Les cookies soumis au régime de l’opt-in

L’ordonnance n°2011-1012 du 24 août 2011 (l’Ordonnance) a transposé la Directive n°2009/136/CE du 25 novembre 2009 modifiant la Directive n°2002/58/CE du 12 juillet 2002 au terme de laquelle le régime applicable aux cookies est passé d’un régime d’opt-out à un régime d’opt-in.

 Rappelons que les cookies sont des fichiers placés sur le disque dur d’un ordinateur dès lors que l’internaute visite un site Internet permettant au fournisseur de contenu ou à la régie publicitaire de stocker des informations relatives à ses habitudes de navigation.

Les cookies permettent ainsi la diffusion de publicités ciblées à destination de l’internaute, en offrant à ce dernier des propositions de produits ou services susceptibles de l’intéresser car correspondant à ses centres d’intérêt.

 Les modifications apportées par l’Ordonnance paraissent mineures mais l’impact aurait pu être majeur pour les professionnels du secteur qui ont craint une remise en question du modèle économique de la publicité sur Internet.

 1/ Le Contexte :

 Avant l’entrée en vigueur de l’Ordonnance, le régime des cookies, régi par les dispositions de l’article 32, II de la Loi du 6 janvier 1978, relative à l’Informatique, aux fichiers et aux libertés prévoyait que :

 «  Toute personne utilisatrice des réseaux de communication électroniques doit être informée de manière claire et complète par le responsable de traitement ou son représentant :

-  de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

des moyens dont elle dispose pour s’y opposer ;

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

 Ainsi, sous le régime de l’opt-out, les personnes ayant recours aux cookies devaient simplement informer les utilisateurs de l’existence et des finalités des cookies qu’ils installaient et devaient les mettre en mesure de s’opposer à une telle installation.

 L’Ordonnance vient retourner le principe : l’utilisateur doit désormais donner son consentement préalable à l’installation de cookies, après avoir reçu une information « claire et complète » sur les finalités poursuivies.

Les professionnels du secteur ont ainsi craint un nombre accru de refus des cookies par les utilisateurs et par conséquent une baisse significative de leurs revenus mais la réforme n’est pas allée aussi loin que le permettait la Directive…

2/ Que nous dit l’Ordonnance ?

La Directive, telle qu’elle a été rédigée a laissé une certaine marge de manœuvre aux Etats membres concernant les modalités de mise en œuvre du régime de l’opt-in.

L’article 2.3 de la Directive prévoit que « les Etats membres garantissent que le stockage d’informations ou l’obtention de l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à la condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète sur les finalités du traitement ».

Ainsi les modalités pratiques de mise en œuvre ne sont pas définies par le texte communautaire, laissant ainsi toute latitude aux Etats membres pour les fixer.

Nonobstant les dispositions peut être un peu « sévères » de la Proposition de loi Détraigne Escoffier, visant à mieux garantir le droit à la vie privée à l’heure du numérique », déposée au Sénat le 6 novembre 2009, qui proposait que :

- l’information fournie aux utilisateurs quant à l’usage des cookies devait être « spécifique, claire, accessible et permanente »

- cette information devait par ailleurs préciser la nature des informations ainsi collectées.

 L’article 37 de l’Ordonnance modifie l’article 32-II de la Loi du 6 janvier 1978 en ces termes :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable de traitement ou son représentant :

 - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

des moyens dont il dispose pour s’y opposer

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir recu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique

soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».

 3/ En pratique…

 -> L’information préalable des utilisateurs

 - l’information doit être claire et complète

- l’information n’a pas à être spécifique ou permanente : rien ne semble obliger les responsables de traitements à proposer une rubrique dédiée à l’information relative aux cookies

- l’information peut être donnée préalablement à l’installation des cookies dans le cadre d’une documentation plus générales, telles que les mentions légales ou les conditions générales du site

- le contenu de l’information fournie ne diffère pas radicalement des celle actuellement fournie

- la nature des informations collectées ne semble pas devoir être renseignés.

  -> L’accord préalable de l’utilisateur : la consécration de l’opt-in

 Il s’agit du changement majeur apporté par l’Ordonnance : le passage d’un régime d’opt-out à un régime d’opt-in.

Ce qui signifie qu’il ne sera pas possible d’installer un système de cookies sans obtenir l’accord préalable de l’internaute.

Le texte français n’exige pas d’obtenir le consentement des utilisateurs pour chaque installation ou accès à un cookies.

De plus, l’accord pourra être réputé donné dès lors que l’utilisateur procède à un paramétrage de son dispositif de connexion (« ou tout autre dispositif de son contrôle ») au terme duquel il accepte l’installation de cookies et l’accès à ces derniers.

 En substance, le texte communautaire ainsi transposé en droit français n’a pas retenu la rigueur sugérée par la Proposition de loi Détraigne-Escoffier. Si des modifications, notamment en termes d’information de l’utilisateur, seront nécessaires pour les sites Internet souhaitant mettre en place des cookies, celles-ci ne devraient pas être préjudiciables pour les professionnels du secteur de la publicité en ligne.

A.K

Print FriendlyImprimer cet article

Mots-clefs : , , , , ,

Laisser une réponse