Cookies.eu

1 018 vues

Publié le

Les lois Cookies en Europe et France

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 018
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
14
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cookies.eu

  1. 1. La nouvelle recette des cookies à la française Marc Gallardo & Céline Avignon
  2. 2. Introduction•  Une actualité•  Une nécessité•  Des impacts opérationnels 2
  3. 3. Plan1. Le cadre juridique des cookies en UE2. Exemples de transposition de la directive en Europe3. La recette française4. Les cinq conseils 3
  4. 4. 1.Le cadre juridique des cookies en UE1. Le référentiel légal2. La directive 2002/583. La directive 2002/58 modifiée 2009/136 4
  5. 5. 1.1 Le référentiel légal•  Directive 2002/58/CE “vie privée et communicationsélectroniques”: Article 5.3. + Considérants 24 et 25 abrogent laDirective 97/66/CE modifiée par la Directive 2009/136/CE +Considérant 66•  Directive 95/46/CE “Générale de Protection des données àcaractère Personnel” 5
  6. 6. 1.2 La directive 2002/58•  L’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permise qu’à condition que l’abonné ou l’utilisateur soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données.•  Information et opt-out 6
  7. 7. 1.3 La directive 2002/58 modifiée 2009/136•  Le stockage d’informations ou l’accès à des informations déjà stockées, dans l’équipement terminal de l’abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou utilisateur ait donné son accord après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement.•  Le consentement –  Préalable au moment de placer un Cookie et/ou d’accéder aux informations déjà stockées –  Informé sur la base d’une information claire et complète (finalités du traitement) –  Révocable à n’importe quel moment et sans avoir à justifier la raison 7
  8. 8. 1.3 La directive 2002/58 modifiée 2009/136•  AVIS 2/2010 sur la publicité comportementale en ligne, adopté le 20 juin 2010 par le Groupe de Travail “Article 29” sur la Protection des Données –  Opt-out : Le Groupe considère que ce mécanisme ne convient pas pour obtenir un consentement informé et valable de l’utilisateur: •  Manque de connaissance sur la collecte des données et du fait qu’en ne procédant pas à un opt-out ils acceptent les Cookies; •  Le consentement implique une participation active de la personne concernée tandis que l’opt-out se réfère à une “non-réaction” –  Paramétrage du navigateur : Le Groupe doute que le paramétrage du navigateur soit la manifestation d’un consentement informé, valable et effectif: •  La plupart des navigateurs sont configurés par défaut pour autoriser tous les Cookies •  Manque de connaissance de l’utilisateur “moyen” sur lexistence ou les finalités des Cookies •  Absence d’action (non refus de Cookies) n’est pas une manifestation claire et 8 sans équivoque du consentement informé de l’utilisateur
  9. 9. 1.3 La directive 2002/58 modifiée 2009/136–  L’opt-in •  Les mécanismes opt-in préalables, qui requièrent une action positive sont conformes aux exigences de l’article 5.3. de la Directive 2002/58/CE •  L’acceptation d’un Cookie pourrait être interprétée comme valable non seulement pour l’envoi du Cookie mais aussi pour l’accès ultérieur aux informations de ce Cookie •  Trois types de garanties: i) limiter la portée du consentement, ii) informations supplémentaires, iii) consentement révocable •  Exceptions à la règle du consentement : –  les Cookies qui sont strictement nécessaires pour la fourniture d’un service expressément demandé par lutilisateur. Exemples: fonction “panier d’achat” ou “check-out” d’un site de commerce électronique. A –  Cookies visant exclusivement à effectuer la transmission d’une communication par un réseau 9
  10. 10. 1.3 La directive 2002/58 modifiée 2009/136–  L’information •  Information suffisante et effective sur la collecte d’informations et sur les finalités du Cookie (Transparence) par la personne qui envoie et lit le Cookie •  Les informations devraient être communiquées de la façon “la plus conviviale possible”: •  Bon moyen: minimum d’informations directement sur l’écran de manière interactive, aisément visibles et compréhensibles, et renvoi pour l’information complète à une autre page du site •  Mauvais moyen: informations “cachées” dans des conditions générales et/ou dans des déclarations de la politique de confidentialité •  Dans le domaine de la publicité comportementale et des Cookies “Tiers”, le Groupe fait appel à la créativité des acteurs dans ce domaine –  Bon moyen: icônes placées autour des publicités et menant vers des informations supplémentaires 10
