11 Mai Le casse-tête des cookies géré en 10 leçons
La gestion des cookies peut être un véritable casse-tête tant la législation sur les données personnelles est importante. Le développement des services de l’information se caractérise par l’introduction de nouveaux services de communication électronique qui offrent de grandes capacités et de vastes possibilités pour le traitement des données à caractère personnel, notamment en dehors des frontières européennes. Le succès du développement de ces services dépend en partie de la confiance qu’auront les utilisateurs que ces services ne porteront pas atteinte à leur vie privée. Force est de constater, que le développement des services de l’information pose avec une plus grande acuité la question du traçage des personnes qui y ont recours.Lorsqu’ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs sont de plus en plus suivis par différents acteurs. Ce traçage est réalisé par l’intermédiaire de différentes technologies, dont la plus répandue est aujourd’hui celle des « cookies ».
Depuis octobre 2014 le gendarme des droits et libertés sur internet, la CNIL contrôle de façon assidue le respect par les entreprises de la règlementation relative aux cookies : ses audits portent généralement sur la nature des cookies déposés, les modalités d’information du public, la visibilité et la qualité de l’information fournie.
Dans ce contexte, un panorama en 10 leçons vous permettra de vous assurer de la conformité de vos pratiques avec la législation en vigueur.
Définitions :
Cookie : témoin de connexion défini par le protocole de communication http comme étant une suite d’informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP sous certaines conditions ;
La donnée personnelle définie par l’alinéa 2 de l’article 2 de la loi de 1978[1] comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne » ;
Le responsable de traitement : La personne physique ou morale, l’autorité publique, le service ou un organisme qui, seul ou conjointement, détermine les finalités et les moyens du traitement ;
Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
La gestion de la conformité des cookies à la règlementation CNIL pose notamment les questions pratiques suivantes : Quand faut-il ajouter un bandeau sur son site Web ? Dans quels cas faut-il obtenir un consentement… et quel consentement ? Jusqu’à quel niveau de détails faut-il décrire les marqueurs utilisés ?
Voyons ensemble, les 10 points qui vous permettront d’y recourir conforment à la législation.
1. Comprendre ce qu’est un cookie
Le cookie est l’équivalent d’un fichier texte de petite taille, stocké sur le terminal de l’internaute. Existant depuis 1990 il permet au développeur du site web qui les a déposés, d’identifier et de stocker des informations relatives à la navigation de l’utilisateur sur le web (mots clés utilisés, sites visités, pages visitées et actions réalisées sur ces sites, temps passé, géolocalisation, langue utilisée, etc…) et de conserver des données utilisateurs afin de faciliter la navigation et de permettre certaines fonctionnalités.
Les cookies ont fait l’objet de controverses dans la mesure où ces derniers contiennent des informations personnelles résiduelles pouvant potentiellement être exploités des tiers.
La législation s’applique aux cookies déposés et lus, notamment lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile, quel que soit le système d’exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou smartphone, une télévision connectée, une console de jeux vidéo connectée au réseau internet)[2].
2. Identifier la finalité du dépôt d’un cookie
Cookie de session ou temporaire : cookie éponyme effacé automatiquement dès que l’utilisateur ferme son navigateur ;
Cookie persistant ou traceur : cookie qui reste stocké dans l’équipement terminal de l’utilisateur jusqu’à une date prédéfinie variant de quelque minute à plusieurs années. Ils permettent de tracer la navigation de l’utilisateur sur plusieurs sites différents (au-delà du site initialement visité et qui a donné lieu au dépôt du cookie) ;
Cookie de personnalisation : cookie utilisé pour mémoriser l’information sur l’utilisateur d’un site, dans le but de lui montrer un contenu approprié lors de sa prochaine navigation sur le site. Par exemple, un serveur peut envoyer un cookie contenant le dernier nom d’utilisateur utilisé pour connecter à ce site web, afin que ce nom d’utilisateur puisse être pré-rempli lors des prochaines visites ;
Cookie de pistage : cookie utilisé pour suivre les habitudes de navigation des utilisateurs d’internet. Le pistage peut être fait également en utilisant l’adresse IP de l’ordinateur faisant une requête d’une page ou à l’aide de l’enquête http « référant » que le client envoie à chaque requête, mais les cookies permettent une plus grande précision.
