Protection de la vie privée et cookies, la transposition de la directive européenne sur la vie privée se précise

La Directive européenne sur la vie privée datant de 2009 doit être transposée en droit français. Et l’impact sur les techniques de collectes d’information peut être important.

La protection de la vie privée est un sujet de préoccupation du législateur depuis les débuts de l'informatique (rappelons que la fameuse loi française Informatique et Libertés date de 1978) mais il est devenu particulièrement critique avec la montée en puissance d'Internet et des réseaux sociaux depuis le début des années 2000.

Ces aspects rentrant dans le champ de compétence de l'Union Européenne, une première Directive[1]  sur la « ePrivacy » (vie privée électronique) a vu le jour en 2002. Elle prévoyait des obligations relativement légères concernant les cookies : information des utilisateurs et possibilité d' « opt-out » (désactiver la pose de cookies).

Cette directive a été révisée en profondeur dans une nouvelle version en date du 25 novembre 2009 qui doit être mise en place dans les lois des états-membres de l'UE avant le 25 mai 2011.  La plupart des pays restent encore au stade des travaux préparatoires, cette date sera donc dépassée pour la majorité des pays.

Cette nouvelle Directive contient un article 5 alinéa 3, surnommé « amendement cookie », qui empêche de nombreux e-professionnels de dormir du sommeil du juste depuis 18 mois[2]. En substance, l'article prévoit une obligation d'information renforcée mais, surtout, un consentement préalable pour tout stockage d'informations ou accès à ces informations sur le poste de l'utilisateur (les cookies sont clairement visés).

Les cookies
Rappelons que les cookies sont de petits fichiers d'identification placés par les sites web permettant de reconnaître un utilisateur. Accessoirement, il est possible d'inscrire des informations dans ces cookies pour les retrouver. Les cookies sont tellement pratiques qu'ils sont utilisés à très grande échelle et que pratiquement aucun site ne peut fonctionner sans.

A l'origine, il s'agissait surtout de lutter contre la collecte d'informations comportementales des utilisateurs par les acteurs de la publicité en ligne à des fins de segmentation et de ciblage mais le texte est très large et couvre l'utilisation des cookies en général.

La nécessité d'informer
[1] Directive : Loi européenne, devant être transposée dans une loi de chaque pays membre pour être applicable [2] Pour ceux qui ont le temps, le texte complet de la directive :
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:FR:PDF

Selon la Directive, les sites devront mettre en place des pages « Vie privée » - ou les renforcer si elles existent. Elles devront indiquer la fonction des cookies en place sur les sites ainsi que les moyens de s'y opposer. Les sites doivent également informer les visiteurs des moyens de s'opposer à la pose des cookies.

Le problème est qu'un opérateur de site peut être conscient des cookies qu'il pose pour les besoins de fonctionnement du site (session, mémorisation de mot de passe ...) mais il n'a probablement qu'une vague idée des cookies posés par les différents outils externes qu'il utilise. Les outils de webmarketing (remarketing, display, SEM ...) ou de web analytics sont extrêmement consommateurs de cookies.

A titre d'exemple, la connexion sur un site de e-commerce grand public bien connu génère la pose immédiate de pas moins de 10 cookies dès la page d'accueil, un seul étant lié au nom de domaine  du site, les autres sont issus d'applications tierces  Faites le test vous-même : supprimez tous vos cookies, connectez vous à un site, rouvrez le dossier « cookies » pour voir ce qu'il y a à l'intérieur.


Autorisation préalable ?
Le vrai problème posé par la loi est donc plutôt la question de l'acceptation des cookies : l'utilisateur doit donner son accord à la pose de cookies.

Quelle serait votre réaction si à votre arrivée sur un site, une fenêtre vous demandait : « Nous autorisez-vous à poser des fichiers sur votre ordinateur dans le but de faciliter votre navigation ? Pour plus d'informations, consultez les mentions légales » ? Bien entendu, une part importante des visiteurs seraient tentée de refuser.

Les travaux préparatoires de la Directive indiquent que le consentement peut résulter des paramètres du navigateur ou d'une autre application.  Cette mention est extrêmement importante. S'il s'avère que le paramétrage du navigateur suffit pour exprimer son accord ou son opposition à recevoir des cookies en général ou des cookies sélectionnés, cela revient à rester dans la situation actuelle avec une obligation d'informer renforcée.


La transposition en droit français
Comme le veut la règle en matière de droit européen, chaque pays transpose les règles dans son propre droit national et peut - à cette occasion - interpréter le texte original selon ses propres objectifs.

Nous attendions donc avec impatience (et angoisse) la transposition du texte dans la loi française. A noter que le gouvernement a décidé de légiférer par voie d'ordonnance (sans discussion et vote du parlement donc). Si le texte définitif de l'ordonnance n'est pas encore connu, un projet d'ordonnance est disponible depuis le 3 mai dernier [3].

Les dispositions relatives aux cookies sont reprises à l'article 37 qui modifie un article de la loi Informatique et Libertés. Selon ces dispositions :

-          L'utilisateur doit être informé - au préalable - de la finalité des cookies qu'on lui pose et des moyens dont elle dispose pour s'y opposer

-          Les cookies ne peuvent être posés que si l'utilisateur - après avoir reçu l'information ci-dessus - a donné son accord, accord qui peut résulter de paramètres de son navigateur

La France a donc adopté une position plutôt favorable aux acteurs de l'internet et n'a pas retenu les aspects les plus contraignants de la directive. La situation actuelle ne va donc pas changer du tout au tout d'un point de vu réglementaire.

[3] Le projet d'ordonnance :
 http://www.telecom.gouv.fr/fonds_documentaire/consultations/11/110503projetordonnance.pdf

Ailleurs en Europe
Comme indiqué précédemment, aucun pays n'a encore promulgué de loi et la France est quasiment le plus avancé. Toutefois, des discussions préparatoires ont eu lieu et voici quelques tendances (suite à une présentation du Chief Privacy Officer d'Adobe à l'Omniture Summit le 20 mai dernier).

Allemagne
Obligation d'information renforcée.

Cookies : consentement préalable si l'adresse IP est conservée en clair, opt-out suffisant si l'adresse IP est tronquée ou masquée.

Royaume-Uni
Obligation d'information renforcée.

Cookies : consentement préalable quand cela est possible.

Pays-Bas
Les Pays-Bas s'orientent vers une législation plus contraignante que les autres avec une obligation de consentement préalable des utilisateurs.


En conclusion
A partir d'une même Directive européenne, les interprétations nationales semblent couvrir tout le spectre des possibles.

De manière générale, les sites seront tenus à une obligation de transparence accrue sur leurs pratiques de collecte d'information. L'utilisateur doit savoir - pouvoir savoir s'il le souhaite, plus exactement -  dans quelle mesure son comportement est suivi et dans quel objectif.

Le législateur semble conscient qu'imposer des contraintes importantes aux sites risque de fragiliser certaines sociétés dynamiques comme les sites de ecommerce alors que les grands acteurs comme Google ou Microsoft, voire Facebook - clairement visés par la Directive - ne seraient que peu impactés.

Nous verrons dans quelques mois comment les acteurs du ciblage comportemental, qu'il soit publicitaire ou à l'échelle d'un site auront géré cette phase difficile car il est quasi-certain que la réponse technologique aux nouvelles règles verra le jour très rapidement et permettra d'en réduire les effets.