  11. 11. 1.4 La Directive 95/46•  L’équipement terminal + informations collectées par moyen des Cookies relèvent de la vie privée de l’utilisateur ...•  ... Mais ces informations peuvent être considérées comme des données à caractère personnel•  Quand : collecte adresses IP et d’identifiants uniques (par le Cookie) et autres scénarios possibles qui déclencheraient aussi l’application de la Directive Generale 95/46/CE 11
  12. 12. 2 Exemples de transposition de la directiveen europe1. Etat de la transposition2. Le cas du Royaume Uni3. Le cas de l’Espagne4. Les problématiques 12
  13. 13. 2.1 Etat de la transposition•  25 mai 2011: date limite de transposition de la directive 2009/136/CE et par conséquent de l’article 5.3. modifié de la Directive 2002/58/CE•  À cette date seul le Danemark, Estonie, Finlande, Irlande, Suède, Malte et le Royaume-Uni avaient transposé la Directive “cookies”•  Le 24 novembre 2011 la Commission Européenne a envoyé un “avis motivé” à 16 États Membres qui n’avaient pas transposé (sauf Lettonie, Lithuanie, Luxembourg et Slovaquie). 13
  14. 14. 2.2 Le cas du Royaume Uni•  Période moratoire d’1 an pour la mise en conformité de la nouvelle condition du consentement (jusqu’à 25 mai 2012)•  9 mai 2011: Rapport ICO •  Il accepte une période moratoire •  Approche pragmatique pour se conformer à la Directive “Cookie” •  Le paramétrage du navigateur n’est pas aujourd’hui une forme de recueil du consentement efficace. 14
  15. 15. UK: Exemple opt-in 15
  16. 16. UK: Exemple info 16
  17. 17. 2.3 Le cas de l’Espagne•  Projet de loi pour incorporer la Directive Cookie via modification art. 22.2 LSSI•  Transposition littérale de l’article 5.3 et considérant 66 (paramétrage), sauf Code de Conduite qui prévoit anciennes conditions (information + opt-out)•  Amendements du Parti Populaire•  Autorité compétente : AEPD•  Infraction mineure (jusqu’à 30.000€) ou grave (de 30.000 à 150.000 €) 17
  18. 18. 2.4 Les problématiques•  Risque d’asymétries entre Etats membres lors de l’application de la règle du consentement•  Expérience plus défavorable pour les internautes sur le même site•  Challenge pour les entreprises opérant des sites multinationaux•  Impact négatif sur l’économie digitale de l’UE 18
  19. 19. 3.La recette française du cookie1. Décryptage de l’article2. Un cookoi3. Un cookqui4. Un cookinfo5. Un cookin 19
  20. 20. 3.1 Décryptage de l’article•  Art 32 II actuel •  Art 32 II ancienII.-Tout abonné ou utilisateur dun service de communications II.-Toute personne utilisatrice des réseaux deélectroniques doit être informé de manière claire et complète, communications électroniques doit être informée de manièresauf sil la été au préalable, par le responsable du traitement ou claire et complète par le responsable du traitement ou sonson représentant : représentant :- de la finalité de toute action tendant à accéder, par voie de -de la finalité de toute action tendant à accéder, par voie detransmission électronique, à des informations déjà stockées dans transmission électronique, à des informations stockées dansson équipement terminal de communications électroniques, ou à son équipement terminal de connexion, ou à inscrire, par lainscrire des informations dans cet équipement; même voie, des informations dans son équipement terminal- des moyens dont il dispose pour sy opposer. de connexion ; -des moyens dont elle dispose pour sy opposer.Ces accès ou inscriptions ne peuvent avoir lieu quàcondition que labonné ou la personne utilisatrice ait exprimé,après avoir reçu cette information, son accord qui peutrésulter de paramètres appropriés de son dispositif deconnexion ou de tout autre dispositif placé sous soncontrôle. Ces dispositions ne sont pas applicables si laccès auxCes dispositions ne sont pas applicables si laccès aux informations stockées dans léquipement terminal deinformations stockées dans léquipement terminal de lutilisateur lutilisateur ou linscription dinformations dans léquipementou linscription dinformations dans léquipement terminal de terminal de lutilisateur :lutilisateur : -soit a pour finalité exclusive de permettre ou faciliter lasoit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;communication par voie électronique ; -soit est strictement nécessaire à la fourniture dun service desoit est strictement nécessaire à la fourniture dun service de communication en ligne à la demande expresse decommunication en ligne à la demande expresse de lutilisateur. lutilisateur. 20
  21. 21. 3.2 Un cookquoi•  Juridiquement •  La notion de cookie n’est pas mentionnée dans le texte •  Informations déjà stockées ou installées dans l’équipement terminal de communications : conception large de la notion de cookie •  Directive 2002/58 : données de connexion•  Techniquement •  Les cookies (ou http cookies, web cookies, browser cookies) sont des données utilisées par un serveur web pour envoyer des informations d’état au navigateur d’un utilisateur, et pour ce navigateur de renvoyer des informations d’état au serveur web d’origine. •  Origine: 1994: Lou Montelli intègre la technologie Cookie dans le navigateur Netscape pour la première fois 12.02.1996: Premier article sur les Cookies dans les média (Financial Times) à cause des possibles intrusions dans la vie privée des Cookies21 utilisés à des fins publicitaires
  22. 22. 3.2 Un cookquoi•  Les différents types de cookies : •  Cookie de session : Ce type de cookie ne dure que pour la durée de navigation de l’internaute sur un serveur web donné. Le navigateur supprime normalement ce cookie dès que l’internaute quitte le site internet. •  Cookie persistant : Ce cookie reste stocké sur l’équipement terminal de l’utilisateur et a une durée de conservation assez longue : il permet notamment au serveur web de connaître la première date de connexion et/ou les suivantes ce qui permet de suivre l’historique de connexion de l’utilisateur. Cela constitue souvent une information de valeur et explique pourquoi ils sont également appelés tracking cookies ou in-memory cookies. •  Cookie sécurisé : Ils sont uniquement utilisés lorsqu’un navigateur se connecte par HTTPS à un serveur, ce qui assure que le cookie est toujours crypté lorsqu’il est transmis du client au serveur. Cela permet de lutter notamment contre le vol de cookie. •  Flash cookies : Utilisés pour rétablir des cookies traditionnels qui ont été supprimés ou effacés. •  Third-party Cookies : Normalement, un cookie est transmis avec l’adresse du domaine hôte qui s’affiche dans la barre d’adresse (si un navigateur va sur le site alain-bensoussan.com, le cookie de session aura comme domaine hôte alain-bensoussan.com). Un third-party cookie contient un domaine hôte distinct de la page internet visitée, c’est-à-dire que cette page présentera du contenu en provenance d’autres serveurs web, tel que des publicités. 22
  23. 23. 3.3 Un cookqui•  Abonné et utilisateur : les titulaires des droits •  Personne qui dispose d’un abonnement à un service de communications électroniques ou qui utilise un service de communications électroniques•  Le responsable du traitement : le titulaire de l’obligation •  La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement •  Champ d’application matériel de la directive 2002/58 •  absence de qualification des informations stockées dans l’équipement terminal •  donc s’applique même aux cookies qui ne peuvent pas être qualifiés de données à caractère personnel 23
  24. 24. 3.3 Un cookqui• Le groupe de l’article 29 indique que ce qui doit être préservé c’est la vie privée et non pas les données à caractère personnel• La Cnil considère que pour cette raison, l’article 32 II s’applique y compris aux cookies qui ne sont pas directement ou indirectement identifiants•  Difficultés : •  La directive 2002/58 modifiée s’applique selon son article 3 au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public […] •  Dans la loi informatique et libertés qui s’applique uniquement selon l’article 2: « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers […] ». 24
  25. 25. 3.3 Un cookqui•  Donc devinette : parmi ces données qui est l’intrus? Adresse postale Empreinte digitale Informations installées ou stockées sur l’équipement Numéro de terminal de Adresse IP l’utilisateur téléphone Numéro de sécurité sociale 25
  26. 26. 3.3 Un cookqui•  Les cookies sont les premières données qui peuvent ne pas être des données à caractère personnel mais qui relèvent de la loi informatique et libertés COOKIES = OJNI dans la loi informatique et libertés ? Cookie 26
  27. 27. 3.3 Un cookqui•  Un responsable de traitement de données à caractère non personnel peut être soumis à la loi informatique et libertés en tous cas à son article 32 II.•  Pour éviter cela il conviendrait de considérer que l’article 32 II s’applique uniquement aux cookies permettant une identification directe ou indirecte.•  Ce n’est pas la solution retenue par la Cnil 27
  28. 28. 3.3 Un cookqui•  Champ d’application matériel de la directive 95/46 : les données àcaractère personnel •  donc si le cookie est une donnée à caractère personnel alors toutes les dispositions de la loi informatique et libertés (Directive 95/46) s’appliquent en plus de l’article 32II (directive 2002/58) en vertu du principe selon lequel la loi spéciale prime sur la loi générale Cookie non Cookie donnée donnée à à caractère caractère personnel personnel 32 II 32 II Toutes les dispositions loi i et l 28
  29. 29. 3.4 Un cookinfo•  Le moment de la cookinfo •  préalablement à l’installation ou à l’accès aux informations•  Les caractéristiques de la cookinfo •  de manière claire et complète•  L’étendue de la cookinfo •  la finalité de toute action tendant à accéder ou à inscrire des informations dans l’équipement •  les moyens de s’y opposer•  Comment faire la cookinfo : selon les cas •  sur le site lors du recueil du consentement •  dans les CG •  dans la notice légale 29
