Cookies : le point un an après la nouvelle loi
Publié le 08/09/2013 par Hervé Jacquemin, Etienne Wery
En 2012, la France et la Belgique modifiaient leur loi pour l’adapter aux règles européennes applicables aux cookies. Un an plus tard, on peut dresser un premier rapport d’étape, mitigé.
Sur l’Internet, les cookies ne sont pas de délicieux gâteaux. Il s’agit de petits fichiers que les sites déposent sur votre ordinateur afin d’y stocker de l’information. Parfois, il s’agit de retenir des préférences comme la langue, le pays d’origine, un panier d’achats récurrents, etc. La technique sert aussi en marketing. Je vais sur le site d’une marque de voitures pour voir les promotions ; le lendemain, lorsque je relève mon courrier électronique sur mon compte en ligne, je recevrai comme par hasard une publicité pour cette marque là.
Il y a trois grands principes à retenir :
Premier grand principe. La loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel, doit être respectée. Toutefois, les cookies ont ceci de particulier qu’ils n’impliquent pas toujours des données à caractère personnel. Bien que ce ne soit pas précisé, il nous semble que la protection matérielle de la loi sur les données à caractère personnel disparaît dès l’instant où le cookie n’implique aucun traitement de données à caractère personnel.
Deuxième grand principe. L’information est un des pivots de la nouvelle législation. L’information doit être préalable, en ce sens qu’elle doit être fournie avant l’installation du cookie. Cette information préalable doit avoir lieu conformément à la loi précitée sur les données personnelles. Ce renvoi a pour effet d’inclure dans la nouvelle réglementation les définitions qui proviennent de ce cadre juridique spécifique, notamment en ce qui concerne les finalités, qui doivent être : déterminées ; explicites ; légitimes.
Tout est question de contexte. La commission française pour la protection de la vie privée (CNIL) rappelle que : « l’important est de préciser de manière claire la finalité du cookie et de décrire le moyen dont l’internaute dispose pour s’opposer à ce cookie. » L’autorité française donne un exemple. Si la finalité est de permettre à une régie de publicité extérieure de proposer des publicités ciblées, il faudra signaler à l’internaute que la finalité consiste à « analyser vos centres d’intérêts pour vous proposer des publicités personnalisées », et pas seulement d’annoncer une « finalité publicitaire ».
Troisième grand principe : le consentement. La loi exige le consentement de l’abonné ou de l’utilisateur final. Le consentement est une manifestation de volonté qui doit répondre aux trois conditions suivantes :
- Libre : cela doit résulter du libre choix de l’utilisateur ;
- Spécifique : le consentement de porter sur un cookie précis associé à une finalité précise ;
- Informé : l’information doit préciser la finalité du cookie ainsi que la possibilité de s’opposer ultérieurement à l’utilisation des cookies.
On ajoutera que ce consentement doit pouvoir être retiré ultérieurement, de manière simple.
C’est le cumul des deuxième et troisième principes qui fait que depuis quelques mois, on voit fleurir sur les sites Web des messages qui demandent de valider la politique du site en matière de cookies.
Un an après la nouvelle loi, peut-on écrire que tout est pour le mieux dans le meilleur des mondes ? Nous ne le pensons pas.
D’une part, on peut sérieusement s’interroger sur la philosophie sous-jacente qui consiste à ériger le consentement en suprême absolution. Qui lit ces textes avant de les valider ? À peu près personne. Mais dans ce cas, quel est l’intérêt de voir dans le consentement la réponse à tous les problèmes que pose la vie privée sur l’Internet ?
D’autre part, on peut également s’interroger sur l’effectivité de la liberté de l’utilisateur. Qui suis-je, moi petit utilisateur, pour refuser la charte de tel site que j’utilise quotidiennement ? En pratique, mon choix se résume souvent à dire oui … ou à ne plus utiliser le site en question ce qui n’est pas non plus une solution.
De plus en plus de sites se mettre en conformité avec la nouvelle loi, et c’est heureux. Mais quant à savoir si la nouvelle loi – que l’on retrouve dans tous les pays européens en termes similaires – atteint l’objectif qu’elle s’était fixé, c’est une autre question. En théorie oui, sur le plan concret et pratique nous en sommes moins certains.
(chronique publiée dans L’Echo).