services de communications électroniques accessibles
au public, ainsi que la confidentialité des données
relatives au trafic y afférentes. En particulier, ils
interdisent à toute autre personne que les utilisateurs
d'écouter, d'intercepter, de stocker les communications
et les données relatives au trafic y afférentes, ou
de les soumettre à tout autre moyen d'interception ou
de surveillance, sans le consentement des utilisateurs
concernés sauf lorsque cette personne y est légalement
autorisée. Ce principe n'empêche toutefois pas le stockage
technique nécessaire à l'acheminement d'une communication,
sans préjudice du principe de confidentialité.
Sous ce principe, le Parlement
a fait ajouter que "Les États membres garantissent que
l'utilisation des réseaux de communications électroniques
en vue de stocker des informations ou d'accéder à des
informations stockées dans l'équipement terminal d'un
abonné ou d'un utilisateur ne soit permise qu'à condition
que l'abonné ou l'utilisateur, soit muni, dans le respect
de la directive 95/46/CE, d'une information claire et
complète, entre autres sur les finalités du traitement,
et que l'abonné ou l'utilisateur ait le droit de refuser
un tel traitement par le responsable du traitement des
données".
Quels
sont les dispositifs visés ?
La règle se veut techniquement neutre : les cookies
sont mentionnés, mais seulement à titre d'exemple, au
même titre que les logiciels espions, les pixels invisibles
(web bugs) et autres identificateurs cachés. Ce sont
bel et bien tous les dispositifs en vue de stocker des
informations ou d'accéder à des informations stockées
dans l'équipement terminal qui sont visés.
Cela étant rappelé, il faut
aussi souligner que seuls ces dispositifs sont visés
: on l'oublie parfois, mais la directive précise que
"cette disposition ne fait pas obstacle à un stockage
ou à un accès techniques visant exclusivement à effectuer
ou à faciliter la transmission d'une communication par
la voie d'un réseau de communications électroniques,
ou strictement nécessaires à la fourniture d'un service
de la société de l'information expressément demandé
par l'abonné ou l'utilisateur". Lorsque le but du dispositif
est exclusivement technique, il échappe au régime légal.
Bien que la formulation ne soit pas identique, on peut
sans difficulté rapprocher cette matière de l'article
12 de la directive sur le commerce électronique qui
instaure un régime particulier de responsabilité pour
les intermédiaires techniques.
Analyse
du régime légal
Deux conditions sont mises à l'utilisation des dispositifs
visés : l'information de la personne protégée, et le
droit pour celle-ci de s'opposer au traitement.
- L'information doit être "claire et complète",
"dans le respect de la directive 95/46/CE". Certains
auteurs ont justement fait remarquer que la directive
95/46 protège les personnes physiques alors que le texte
de 2002 vise aussi les personnes morales, et qu'il était
donc maladroit de risquer cette allusion. La seule certitude
est que la nouvelle directive n'étend pas le champ d'application
du texte de 1995, comme le confirme expressément le
considérant 12 : "Les abonnés à un service de communications
électroniques accessible au public peuvent être des
personnes physiques ou des personnes morales. En complétant
la directive 95/46/CE, la présente directive vise à
protéger les droits fondamentaux des personnes physiques
et en particulier le droit au respect de leur vie privée,
ainsi que les intérêts légitimes des personnes morales.
La présente directive ne comporte aucune obligation
pour les États membres d'étendre l'application de la
directive 95/46/CE à la protection des intérêts légitimes
des personnes morales, qui est garantie dans le cadre
de la législation communautaire et nationale en vigueur.
- L'abonné ou l'utilisateur
a le droit de refuser le traitement. Il ne faut
confondre ce refus avec le droit d'opposition prévu
dans la directive 95/46. Le refus se rattache au consentement
et apparaît comme une opération ponctuelle (le bénéficiaire
est, à un moment donné, face à une alternative : il
accepte ou refuse un dispositif) ; l'opposition implique
plutôt un droit qui s'inscrit dans la durée (à chaque
instant, le bénéficiaire est libre d'exercer son droit
pour l'avenir quitte à revenir ainsi sur un consentement
passé). La directive parle bien d'un droit de refus,
mais il faudra voir dans les législations nationales
la formulation retenue. Il est du reste possible que
le législateur européen n'ait pas perçu la différence
et souhaite, en réalité, renvoyer au droit d'opposition
de la directive 95/46."
La directive invite les opérateurs
à soigner la présentation des informations. C'est ainsi
que le considérant 25 énonce que les méthodes retenues
pour communiquer des informations, offrir un droit de
refus ou solliciter le consentement devraient être les
plus conviviales possibles.
Il reste une dernière question
importante : les opérateurs qui le souhaitent peuvent-ils
conditionner l'accès à leur service à l'acceptation
des dispositifs visés ? En pratique, le cas est fréquent.
La réponse nous semble favorable et se base notamment
sur le considérant 25 : "L'accès au contenu d'un site
spécifique peut être, toutefois, subordonné au fait
d'accepter, en pleine connaissance de cause, l'installation
d'un témoin de connexion ou d'un dispositif analogue,
si celui-ci est utilisé à des fins légitimes".
[etienne.wery@ulys.net]
Sommaire
de la rubrique
|
