La mise en conformité légale des sites internet vis-à-vis des cookies

La Commission Nationale de l’Informatique et des Libertés (CNIL)  a annoncé vouloir contrôler, à partir d’octobre 2014, le respect de la loi spécifique à l’utilisation des cookies et autres traceurs sur les sites internet.

Elle analysera notamment les types de cookies utilisés par le site internet et les finalités desdits cookies.

Elle contrôlera également les modalités de recueil du consentement, l’accessibilité de l’information relative aux cookies ainsi que la durée de vie de ces derniers.

Dès lors, elle se réservera la possibilité d’adopter des mises en demeure voire des sanctions en cas de manquements constatés.

Cette actualité nous invite à rappeler les règles relatives à l’utilisation de cookies sur des sites internet.

La directive dite « paquet télécom » et sa transposition en droit français

En application de la directive européenne dite « paquet télécom » les internautes doivent, désormais, non seulement être informés, mais également donner leur consentement préalablement à l’insertion de cookies et autres traceurs.

Le « Paquet Télécom » est le nom donné aux deux directives et au règlement relatifs aux communications électroniques adoptés par le Parlement et le Conseil européen le 25 novembre 2009.

Selon l’article 5(3) de la directive 2002/58/CE du 12 juillet 2002 modifié par l’adoption de la directive 2009/136/CE du 25 novembre 2009, il est impératif d’obtenir, dans ce cas :

• « un consentement préalable de l’utilisateur avant le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées.

• sauf, si ces actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».

 L’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011, lequel a transposé la directive 2009/136/CE, reprend cette exigence en précisant que :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

• de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement

• des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. 

Cet article précise néanmoins que :

« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

• soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

• soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur».

En somme si les cookies implantés sur le site ne visent qu’à faciliter l’accès ultérieur au site, l’éditeur n’aura pas à se conformer à la législation.

Dans le cas contraire, l’obligation d’information et de recueil du consentement s’impose à l’ensemble éditeurs et responsables de sites qui utilisent ces technologies.

L’affichage d’une information claire et accessible

Selon la loi en vigueur, il ne suffit plus que cette information relative aux cookies figure dans les conditions générales d’utilisation du site internet.

L’internaute doit désormais absolument disposer d’une possibilité de choisir de ne pas être tracés lorsqu’il visite un site web.

L’information doit être préalable au dépôt du cookie et les éditeurs ou responsables de sites ont l’obligation de solliciter au préalable le consentement des utilisateurs.

Ce consentement est valable 13 mois maximum.

La Commission Nationale Informatique et libertés (CNIL) considère que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et n’est pas exposée à des conséquences négatives importantes dans l’hypothèse où elle refuse de donner son consentement.

La validité du consentement est donc liée à la qualité de l’information reçue.

Celle-ci doit être visible, mise en évidence et complète.

La CNIL recommande donc que l’information soit rédigée en des termes simples et compréhensibles pour tout utilisateur et permette aux internautes d’être parfaitement informés des différentes finalités des Cookies déposés et lus.

Elle considère que l’utilisation d’une terminologie juridique ou technique trop complexe ne répondrait pas à l’exigence d’une information préalable.

Par exemple, si le cookie a pour finalité de « créer des profils d’utilisateurs afin d’afficher des publicités ciblées », l’information devra reprendre l’ensemble de ces termes et non se limiter à indiquer « publicité ».

La mise en place d’un moyen de recueil du consentement adapté

La CNIL souligne, par ailleurs, que le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix tout en disposant des moyens de l’exercer.

Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques.

D’un point de vue pratique, avant de déposer ou lire un cookie, il est donc nécessaire :

1. D’informer les internautes de la finalité des cookies
2. D’obtenir leur consentement
3. De fournir aux internautes un moyen de les refuser

Tant que la personne n’aura pas donné son consentement, ces traceurs ne pourront donc être déposés ou lus sur son terminal.

D’un point de vue pratique et ce même s’il ne s’agit pas de la seule possibilité offerte, l’utilisation d’un bandeau est préconisée pour recueillir le consentement de l’internaute.

Ce bandeau l’informera :

• Des finalités précises des cookies et de la technique de traçage utilisé, à savoir de « créer des profils d’utilisateurs afin d’adresser des publicités ciblées»

• De la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien « en savoir plus et paramétrer les cookies » présent dans le bandeau

• Du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal

Ce bandeau ne devra pas disparaître tant que la personne n’aura pas poursuivi sa navigation, en l’occurrence, tant qu’il n’aura pas cliqué sur un élément du site autre que le lien profond intitulé « en savoir plus et paramétrer les cookies ».

Le lien « en savoir plus et paramétrer les cookies » devra justement renvoyer sur une page dans laquelle seront présentées les solutions pour accepter ou refuser en tout ou partie les Cookies. Cette page devra être accessible sans dépôt de cookies et donc sans que cela occasionne une transmission d’informations à l’éditeur du site.

Par ce biais, il sera alors possible de considérer que le consentement de l’internaute s’est manifesté par une action positive et qu’il a été préalablement informé des conséquences de son choix tout en disposant des moyens de l’exercer.

Il est utile de rappeler que tout manquement aux règles précitées, et à la loi du 6 janvier 1978 en général, est passible de sanctions pénales pouvant aller jusqu’à 300 000 euros.

L’article 226-16 du Code pénal dispose, en effet, que : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 € d’amende ».

La CNIL, qui va donc mener une série de contrôles à compter du mois d’octobre 2014, précisait à la fin de l’année 2013 avoir conscience que la mise en conformité de certains sites nécessitera plus de délai que d’autres et qu’en cas de plainte ou de contrôle, elle apprécierait alors les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité.