Bienvenue sur JurisPedia! Vous êtes invités à créer un compte et à contribuer après avoir confirmé votre adresse de courriel. Dès lors, vous pouvez ajouter un article en commençant par lui donner un titre en renseignant ce champ:

Les lecteurs et contributeurs ne doivent pas oublier de consulter les avertissements juridiques. Il y a actuellement 3 533 articles en construction permanente...

Régime juridique applicable aux cookies (fr)

Un article de JurisPedia, le droit partagé.
Aller à : Navigation, Rechercher


Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
'
Recherche en droit français Fr flag.png
Google Custom Search

France > Droit des médias > Droit de l'informatique et de l'internet
Fr flag.png

Historique

Les cookies ont été inventés et déployés par la société NETSCAPE dans les années 90 dans le but « de pallier à certaines faiblesses du protocole http » mais aussi afin d'améliorer la relation entre le client et le site prestataire. Ils ont fait par la suite l'objet d'une normalisation mondiale par l' Internet Engineering Task Force (IEFTF) en 1994, normalisation qui s'impose à tous les éditeurs de logiciel de navigation. En France la Commission Nationale de l'Informatique et des Libertés (CNIL) en a fait son cheval de bataille et en fait la démonstration sur son site depuis 1998[1]

Définition

Les fichiers cookies ou encore « témoins de connexion » ont été dénommés ainsi par la CNIL, sont des fichiers textes contiennent uniquement les informations qui y ont été déposées par leurs émetteurs et ne sont lisibles que par ces derniers. Il faut distinguer deux objectifs, en effet alors que certain cookies ont simplement une finalité technique, nécessaire à l'ergonomie de la navigation, d'autre comme les cookies « traceurs » ont un objectif de profilage, outils au service de la publicité. Il devient ainsi un véritable « instrument monétaire de l'internet », unique lien entre l'internaute et son profil ainsi constitué par les opérateurs ayant collecté ses données.

L'Internet Advertising Bureau (IAB)[2] propose une typologie des cookies en fonction de leur usage. Ainsi il distingue les cookies de session, les cookies de personnalisation et les cookies de tracking. Mais la distinction majeure repose sur deux catégories de cookies ; les cookies « on site » c'est-à-dire les fichiers de navigation implantés et gérés par l'éditeur du site et les cookies « off site » ou « tiers » qui sont quant à eux implantés et géré par un tiers à l'éditeur du site, principalement des opérateurs et régies publicitaire. La régulation des cookies trouve son fondement dans le respect de la vie privée et l'instrument de cette régulation est le navigateur.

Le Régime juridique

La Régulation européenne des cookies

La vie privée comme fondement européen de la régulation des cookies

Les cinq Directives de 2002 communément appelées Paquet Telecom constituent le cadre règlementaire européen initial applicable aux réseaux et services de communication électronique, parmi celles-ci on compte la Directive du Parlement Européen et du Conseil du 12 juillet 2002 vie privée et communications électroniques[3].

Cette dernière s'appuis sur le fondement de la vie privée et règlemente ainsi l'usage des « cookies ». Elle pose dans son article 5.3, le principe selon lequel, dans le respect de la Directive 95/46/CE, le stockage d'information dans l'équipement terminal d'un internaute n'est possible qu'à la condition que celui-ci soit clairement et complètement informé quant à la finalité des cookies et qu'il ait le droit de refuser un tel traitement.

La directive consacre ainsi l'obligation d'information claire et complète de l'internaute sur l'utilisation d'un fichier cookie, ainsi que le droit de s'opposer de façon permanente ou temporaire à un tel traitement, l'option d'adhésion (opt-out). La directive précise cependant que « cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ». Par conséquent, cette obligation ne prend effet que lorsque l'utilisation de ces données se fait dans une optique de profilage à défaut lorsque l'objectif du dispositif de traitement est exclusivement technique, il échappe ainsi à la règlementation susvisée.

La directive vie privée et communications électroniques[4] complète ainsi la règlementation prévue par la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données[5].