  30. 30. 3.4 Un cookinfo•  Est ce que tous les cookies sont soumis à la cookinfo ? •  Difficulté d’interprétation : •  « Ces dispositions ne sont pas applicables si laccès aux informations stockées dans léquipement terminal de lutilisateur ou linscription dinformations dans léquipement terminal de lutilisateur [….] •  exception pour l’obligation de consentement et d’information •  exception uniquement pour l’obligation de consentement •  renforcement de l’information et de la transparence •  Position de la Cnil : elle recommande d’effectuer l’information quelle que soit la nature des cookies •  Donc deux recettes du cookie •  recette light du cookie : information •  recette normale : information et consentement 30
  31. 31. 3.5 Un cookin•  Le passage à l’opt-in •  Accord/consentement •  Traduction de « consent » de la directive 2002/58 en anglais en « accord » en français •  Aucune conséquence juridique •  Le consentement doit répondre aux caractéristiques du consentement défini par la directive 95/46 •  Libre, éclairé et exprès •  La validité du consentement recueilli par les paramètres appropriés du dispositif de connexion ou de tout autre dispositif placé le contrôle de l’utilisateur ou abonné •  Nécessité que cette possibilité soit techniquement possible et effective 31
  32. 32. 3.5 Un cookin•  Le Test Qui connaît la procédure pour refuser/sélectionner les cookies ? 32
  33. 33. 3.5 Un cookin•  Les caractéristiques pour que les navigateurs puissent constituer un consentement •  Paramétrage par défaut sur le refus •  Acceptation des cookies selon finalité •  Refus des flash cookies qui permettent de faire réapparaître des cookies supprimés •  Information claire, complète et visible •  Conclusion : en l’état actuel des caractéristiques des navigateurs, s’il est possible de paramétrer et de gérer les cookies, les éditeurs doivent encore améliorer l’information et les paramétrages afin que les navigateurs puissent constituer une technique valable de recueil du consentement •  Le groupe de l’article 29 les a instamment priés de prendre des mesures urgentes •  La Cnil considère que les navigateurs ne répondent pas à eux seuls aux exigences de l’article 32II 33
  34. 34. 3.5 Un cookin•  Dispositif placé sous le contrôle de l’utilisateur ou de l’abonné •  Une solution : les plates-formes d’opt-in •  Des solutions existent mais fonctionnent sur le principe de l’opt- out •  Le groupe de l’article 29 considère dans son avis sur la publicité comportementale en ligne qu’en principe ces mécanismes ne permettent pas un consentement explicite •  Solution: modifier le fonctionnement de cette plate-forme•  Les autres méthodes de recueil de consentement •  Case à cocher …•  La fréquence de recueil du consentement : une fois suffit •  Conservation du choix grâce à un cookie 34
  35. 35. 3.5 Un cookin •  Les cookies exclus : •  soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; •  soit est strictement nécessaire à la fourniture dun service de communication en ligne à la demande expresse de lutilisateur •  Des exclusions qui s’interprètent restrictivement •  Finalité exclusive •  Strictement nécessaire •  Mais plus larges que la directive 2002/58 : « permettre ou faciliter la communication » versus « visant exclusivement à effectuer la transmission » •  Exemple : •  les cookies flash pour la lecture d’une video •  les cookies de sécurité •  Les sanctions : de la contravention au délit •  R 625-10 du code pénal : contravention 5ème classe •  Délit de collecte déloyale 35
  36. 36. 4. Les cinq conseils•  Audit de la politique de cookies•  Analyse et classification des cookies•  Renforcement de l’information sur les cookies•  Définition d’une nouvelle politique de cookies•  Déploiement de cette politique 36
  37. 37. Prochaine rencontre 14 décembre 2011 « Les arrêts-tendances de l’internet » Ce petit-déjeuner débat, animé par Eric Barbry, directeur du pôle Communications électroniques et droit du cabinet, et Jean-Jacques Gomez, ancien conseiller à la Cour de cassation, aujourd’hui avocat au sein du cabinet, sera l’occasion de dresser le bilan de l’année 2011, et d’anticiper ce qui pourrait advenir en 2012Pour recevoir les lettres Juristendances, abonnez-vous sur notre site internet : www.alain-bensoussan.com 37
  38. 38. Contact et information"   Céline Avignon L.D. : 33 1 41 33 35 30 Mob. : 33 6 13 28 96 8 celine-avignon@alain-bensoussan.com"   Marc Gallardo L.D. : 34 9 32 65 58 42 marc.gallardo@alliantabogados.com Lexing est une marque déposée par Alain Bensoussan Selas 38
  39. 39. Crédits photos•  Conception et réalisation du support •  Alain Bensoussan avocats © 2011•  Crédits •  Drapeau de lUnion Européenne©Frederic- Fotolia.com •  gavel on white background©webdata-Fotolia.com 39
  40. 40. 40

×