Cookies à l’européenne : de l’opt-out à l’opt-in

Cet article est écrit par Diane MULLENEX, Associée du Cabinet d’Avocats Ichay & Mullenex, responsable du Département Technologies Média Télécommunications, invitée par François à réagir sur l’actualité juridique du e-commerce sur ce blog.

Les éditeurs de sites web auront du pain sur la planche une fois que sera transposée en droit français la directive européenne du 25 novembre 2009 sur la vie privée. Une fois le texte transposé, les e-professionnels seront soumis à de nouvelles contraintes pour l’utilisation des cookies sur internet. Le gouvernement français est passé par la procédure d’urgence en rédigeant une « ordonnance relative aux communications électroniques » qui sera ensuite ratifiée par le Parlement, sachant que la directive devait normalement être transposée avant le 25 mai 2011…

Pour mémoire, un cookie est un fichier texte temporaire stocké sur notre disque dur à la demande du serveur gérant le site web que l’on est en train de visiter. Ce cookie contient des informations sur notre navigation et permet au serveur de nous reconnaître d’une page internet à l’autre, ce qui permet de faciliter notre navigation.

Ces cookies sont depuis longtemps critiqués comme portant atteinte à notre droit au respect de la vie privée sur internet pour les informations qu’ils sont en mesure de lire et de stocker. Et quelles informations ! C’est entre autres grâce à ces petits fichiers textes que l’on peut faire des achats en ligne, les cookies permettant de mémoriser le contenu de notre panier d’achat électronique tout au long de notre navigation sur un site web. Et ils fournissent des informations très utiles aux éditeurs de sites internet qui leur permettent de personnaliser leurs offres en fonction des internautes et par conséquent de nous offrir de la publicité ciblée : les cookies leur permettent de savoir par exemple quelles pages web nous avons visitées sur un site, pour ensuite améliorer leurs offres et les adapter aux préférences des internautes.

Jusque là, le principe en vigueur était celui de l’opt-out. La directive « vie privée et communications électroniques» de 2002 autorisait l’utilisation de cookies dès lors que l’internaute était informé des modalités de stockage des données utilisées et qu’il disposait de moyens de refuser un tel stockage.

Dans un souci d’assurer plus de transparence dans la collecte d’informations, la nouvelle réglementation européenne exige que l’utilisation de cookies se fasse désormais avec l’accord préalable et explicite des internautes. Le principe de l’opt-in doit s’appliquer aux éditeurs des sites web qui auront l’obligation d’obtenir l’accord des internautes avant de stocker et de lire des cookies sur leurs ordinateurs.

La directive distingue les cookies de traçage qui permettent le ciblage publicitaire, eux seuls étant soumis au principe de l’opt-in, et les cookies de fonctionnement ou dits utilitaires qui stockent les identifiants et ne restent sur notre disque dur que le temps d’une session de navigation.

Pour l’heure, le projet d’ordonnance relative aux communications électroniques est soumis à la consultation publique et au Conseil d’Etat pour avis avant son adoption finale le 21 septembre prochain au plus tard. Affaire des « european cookies » à suivre…

Diane MULLENEX-Avocat à la Cour- Solicitor England & Wales- Ichay & Mullenex Avocats – www.ichay-mullenex.fr

 

 

7 commentaires

  1. Bonjour Diane et merci pour ces infos !

    Sais tu s’il y a déjà des pays ou ça se passe comme ça et les conséquences ?

    François

  2. Sans être un expert, j’ai le sentiment que la séparation entre « cookies de traçage » et « cookies de fonctionnement » est un peu artificielle, et qu’il y a plutôt un « continuum de cookies ».

    La question de la définition des différents types de cookies risque d’être plutôt ardue…

  3. Meme si je comprends la démarche (ca va dans le bon sens), je doute que les décideurs comprennent les conséquences de ce type de position …

    Qui va contrôler et comment ? quel moyen ?
    On a déjà du mal avec le vol de compte facebook ou dofus …
    alors avec les cookies …

    Quelles sont les solutions proposées d’ailleurs ?

    Sebastien

    1. Bonjour,

      les Etats membres, pour la plupart, sont en train de travailler à la transposition de cette directive et semblent n’en être qu’au stade des travaux préparatoires.

      Et la directive n’évoque pas les modalités de contrôle de l’application du principe de l’opt-in aux cookies. Le texte se contente de dire que les Etats membres doivent garantir que le stockage d’information dans l’équipement terminal d’un utilisateur n’est autorisé qu’une fois que l’utilisateur a reçu une information claire et complète là dessus, notamment sur les finalités du traitement et qu’il a donné son autorisation à un tel stockage. C’est donc aux Etats membres qu’il appartient de décider des moyens de contrôle de cette obligation. Il y a du boulot en perspective…

  4. Et quid des cookies ‘tiers’, de type Google Analytics, plateformes d’affiliation et autres ?

    Est-ce qu’il suffira aux marchands de mettre dans des ‘conditions générales d’utilisation du site’ une info comme quoi des cookies peuvent être implantés par ‘X’ ou ‘Y’ ?

    Et le ‘opt in’ consiste en quoi ? on affiche une popup avec une case à cocher ???

    1. Bonjour,

      Parmi les différentes lignes directrices de la directive, il était précisé que « les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles » et que le consentement de l’internaute pouvait être exprimé « par l’utilisation de paramètres appropriés d’un navigateur ou d’une autre application ». Alors, paramétrage du navigateur ou pop-up ? Plusieurs options sont envisageables pour recueillir le consentement des utilisateurs. Les pop-up ne vont pas vraiment répondre à cette exigence d’un maximum de convivialité, compte tenu de la lourdeur du processus qui nous obligerait à accepter l’installation de cookies à chaque ouverture d’une page web.

      Si l’on prend l’exemple du Royaume-Uni qui a transposé la directive par une loi du 26 mai dernier, l’ICO (Information Commissioner’s Office), autorité indépendante de régulation en matière de protection de données, liste parmi les moyens d’obtenir l’accord des internautes les pop-up et le paramétrage du navigateur, mais aussi la modification des conditions générales des sites internet nécessairement acceptées préalablement par les internautes ou encore une personnalisation des paramètres spécifiques aux cookies sur les sites par les internautes. Mais l’ICO reconnaît que la mise en œuvre de cette nouvelle obligation risque d’être assez laborieuse.

      1. ‘Projet d’ordonnance, consultation publique et au Conseil d’Etat pour avis avant son adoption finale le 21 septembre prochain au plus tard’: sait-on où on en est? Est-ce pour tres bientôt ou peut on encore attendre?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *