3. Plan
1. Le cadre juridique des cookies
en UE
2. Exemples de transposition de
la directive en Europe
3. La recette française
4. Les cinq conseils
3
4. 1.Le cadre juridique des cookies en UE
1. Le référentiel légal
2. La directive 2002/58
3. La directive 2002/58
modifiée 2009/136
4
5. 1.1 Le référentiel légal
• Directive 2002/58/CE “vie privée et communications
électroniques”: Article 5.3. + Considérants 24 et 25 abrogent la
Directive 97/66/CE modifiée par la Directive 2009/136/CE +
Considérant 66
• Directive 95/46/CE “Générale de Protection des données à
caractère Personnel”
5
6. 1.2 La directive 2002/58
• L’utilisation des réseaux de communications
électroniques en vue de stocker des informations ou
d’accéder à des informations stockées dans
l’équipement terminal d’un abonné ou d’un utilisateur
n’est permise qu’à condition que l’abonné ou l’utilisateur
soit muni, dans le respect de la directive 95/46/CE,
d’une information claire et complète, entre autres sur les
finalités du traitement, et que l’abonné ou l’utilisateur ait
le droit de refuser un tel traitement par le responsable
du traitement des données.
• Information et opt-out
6
7. 1.3 La directive 2002/58 modifiée 2009/136
• Le stockage d’informations ou l’accès à des informations
déjà stockées, dans l’équipement terminal de l’abonné ou
d’un utilisateur n’est permis qu’à condition que l’abonné ou
utilisateur ait donné son accord après avoir reçu, dans le
respect de la directive 95/46/CE, une information claire et
complète, entre autres sur les finalités du traitement.
• Le consentement
– Préalable au moment de placer un Cookie et/ou d’accéder aux
informations déjà stockées
– Informé sur la base d’une information claire et complète (finalités du
traitement)
– Révocable à n’importe quel moment et sans avoir à justifier la
raison
7
8. 1.3 La directive 2002/58 modifiée 2009/136
• AVIS 2/2010 sur la publicité comportementale en ligne,
adopté le 20 juin 2010 par le Groupe de Travail “Article 29”
sur la Protection des Données
– Opt-out : Le Groupe considère que ce mécanisme ne convient pas
pour obtenir un consentement informé et valable de l’utilisateur:
• Manque de connaissance sur la collecte des données et du fait qu’en ne
procédant pas à un opt-out ils acceptent les Cookies;
• Le consentement implique une participation active de la personne concernée
tandis que l’opt-out se réfère à une “non-réaction”
– Paramétrage du navigateur : Le Groupe doute que le paramétrage
du navigateur soit la manifestation d’un consentement informé,
valable et effectif:
• La plupart des navigateurs sont configurés par défaut pour autoriser tous les
Cookies
• Manque de connaissance de l’utilisateur “moyen” sur l'existence ou les finalités
des Cookies
• Absence d’action (non refus de Cookies) n’est pas une manifestation claire et
8
sans équivoque du consentement informé de l’utilisateur
9. 1.3 La directive 2002/58 modifiée 2009/136
– L’opt-in
• Les mécanismes opt-in préalables, qui requièrent une action positive
sont conformes aux exigences de l’article 5.3. de la Directive 2002/58/CE
• L’acceptation d’un Cookie pourrait être interprétée comme valable non
seulement pour l’envoi du Cookie mais aussi pour l’accès ultérieur aux
informations de ce Cookie
• Trois types de garanties: i) limiter la portée du consentement, ii)
informations supplémentaires, iii) consentement révocable
• Exceptions à la règle du consentement :
– les Cookies qui sont strictement nécessaires pour la fourniture d’un
service expressément demandé par l'utilisateur.
Exemples: fonction “panier d’achat” ou “check-out” d’un site de commerce électronique.
A
– Cookies visant exclusivement à effectuer la transmission d’une
communication par un réseau
9
10. 1.3 La directive 2002/58 modifiée 2009/136
– L’information
• Information suffisante et effective sur la collecte d’informations et sur les
finalités du Cookie (Transparence) par la personne qui envoie et lit le
Cookie
• Les informations devraient être communiquées de la façon “la plus
conviviale possible”:
• Bon moyen: minimum d’informations directement sur l’écran de
manière interactive, aisément visibles et compréhensibles, et
renvoi pour l’information complète à une autre page du site
• Mauvais moyen: informations “cachées” dans des conditions
générales et/ou dans des déclarations de la politique de
confidentialité
• Dans le domaine de la publicité comportementale et des Cookies “Tiers”, le
Groupe fait appel à la créativité des acteurs dans ce domaine
– Bon moyen: icônes placées autour des publicités et menant vers des
informations supplémentaires
10
11. 1.4 La Directive 95/46
• L’équipement terminal + informations collectées
par moyen des Cookies relèvent de la vie privée de
l’utilisateur ...
• ... Mais ces informations peuvent être considérées
comme des données à caractère personnel
• Quand : collecte adresses IP et d’identifiants
uniques (par le Cookie) et autres scénarios
possibles qui déclencheraient aussi l’application de
la Directive Generale 95/46/CE
11
12. 2 Exemples de transposition de la directive
en europe
1. Etat de la transposition
2. Le cas du Royaume
Uni
3. Le cas de l’Espagne
4. Les problématiques
12
13. 2.1 Etat de la transposition
• 25 mai 2011: date limite de transposition de la
directive 2009/136/CE et par conséquent de l’article
5.3. modifié de la Directive 2002/58/CE
• À cette date seul le Danemark, Estonie, Finlande,
Irlande, Suède, Malte et le Royaume-Uni avaient
transposé la Directive “cookies”
• Le 24 novembre 2011 la Commission Européenne a
envoyé un “avis motivé” à 16 États Membres qui
n’avaient pas transposé (sauf Lettonie, Lithuanie,
Luxembourg et Slovaquie).
13
14. 2.2 Le cas du Royaume Uni
• Période moratoire d’1 an pour la mise en conformité
de la nouvelle condition du consentement (jusqu’à 25
mai 2012)
• 9 mai 2011: Rapport ICO
• Il accepte une période moratoire
• Approche pragmatique pour se conformer à la
Directive “Cookie”
• Le paramétrage du navigateur n’est pas
aujourd’hui une forme de recueil du consentement
efficace.
14
17. 2.3 Le cas de l’Espagne
• Projet de loi pour incorporer la Directive Cookie via
modification art. 22.2 LSSI
• Transposition littérale de l’article 5.3 et considérant
66 (paramétrage), sauf Code de Conduite qui prévoit
anciennes conditions (information + opt-out)
• Amendements du Parti Populaire
• Autorité compétente : AEPD
• Infraction mineure (jusqu’à 30.000€) ou grave (de
30.000 à 150.000 €)
17
18. 2.4 Les problématiques
• Risque d’asymétries entre Etats membres lors de
l’application de la règle du consentement
• Expérience plus défavorable pour les internautes sur
le même site
• Challenge pour les entreprises opérant des sites
multinationaux
• Impact négatif sur l’économie digitale de l’UE
18
19. 3.La recette française du cookie
1. Décryptage de l’article
2. Un cookoi
3. Un cookqui
4. Un cookinfo
5. Un cookin
19
20. 3.1 Décryptage de l’article
• Art 32 II actuel • Art 32 II ancien
II.-Tout abonné ou utilisateur d'un service de communications II.-Toute personne utilisatrice des réseaux de
électroniques doit être informé de manière claire et complète, communications électroniques doit être informée de manière
sauf s'il l'a été au préalable, par le responsable du traitement ou claire et complète par le responsable du traitement ou son
son représentant : représentant :
- de la finalité de toute action tendant à accéder, par voie de -de la finalité de toute action tendant à accéder, par voie de
transmission électronique, à des informations déjà stockées dans transmission électronique, à des informations stockées dans
son équipement terminal de communications électroniques, ou à son équipement terminal de connexion, ou à inscrire, par la
inscrire des informations dans cet équipement; même voie, des informations dans son équipement terminal
- des moyens dont il dispose pour s'y opposer. de connexion ;
-des moyens dont elle dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à
condition que l'abonné ou la personne utilisatrice ait exprimé,
après avoir reçu cette information, son accord qui peut
résulter de paramètres appropriés de son dispositif de
connexion ou de tout autre dispositif placé sous son
contrôle.
Ces dispositions ne sont pas applicables si l'accès aux
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de
informations stockées dans l'équipement terminal de l'utilisateur l'utilisateur ou l'inscription d'informations dans l'équipement
ou l'inscription d'informations dans l'équipement terminal de terminal de l'utilisateur :
l'utilisateur :
-soit a pour finalité exclusive de permettre ou faciliter la
soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
communication par voie électronique ;
-soit est strictement nécessaire à la fourniture d'un service de
soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de
communication en ligne à la demande expresse de l'utilisateur. l'utilisateur. 20
21. 3.2 Un cookquoi
• Juridiquement
• La notion de cookie n’est pas mentionnée dans le texte
• Informations déjà stockées ou installées dans l’équipement terminal de
communications : conception large de la notion de cookie
• Directive 2002/58 : données de connexion
• Techniquement
• Les cookies (ou http cookies, web cookies, browser cookies) sont des
données utilisées par un serveur web pour envoyer des informations d’état au
navigateur d’un utilisateur, et pour ce navigateur de renvoyer des informations
d’état au serveur web d’origine.
