FAQ sur la refonte du régime juridique des cookies
En matière de cookies, la loi française a fait l’objet de changements après la transposition des directives du 3ème « Paquet Télécom ». Retour sur de nouvelles règles en vigueur depuis trois mois qui soulèvent de nombreuses difficultés d'application et d'interprétation pour les exploitants de sites web.
1.
Quelles sont les nouvelles règles imposées par l’ordonnance du 24 août
2011 ?
L’ordonnance du 24 août 2011 impose désormais aux
responsables de sites une obligation de fournir des informations claires et
complètes sur les opérations de dépôts des cookies ainsi que sur la possibilité
de s’y opposer ultérieurement. En outre, les responsables de sites doivent
obtenir le consentement de l’internaute, préalablement à l’installation d’un cookie
sur son terminal. Il s’agit d’une modification importante puisque auparavant la
loi disposait simplement que les internautes devaient être informés lorsqu’un
cookie avait été installé sur leurs ordinateurs.
2.
Quels sont les cookies concernés par ces nouvelles règles ?
Le terme cookie est à prendre au sens large et
vise « toutes
informations stockées dans un équipement terminal », en ce
compris toutes les technologies apparentées aux cookies tels que les cookies
flash (local shared object) ou le stockage local web (stockage DOM).
Néanmoins, le nouvel article 32 II de la loi
« Informatique et Libertés » exclut de l’obligation de consentement
préalable, les cookies exclusivement destinés à faciliter les communications
électroniques ainsi que les cookies strictement nécessaires à la fourniture
d’un service en ligne faisant l’objet d’une demande expresse de
l’internaute. Il s’avère donc essentiel d’effectuer un examen concret des
types de cookies exploités.
A titre d’exemple, la CNIL est d’avis que ne sont
pas soumis à l’obligation de consentement préalable :
* les cookies utilisés pour gérer un panier
d’achat sur un site de vente en ligne;
* les cookies permettant d’ouvrir une session utilisateur;
* les cookies destinés uniquement à la sécurité d’un service demandé par
l’utilisateur;
* les cookies permettant d’enregistrer des préférences pour la fourniture d’un
service (comme, par exemple, la langue parlée par l’utilisateur pour les sites
multilingues);
* les cookies contenant des éléments strictement nécessaires pour faire
fonctionner un lecteur média.
3.
Comment obtenir le consentement des internautes ?
Pour les autres cookies, le consentement doit
être libre, spécifique et
informé. Concrètement, le consentement doit résulter du libre choix
de l’internaute et doit porter sur un cookie précis. En outre, tout utilisateur
doit être préalablement informé de la finalité du traitement, ainsi que de la
possibilité de s’y opposer. A cet égard, quelques précisions s’imposent sur les
conséquences pratiques relatives à l’application de la nouvelle législation.
3.1 L’acceptation par paramétrage de navigateur Internet
La CNIL considère que les fonctionnalités de
paramétrages des navigateurs actuels ne permettent pas de répondre aux
exigences de consentement libre et spécifique imposées par la nouvelle loi dans
la mesure où ils ne permettent pas aux utilisateurs, ni de donner leur
consentement à un cookie précis, ni d’être informés de manière claire et
complète sur la finalité du traitement.
En complément, la CNIL est d’avis qu’il est
possible de recueillir valablement l’accord des internautes via des mécanismes
alternatifs tels que la mise en place d’une bannière en haut d’une page web,
d’une zone de consentement en surimpression sur la page web ou encore par un
système de cases à cocher lors de l’inscription à un service en ligne. Les
nouvelles dispositions précisent également qu’il est possible de recueillir le
consentement de l’internaute via « tout
autre dispositif placé sous son contrôle » tel qu’un module
complémentaire installé sur son navigateur ou une plateforme web permettant de
gérer les consentements. En revanche, l’utilisation des fenêtres
« pop-up » est déconseillée par la CNIL puisqu’elles peuvent être
bloquées par les navigateurs.
3.2 L’insertion d’une clause d’acceptation des
cookies dans les Conditions Générales d'Utilisation (CGU):
L’insertion d’une clause générale d’acceptation
dans les CGU ne devrait pas être suffisante pour recueillir valablement le
consentement des internautes. En effet, les CGU étant un document contractuel,
l’acceptation de ces conditions en vue de la fourniture d’un bien ou d’une
prestation de service ne permet pas de recueillir le consentement libre,
spécifique et autonome de l’utilisateur sur les modalités d’usage de divers
types de cookies sur son terminal.
3.3 Est-il nécessaire de solliciter l’accord de
l’internaute à chaque visite ?
Non, si l’internaute a déjà donné son accord à
l’installation d’un cookie pour une finalité déterminée lors d’une visite
antérieure, il n’est pas nécessaire de lui demander son accord ultérieurement.
Cette règle est valable pour tous les cookies ayant fait l’objet d’une
information et d’un consentement préalable, qu’ils soient déposés par
l’exploitant du site ou par des tiers partenaires (régie publicitaires par
exemple).
4.
Ces obligations s’appliquent-elles aux cookies déposés par un tiers ?
L’obligation d’information et d’obtention de
consentement préalable pèse sur le responsable du site. En conséquence, si
l’exploitant d’un site web autorise ses partenaires ou sous-traitants à déposer
des cookies sur le terminal des internautes, il lui revient d’appliquer ou de
faire appliquer les nouvelles dispositions concernant les cookies.
5.
Quelles sanctions sont prévues par la loi en cas de non-respect de la règle du
consentement préalable ?
Les violations de la loi « Informatique et
Libertés » sont passibles de sanctions financières maximales de 300.000 €
auxquelles peuvent s’ajouter des sanctions pénales. A cet égard, la CNIL entend
veiller au respect de la nouvelle législation applicable aux cookies mais admet
que sa mise en œuvre sur certains sites pourra engendrer des délais. Par
conséquent, en cas de plainte ou de contrôle, les efforts réalisés par le
responsable du site pour se mettre en conformité avec les nouvelles
dispositions seront pris en compte par la CNIL. Il est dès lors important pour
les opérateurs en ligne de se mettre rapidement en conformité en engageant une
réflexion sur les moyens à mettre en œuvre pour respecter ces nouvelles
dispositions tout en tenant compte des contraintes techniques d’exploitation de
leur site web.
6.
Et dans les autres pays de l’Union européenne ?
Le délai de transposition des directives du troisième
« Paquet Telecom » a expiré le 25 mai 2011. Cependant, à cette date, seuls sept
Etats membres (Danemark, Estonie, Finlande, Irlande, Malte, Royaume-Uni et
Suède) s’étaient entièrement conformés aux nouvelles règlementations
européennes, dont notamment celles relatives aux cookies. Par conséquent, la
Commission Européenne a mis en demeure, le 18 juillet 2011, les autres pays
membres n’ayant pas encore notifié les mesures complètes de transposition.
Entretemps, la France, la Hollande et la Hongrie se sont mis en conformité.