Le nouveau cadre juridique européen des communications électroniques

La règlementation européenne a évolué vers le système de l'option de retrait (opt in). En effet la directive 2009/136/CE du Parlement Européen et du Conseil du 25 novembre 2009[6] est venu modifier la directive 2002/22/CE « service universel »[7], ainsi que la directive vie privée et communications électroniques[8]. Alors que la transposition en droit interne était prévue avant le 25 mai 2011, en France les négociations sur la transposition sont toujours en cours entre le gouvernement, la |CNIL et l'ARCEP.

L'article 2.5 complété par le Considérant 66 de cette même directive, introduit l'option de retrait (opt in) et consacre l'existence du consentement de l'internaute en matière de cookie, c'est-à-dire le droit, d'accepter ou de refuser explicitement, de manière ponctuelle ou permanente, l'implantation d'un cookie dans son équipement terminal. Il s'agit-là d'une obligation de recueillir le consentement de l'utilisateur avant tout stockage de cookies sur son ordinateur. Cette disposition concerne seulement les cookies de traçage, utilisés pour le ciblage publicitaire soit par des régies soit par les sites marchands, et non les cookies « techniques » c'est-à-dire ceux nécessaires à la navigation qui stockent identifiants et mot de passe.

La régulation française des cookies

La législation

La directive 2002/58/CE a été transposée en droit français par le nouvel article 32 de la loi du 6 janvier 1978 informatique, fichiers et libertés[9], modifiée par la loi 2004-801 du 6 août 2004[10].

Le droit français tout comme le droit de lUnion européenne consacre une obligation d'information préalable, claire et précise, quant à la finalité des cookies, visée à l'article 32.II de la loi de 1978[11], ainsi que le droit d'opposition consécutif « sans frais à ce que les données soit utilisées à des fins de prospection commerciale » (article 38 de cette même loi) qui s'exerce en effectuant des choix dans les logiciels de navigation.

Alors que la transposition en droit interne était prévue avant le 25 mai 2011, en France les négociations sur la transposition sont toujours en cours entre le gouvernement, la CNIL et l'ARCEP. Toutefois il est a noté que l'article 34-5 du CPCE consacre dans certaines conditions l'Opt in en effet «  est interdit la prospection directe au moyen d'un automate d'appel, d'un télécopieur, ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen ».

Le projet de loi portant sur la transposition en droit interne de la réforme Paquet Telecom, a été adopté en seconde lecture, par les parlementaires le 10 février 2011, une fois en vigueur les dispositions s'appliqueront de plein droit aux entreprises de publicité en ligne. Ceux sont principalement les régies publicitaires, qui devront dès lors demander à l'internaute son accord avant de stocker sur son ordinateur un fichier cookie, qui subiront les risques afférents à la mise en œuvre de l'Opt in par défaut, à savoir un blocage de la part des internautes.

La Commission Nationale de l'Informatique et des Libertés (CNIL)

Depuis 1998 la Cnil affirme sa position et sa mission d'information de l'internaute fasse à l'utilisation des cookies sur son terminal, elle propose ainsi sur son site un mode d'emploi pour autoriser ou interdire les cookies.

Selon la CNIL, l'instrument de la régulation des cookies étant le navigateur, il incombe alors aux éditeurs de logiciels de navigation « tous américains » une obligation technique de permettre aux internautes de manifester leur consentement ou refus d'installation de fichier cookies sur leur équipement terminal. Il s'agit par conséquent de la mise en place d'un régime d'interdiction des cookies.

La Charte sur la publicité ciblée et la protection des internautes de l'Union française du Marketing Direct (UFMD)

La Charte sur la publicité ciblée de l'UFMD du 30 septembre 2010[12], prévoit des obligations qu'elle impose aux éditeurs et régies publicitaires parmi lesquelles on trouve l'obligation d'information des internautes sur la finalité des cookies et complète ainsi celle prévue par la loi « informatique et liberté », notamment de « permettre aux internautes français de pouvoir exprimer directement via une plateforme directement accessible depuis les espaces publicitaires leur souhaits en matière de publicité ciblée ou de cookies « tiers » c'est à dire de les accepter , de les refuser, ou bien de définir les sites exclus de tout ciblage ou du moins où le ciblage en sera limité »… qui s'appuient sur l'exemple de la plateforme dédiée à la publicité comportementale mise en œuvre par la Network Advertising Initiative (NAI) américaine et promue notamment par l'IAB.