Ex 1 (sans cookie) : si l’utilisateur fait appel à une page d’un site, et que la requête ne contient pas de cookie, le serveur présume que c’est la première page visitée par l’utilisateur. Le serveur crée alors une chaine aléatoire et l’envoie au navigateur en même temps que la page demandée.
Ex 2 (avec cookie) : A partir de ce moment, le cookie sera automatiquement envoyé par le navigateur à chaque fois qu’une nouvelle page du site sera appelée. Le serveur enverra la page comme d’habitude, mais enregistrera aussi l’URL de la page appelée, la date, l’heure de la requête et le cookie dans un fichier de journalisation.
En regardant le fichier de journalisation, il est alors possible de voir quelles pages l’utilisateur a visité et dans quel ordre. Le pistage est généralement utilisé pour des raisons statistiques. Il convient de respecter la réglementation à cause des possibles intrusions dans la vie privée.
Dans la mesure où l’utilisation des cookies peut entrainer une intrusion dans la vie privée des internautes, leur utilisation doit être encadrée. Plusieurs types de cookies nécessitent une information précise et un consentement préalable de l’internaute :
-Les cookies liés aux opérations relatives à la publicité ciblée ;
-Les cookies de mesure d’audience ;
-Les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux » ; notamment lorsqu’ils collectent des données personnelles sans consentement des personnes concernées [3].
Les cookies analysent la navigation, les déplacements et les habitudes de consultation ou de consommation, afin notamment de proposer des publicités ciblées ou des services personnalisés.
3. Identifier l’auteur du dépôt de cookies
Les cookies sont généralement produits et déposés notamment par les acteurs suivants :
-Les éditeurs de sites, de système d’exploitation, et d’applications ;
-Les régies publicitaires ;
-Les réseaux sociaux ;
-Les éditeurs de solutions de mesure d’audience.
4. Rappel du principe de la confidentialité des données à caractère personnel
Les données relatives au trafic, générées par les communications effectuées au moyen de service de communication électronique sont confidentielles. Il est, par principe, interdit à toute autre personne que l’utilisateur d’écouter, d’intercepter, de stocker les communications et les données relatives au trafic, ou de les soumettre à tout autre moyen d‘interception ou de surveillance, sans le consentement des utilisateurs concernées, sauf lorsque la personne y est légalement autorisée [4].
L’équipement terminal de l’utilisateur d’un réseau de communication électronique ainsi que toute information stockée sur cet équipement relève de la vie privée de l’utilisateur particulier, qui doit être protégé conformément aux dispositions de l’article 8 de la Convention Européenne des Droit de l’Homme. Or les logiciels espions, les pixels invisibles (web bug), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin d’accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisé qu’à des fins légitimes, et portée à la connaissance de l’utilisateur concerné sans ambiguïté.
C’est notamment le cas pour les utilisateurs salariés, qui dans le cadre de l’exercice de leur activité professionnelle, sont amenés à utiliser les outils de communication électronique mis à leur disposition par leur employeur dans l’exercice de leurs fonctions. Ainsi, l’employeur pourra surveiller, dans le cadre de son pouvoir disciplinaire, les communications électroniques du salarié sur le réseau de communication électronique de la société ainsi que le contenu des équipements électroniques (terminal, smartphone), sous réserve d’en informer préalablement ses salariés, par la signature d’une charte informatique et/ou la remise d’un exemplaire du règlement intérieur. Une jurisprudence de la CEDH de janvier 2016 confirme ce point, en déclarant que le fait pour un employeur de surveiller les communications électroniques de son salarié n’est pas constitutif d’une violation du droit à la vie privée du salarié :«la Cour estime qu’il n’est pas déraisonnable pour un employeur de vouloir vérifier que ses employés accomplissent leurs tâches professionnelles pendant leurs heures de travail.» [5].
Cependant les dispositifs de ce type, par exemple les témoins de connexion (cookies), peuvent constituer un outil utile pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de service de la société de l’information, leur utilisation devraient être autorisée à condition que les utilisateurs se voient donner des informations claires et précises.
5. Recueillir le consentement des utilisateurs
Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site internet[6].
6. Obligation d’information des utilisateurs incombant au responsable de traitement
Les obligations incombant aux responsables de traitement sont les suivantes :
-préciser l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
-préciser la finalité poursuivie par le traitement auquel les données sont destinées ;
-préciser le caractère obligatoire ou facultatif des réponses ;
-préciser les conséquences éventuelles, à son égard, d’un défaut de réponse ;
-préciser les destinataires ou catégories de destinataires des données ;
-préciser les droits qu’elle tient des dispositions de la section 2 du chapitre V de la loi dont celui de définir des directives relatives au sort de ses données à caractères personnel après sa mort,
-préciser le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne[7]
7. Moment et durée
Le consentement au dépôt des cookies a une durée de treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site[8].