• Origine:
1994: Lou Montelli intègre la technologie Cookie dans le navigateur
Netscape pour la première fois
12.02.1996: Premier article sur les Cookies dans les média (Financial
Times) à cause des possibles intrusions dans la vie privée des Cookies21
utilisés à des fins publicitaires
22. 3.2 Un cookquoi
• Les différents types de cookies :
• Cookie de session : Ce type de cookie ne dure que pour la durée de navigation de
l’internaute sur un serveur web donné. Le navigateur supprime normalement ce cookie dès que
l’internaute quitte le site internet.
• Cookie persistant : Ce cookie reste stocké sur l’équipement terminal de l’utilisateur et a une
durée de conservation assez longue : il permet notamment au serveur web de connaître la
première date de connexion et/ou les suivantes ce qui permet de suivre l’historique de connexion
de l’utilisateur. Cela constitue souvent une information de valeur et explique pourquoi ils sont
également appelés tracking cookies ou in-memory cookies.
• Cookie sécurisé : Ils sont uniquement utilisés lorsqu’un navigateur se connecte par HTTPS à
un serveur, ce qui assure que le cookie est toujours crypté lorsqu’il est transmis du client au
serveur. Cela permet de lutter notamment contre le vol de cookie.
• Flash cookies : Utilisés pour rétablir des cookies traditionnels qui ont été supprimés
ou effacés.
• Third-party Cookies : Normalement, un cookie est transmis avec l’adresse du domaine hôte
qui s’affiche dans la barre d’adresse (si un navigateur va sur le site alain-bensoussan.com, le
cookie de session aura comme domaine hôte alain-bensoussan.com). Un third-party cookie
contient un domaine hôte distinct de la page internet visitée, c’est-à-dire que cette page
présentera du contenu en provenance d’autres serveurs web, tel que des publicités.
22
23. 3.3 Un cookqui
• Abonné et utilisateur : les titulaires des droits
• Personne qui dispose d’un abonnement à un service de
communications électroniques ou qui utilise un service de
communications électroniques
• Le responsable du traitement : le titulaire de l’obligation
• La personne, l’autorité publique, le service ou
l’organisme qui détermine les finalités et les moyens du
traitement
• Champ d’application matériel de la directive 2002/58
• absence de qualification des informations stockées dans
l’équipement terminal
• donc s’applique même aux cookies qui ne peuvent pas être
qualifiés de données à caractère personnel 23
24. 3.3 Un cookqui
• Le groupe de l’article 29 indique que ce qui doit être
préservé c’est la vie privée et non pas les données à
caractère personnel
• La Cnil considère que pour cette raison, l’article 32 II
s’applique y compris aux cookies qui ne sont pas
directement ou indirectement identifiants
• Difficultés :
• La directive 2002/58 modifiée s’applique selon son article 3 au traitement
des données à caractère personnel dans le cadre de la fourniture de
services de communications électroniques accessibles au public […]
• Dans la loi informatique et libertés qui s’applique uniquement selon l’article
2: « aux traitements automatisés de données à caractère personnel, ainsi
qu’aux traitements non automatisés de données à caractère personnel
contenues ou appelées à figurer dans des fichiers […] ».
24
25. 3.3 Un cookqui
• Donc devinette : parmi ces données qui est l’intrus?
Adresse postale
Empreinte
digitale Informations
installées ou stockées
sur l’équipement
Numéro de terminal de
Adresse IP l’utilisateur
téléphone
Numéro de
sécurité sociale
25
26. 3.3 Un cookqui
• Les cookies sont les premières données qui peuvent ne pas
être des données à caractère personnel mais qui relèvent
de la loi informatique et libertés
COOKIES = OJNI dans la loi informatique et
libertés ?
Cookie
26
27. 3.3 Un cookqui
• Un responsable de traitement de données à caractère non
personnel peut être soumis à la loi informatique et libertés
en tous cas à son article 32 II.
• Pour éviter cela il conviendrait de considérer que l’article 32
II s’applique uniquement aux cookies permettant une
identification directe ou indirecte.
• Ce n’est pas la solution retenue par la Cnil
27
28. 3.3 Un cookqui
• Champ d’application matériel de la directive 95/46 : les données à
caractère personnel
• donc si le cookie est une donnée à caractère personnel alors toutes les
dispositions de la loi informatique et libertés (Directive 95/46) s’appliquent
en plus de l’article 32II (directive 2002/58) en vertu du principe selon lequel
la loi spéciale prime sur la loi générale
Cookie non Cookie donnée
donnée à à caractère
caractère personnel
personnel
32 II 32 II
Toutes les dispositions
loi i et l 28
29. 3.4 Un cookinfo
• Le moment de la cookinfo
• préalablement à l’installation ou à l’accès aux informations
• Les caractéristiques de la cookinfo
• de manière claire et complète
• L’étendue de la cookinfo
• la finalité de toute action tendant à accéder ou à inscrire des
informations dans l’équipement
• les moyens de s’y opposer
• Comment faire la cookinfo : selon les cas
• sur le site lors du recueil du consentement
• dans les CG
• dans la notice légale
29
30. 3.4 Un cookinfo
• Est ce que tous les cookies sont soumis à la cookinfo ?