« Le droit à l'oubli » des cookies : Cette même Charte propose également que la durée de conservation de ces fichiers devrait être proportionnée à leur finalité, et par défaut celle-ci serait fixée à soixante jours « sans exclure l'application de durées plus courtes ou plus longues, proportionnées à la durée du cycle d'achat des produits ou services ».

Le débat sur le rapprochement entre données de navigation et données à caractère personnel

Le fichier cookie est-il une donnée personnelle ? Ou encore, les informations enregistrées par les cookies constituent elles des données à caractère personnel ? Les fichiers cookies sont considérés comme ne comportant aucune donnée à caractère personnel mais simplement des témoins de connexion et dans ce cas ceux sont les règles relatives à la protection de la vie privée qui s'appliquent soit l'article 32.II de la loi « informatique et libertés » de 2004 transposée du droit européen. Directive 12 juillet 2002 « vie privée et communication électronique » Selon Jean FRAYSSINET « les données collectées par les cookies ne sont pas des données personnelles mais des données relatives à l'ordinateur, l'internaute consommateur qui est derrière reste anonyme, même s'il reçoit en fonction de son profil des publicités ciblées ou des offres d'achats »[13]


Solutions techniques et labellisation

Responsabiliser l'internaute

L'objectif premier est de responsabiliser l'internaute. En effet « l'internaute doit maitriser l'outil et non le subir », il doit s'investir dans sa navigation mais pour cela il doit pouvoir accéder aux outils nécessaire à cette prise de contrôle de sa protection.

Le « Privacy by design »

La protection intégrée de la vie privée (PIVP) ou « le respect de la vie privée dès la conception » voilà ce qu'il se cache derrière le terme anglais de « Privacy by design ».

Ce concept intègre la dimension de la vie privée dès le stade de la conception des outils et réseaux informatiques, et propose ainsi un mode de navigation privée « dans lesquels les cookies crées sont automatiquement effacés à l'issu de la cession de navigation, indépendamment de leur durée de vie prévue. ». C'est le cas d'HP ou encore Microsoft. Certain navigateur permettent déjà, aux internautes de paramétrer l'acceptation des cookies, par différentes actions telles que accepter ou refuser les cookies, gérer la durée de stockage des cookies ou encore lister des sites (domaines) pour lesquels le stockage sera refusé.

Le Dashboard de Google quant à lui permet aux utilisateurs inscrits chez Google de connaitre les données que la société détient sur eux.

Labellisation de la CNIL

La labellisation des services par la CNIL peut en outre être un outil décisif pour l'internaute, acteur de sa propre protection. En effet depuis la loi du 12 mai 2009, la CNIL dispose d'un pouvoir de labellisation de produits ou procédures conformes à la loi du 6 janvier 1978. Ainsi la CNIL a récemment reconnu conformes à la loi « informatique et libertés » deux projets de codes de déontologie de l'Union française du marketing direct (UFMD) relatifs au publipostage électronique (e-mailing).

Voir aussi

  • Trouver la notion cookies dans l'internet juridique français

Liens externes

Références

Notes

  1. site de la CNIL
  2. Site de IAB France
  3. Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), [[Journal officiel (eu)|]] n° L 201 du 31/07/2002 p. 0037 - 0047
  4. Directive 2002/58/CE op. cit.
  5. Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, Journal officiel n° L 281 du 23/11/1995 p. 0031 - 0050
  6. Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n o 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs (Texte présentant de l'intérêt pour l'EEE), Journal officiel n° L 337 du 18/12/2009 p. 0011 - 0036
  7. Directive 2002/22/CE du Parlement européen et du Conseil du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques (directive "service universel"), Journal officiel n° L 108 du 24/04/2002 p. 0051 - 0077
  8. Directive 2002/58/CE, op. cit
  9. Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978 page 227
  10. Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF n°182 du 7 août 2004 page 14063 texte n° 2
  11. op. cit.
  12. Charte « Publicité ciblée et protection des internautes » quels enjeux, quelle portée ? n° 58 mars 2010 Revue Lamy Droit de l'immatériel
  13. J. FRAYSSINET, « Nouvelles Technologies de l'Informations et de la Communication et Protection des Libertés des Consommateurs » In les Libertés Individuelles à l'Epreuve des NTIC (Lyon, PUL), [2001] p. 39