8. Conditions du traitement des cookies
Tout traitement de données à caractère personnel doit être effectué licitement et loyalement à l’égard de la personne concernée. Il doit, en particulier, porter sur des données adéquates, pertinentes, et non excessives au regard des finalités poursuivies, qui doivent être explicites et légitimes et déterminées lors de la collecte des données.
Les utilisateurs doivent avoir la possibilité de refuser qu’un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important dans le cas où un terminal de connexion est partagé par plusieurs utilisateurs qui peuvent avoir accès aux données sensibles qui y sont stockées.
9. Contrôler la conformité de vos cookies
Information de l’utilisateur
-Indiquer la finalité précise des cookies utilisés ;
-Indiquer la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
-Indiquer le principe selon lequel la poursuite de la navigation vaut accord du dépôt de cookies sur son terminal.
Critères du bandeau d’informations
-Il doit être transparent, clair et non équivoque ;
-Il doit être apparent jusqu’à la poursuite de la navigation (c’est-à-dire de se rendre sur une autre page ou une clique sur un élément du site) ;
sauf consentement expresse et préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués.
10. Effectuer une déclaration auprès de la CNIL
En France, l’utilisation de cookies est incontestablement un moyen de collecter des informations nominatives débouchant sur un traitement automatisé et doit en conséquence faire l’objet d’une déclaration auprès de la Commission Nationale Informatique et Liberté (CNIL) en vertu de la loi no 78-17 du 6 janvier 1978 . Très tôt, cette autorité a émis des avis sur l’emploi des cookies et précisé les obligations pesant sur les utilisateurs de ces techniques.
Le responsable de traitement doit veiller, sous peine d’être sanctionné de 5 ans d’emprisonnement et 300.000 euros d’amende, le collecteur de données doit veiller :
— à ne pas commettre un détournement de la finalité déclarée du traitement ;
— à ne pas collecter les données par un moyen frauduleux, déloyal ou illicite, et à ne pas procéder à leur traitement malgré l’opposition légitime du consommateur ;
— à ne pas collecter les données relatives à la vie privée, aux origines raciales, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé, aux mœurs, sans le consentement exprès du consommateur.
La CNIL peut prononcer :
— des avertissements qu’elle peut également rendre publics ;
— des sanctions pécuniaires si « le montant de la sanction pécuniaire prévue est proportionné à la gravité des manquements commis et aux avantages tirés de ce manquement » ;
— toutes mesures permettant de faire cesser l’infraction constatée[9]
L’information à fournir aux utilisateurs concernant les cookies doit ainsi être rédigée avec soin et ne saurait se réduire à une annonce générale relative à l’existence desdits cookies. Une analyse circonstanciée est nécessaire puisqu’il n’existe pas de message type. Chaque information doit être adaptée au cas par cas en fonction du type de cookies utilisé et des finalités poursuivies. La difficulté réside dans la manière de fournir cette information, potentiellement dense, de manière conviviale et suffisamment claire, précise et visible pour les utilisateurs.
Pour vous accompagner dans cet étape, n’hésitez pas à contacter votre conseil juridique.
Pour aller plus loin…. Contactez le Cabinet Levrel
[1]Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertéstelle que modifié par la loi n° 20014-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel
[2]Article 1 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 _ l n’y a dans la recommandation aucune injonction, même s’il est clair que l’on peut considérer comme de bonne politique de s’y conformer, la CNIL qui juge la loi violée pouvant toujours saisir les autorités judiciaires
[3] Cette liste n’est pas exhaustive
[4]Alinéa 1 article 5 de la DIRECTIVE 2002/58/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 12 juillet 2002 concernant le traitement des données à caractères personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
[5]Arrêt CEDH du 12/01/16 Requête n° 61496/08 Affaire Barbulescu c. Roumanie
[6] Considérant 17 de la directive vie privée et communications électroniques
[7]Art. 32. – I. – La personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée, sauf si elle l’a été au préalable, par le responsable du traitement ou son représentant :
[8]Article 5 Délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978
[9]Article 7 de la loi du 6 août 2004, modifiant le chapitre VII de la loi de la loi du 6 janvier 1978