Cookies et droit des personnes, un an déjà !

Publié le 31 août 2012 par Gerardhaas

Par ordonnance du 24 août 2011[1], la France a procédé à la transposition dans la loi Informatique et Libertés[2] de la directive E-privacy[3] en modifiant l’article 32-II de la loi de 1978 relatif aux cookies.

Un an après son adoption, la mise en œuvre de ce texte pose toujours des difficultés, la CNIL n’étant pas en accord avec les modalités d’application proposées par les professionnels.

Dans sa version précédente, la loi Informatique et libertés prévoyait déjà une information spécifique des internautes sur la finalité de l’installation et de l’utilisation des cookies ainsi qu’un droit d’opposition. La nouvelle mesure instaurée vise à renforcer la protection des personnes en précisant, bien que de manière imparfaite, le moment de cette information, et en exigeant un accord préalable de l’internaute.

Ainsi désormais, les « accès ou inscriptions » dans « l’équipement terminal de communications électroniques » ne peuvent avoir lieu « qu’à condition que la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord ». Ces mesures ne s’appliquent pas si les cookies ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Ainsi sont directement concernés les cookies déposés à des fins marketing.

L’information de l’internaute

Une première lecture peut laisser penser que l’opération doit avoir lieu en deux temps, tout d’abord l’information claire et complète de l’internaute, puis l’expression de son accord. Le texte requiert en fait, pour que l’accord de l’utilisateur soit valable, que celui-ci ait reçu l’information, à un moment quelconque avant d’exprimer son accord.

En pratique, ces deux actions seront le plus souvent concomitantes, l’internaute ne pouvant être informé qu’à partir du moment où il accède au site ou au contenu publicitaire installant le cookie. Ainsi les organisations professionnelles considèrent-elles qu’une information permanente mise à disposition des utilisateurs est conforme, au même titre qu’une information ponctuelle[4].

Mais le plus important, tant aux yeux de la Cnil que des organisations professionnelles, réside dans la qualité de l’information en termes de contenu et de clarté. En particulier, la finalité publicitaire du cookie devra être clairement précisée lors du recueil de l’accord.

La notion d’accord

L’ordonnance utilise le terme d’accord, conformément au terme utilisé dans la directive qu’elle transpose, sans toutefois le définir.

La Cnil[5] considère aujourd’hui que cet accord exigé par l’article 32-II de la loi Informatique et libertés est assimilable à un consentement, tel que défini à l’article 2.h de la Directive 2002/58/CE[6], à savoir « toute manifestation de volonté libre, spécifique et informée ».

Elle justifie cette interprétation par une erreur de traduction de la directive, qui utilise dans sa version originale le terme « consent ». Une telle imprécision semble toutefois difficilement envisageable et l’on peut penser que si le législateur a utilisé le terme d’accord plutôt que celui de consentement, c’est de manière avisée et volontaire.

Les modalités de l’accord de l’internaute

Le considérant (66) de la directive e-privacy prévoit que « lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la directive 95/46/CE, l’accord de l’utilisateur en ce qui concerne le traitement peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application ».

L’ordonnance de transposition a repris ce dispositif en précisant que l’accord de l’internaute « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

Mais la Cnil, assimilant accord et consentement, désapprouve cette modalité de recueil de l’accord de l’internaute. En effet, elle considère que le paramétrage du navigateur n’est pas une modalité valable du consentement, notamment parce qu’il ne permet pas la spécificité de celui-ci (un cookie est associé à une finalité qui nécessiterait un consentement spécifique), rendant impossible un consentement « global » à l’installation et à l’utilisation de cookies.

Si, comme l’analyse la Cnil, le consentement tel que défini précédemment n’est pas compatible avec une expression par le paramétrage du navigateur, cela nous conforte dans l’affirmation que le législateur européen a sciemment utilisé le terme d’accord et non celui de consentement, puisqu’il a lui-même introduit la faculté d’expression de cet accord par l’utilisation appropriée d’un navigateur ou d’une autre application.

La Cnil précise cependant que l’ajout d’un module au navigateur ou encore l’utilisation d’une plateforme web gérant les accords pourrait répondre aux exigences liées à la manifestation de l’accord de l’internaute. Elle propose également d’autres modalités, applicables directement par le site installant les cookies :

  • une bannière en haut de page web,
  • une zone de demande de consentement,
  • une case à cocher lors de la première connexion.

L’interrogation des professionnels

Les modalités d’application n’ayant été proposées par la Cnil que fin avril 2012, les organisations professionnelles souhaitaient apporter à leurs entreprises membres des solutions pratiques de mise en œuvre de l’ordonnance du 25 août 2011, tout en respectant les attentes des consommateurs concernant leur vie privée. Elles ont ainsi rédigé sous l’égide de l’Union française du marketing direct, UFMD, le Guide de bonnes pratiques concernant l’usage des cookies publicitaires[7] publié début avril 2012. Ces travaux s’inscrivaient dans la continuité de ceux les ayant conduits à publier la Charte sur la publicité ciblée et la protection des internautes[8].

Le Guide propose des exemples de mention d’information type et la mise en œuvre de dispositifs permettant aux internautes d’exprimer leur choix en matière de cookies, tels que l’utilisation des « paramètres de leur logiciel de navigation en vue de permettre ou d’interdire le stockage par leur terminal de cookies destinés à être utilisés à des fins de publicité ciblée », le recours à des « plateformes accessibles en ligne [permettant] aux utilisateurs d’exprimer leurs choix en matière de cookies et de publicité ciblée », ou encore des solutions permettant « aux utilisateurs de configurer et mémoriser leurs choix à l’égard des cookies dans un fichier ou un logiciel installé dans leur terminal ».

Toutefois la Cnil ne semble pas à ce jour approuver les solutions proposées par les organisations professionnelles, solutions fondées sur l’exigence d’un accord de l’internaute et non de son consentement tel que requis par la Cnil.

Cette différence d’interprétation et la situation « floue » qu’elle engendre rejaillit directement sur les entreprises. En effet, la Cnil renforce ses contrôles en examinant de manière quasiment systématique les modalités mises en place par les sociétés contrôlées afin de se conformer à la législation sur les cookies. Or ces sociétés ne disposent pas aujourd’hui de solution pratique viable leur apportant une véritable sécurité juridique dans la mise en place de leur politique en matière de cookies.

Sur le plan européen, il semble que l’ensemble des autres Etats membres de l’Union aient transposé la directive européenne d’une manière plus contraignante. Les sites anglais notamment proposent pour la majorité une information spécifique dès la page d’accueil. Toutefois certains recueillent alors un accord exprès de l’internaute pour l’installation de cookies et leur utilisation à des fins commerciales, alors que d’autres demandent aux internautes s’ils acceptent ou non l’installation de tels cookies et considèrent qu’à défaut de réponse, l’accord est présumé. Cet accord implicite nous semble pouvoir être un bon compromis, à la condition que l’internaute soit parfaitement informé et soit réellement en mesure de s’opposer à l’utilisation de ces cookies.

Il est souhaitable que les organisations professionnelles et la Cnil aboutissent à un accord garantissant le respect de la vie privée des personnes tout en permettant aux entreprises une application pratique économiquement viable, avant que des entreprises ne soient sanctionnées.


[1] Ordonnance n°2011-1012 du 24 août 2011

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[3] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « vie privée et communications électroniques ») modifiée par la directive n° 2009/136/CE du 25 novembre 2009

[4] Guide des bonnes pratiques concernant l’usage des cookies publicitaires publié par l’Ufmd le 10 avril 2012 – http://www.ufmd.org/La-protection-des-donnees-a-l-heure-du-marketing-digital-guide-de-bonnes-pratiques_a25.html, p. 10

[5] Cnil, « Ce que le Paquet Telecom change pour les cookies », 26 avril 2012,  http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/ce-que-le-paquet-telecom-change-pour-les-cookies

[6] Directive 2002/58/CE du 12 juillet 2002 concernant les données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques

[7] Guide des bonnes pratiques concernant l’usage des cookies publicitaires publié par l’Ufmd le 10 avril 2012 – http://www.ufmd.org/La-protection-des-donnees-a-l-heure-du-marketing-digital-guide-de-bonnes-pratiques_a25.html

[8] Charte sur la publicité ciblée et la protection des internautes publiée par l’Ufmd le 30 septembre 2010 – http://www.ufmd.org/downloads/Documents-de-reference_t13740.html