• Difficulté d’interprétation :
• « Ces dispositions ne sont pas applicables si l'accès aux informations
stockées dans l'équipement terminal de l'utilisateur ou l'inscription
d'informations dans l'équipement terminal de l'utilisateur [….]
• exception pour l’obligation de consentement et d’information
• exception uniquement pour l’obligation de consentement
• renforcement de l’information et de la transparence
• Position de la Cnil : elle recommande d’effectuer l’information quelle
que soit la nature des cookies
• Donc deux recettes du cookie
• recette light du cookie : information
• recette normale : information et consentement
30
31. 3.5 Un cookin
• Le passage à l’opt-in
• Accord/consentement
• Traduction de « consent » de la directive 2002/58 en anglais en
« accord » en français
• Aucune conséquence juridique
• Le consentement doit répondre aux caractéristiques du
consentement défini par la directive 95/46
• Libre, éclairé et exprès
• La validité du consentement recueilli par les paramètres
appropriés du dispositif de connexion ou de tout autre
dispositif placé le contrôle de l’utilisateur ou abonné
• Nécessité que cette possibilité soit techniquement possible et
effective
31
32. 3.5 Un cookin
• Le Test
Qui connaît la procédure pour refuser/sélectionner
les cookies ?
32
33. 3.5 Un cookin
• Les caractéristiques pour que les navigateurs puissent
constituer un consentement
• Paramétrage par défaut sur le refus
• Acceptation des cookies selon finalité
• Refus des flash cookies qui permettent de faire réapparaître des cookies
supprimés
• Information claire, complète et visible
• Conclusion : en l’état actuel des caractéristiques des navigateurs, s’il est
possible de paramétrer et de gérer les cookies, les éditeurs doivent encore
améliorer l’information et les paramétrages afin que les navigateurs puissent
constituer une technique valable de recueil du consentement
• Le groupe de l’article 29 les a instamment priés de prendre des mesures
urgentes
• La Cnil considère que les navigateurs ne répondent pas à eux seuls aux
exigences de l’article 32II
33
34. 3.5 Un cookin
• Dispositif placé sous le contrôle de l’utilisateur ou de l’abonné
• Une solution : les plates-formes d’opt-in
• Des solutions existent mais fonctionnent sur le principe de l’opt-
out
• Le groupe de l’article 29 considère dans son avis sur la publicité
comportementale en ligne qu’en principe ces mécanismes ne
permettent pas un consentement explicite
• Solution: modifier le fonctionnement de cette plate-forme
• Les autres méthodes de recueil de consentement
• Case à cocher …
• La fréquence de recueil du consentement : une fois suffit
• Conservation du choix grâce à un cookie
34
35. 3.5 Un cookin
• Les cookies exclus :
• soit a pour finalité exclusive de permettre ou faciliter la communication
par voie électronique ;
• soit est strictement nécessaire à la fourniture d'un service de
communication en ligne à la demande expresse de l'utilisateur
• Des exclusions qui s’interprètent restrictivement
• Finalité exclusive
• Strictement nécessaire
• Mais plus larges que la directive 2002/58 : « permettre ou faciliter la
communication » versus « visant exclusivement à effectuer la
transmission »
• Exemple :
• les cookies flash pour la lecture d’une video
• les cookies de sécurité
• Les sanctions : de la contravention au délit
• R 625-10 du code pénal : contravention 5ème classe
• Délit de collecte déloyale
35
36. 4. Les cinq conseils
• Audit de la politique de cookies
• Analyse et classification des cookies
• Renforcement de l’information sur les cookies
• Définition d’une nouvelle politique de cookies
• Déploiement de cette politique
36
37. Prochaine rencontre
14 décembre 2011
« Les arrêts-tendances de l’internet »
Ce petit-déjeuner débat, animé par Eric Barbry, directeur
du pôle Communications électroniques et droit du
cabinet, et Jean-Jacques Gomez, ancien conseiller à la
Cour de cassation, aujourd’hui avocat au sein du
cabinet, sera l’occasion de dresser le bilan de l’année
2011, et d’anticiper ce qui pourrait advenir en 2012
Pour recevoir les lettres Juristendances, abonnez-vous sur
notre site internet : www.alain-bensoussan.com
37
38. Contact et information
" Céline Avignon
L.D. : 33 1 41 33 35 30
Mob. : 33 6 13 28 96 8
celine-avignon@alain-bensoussan.com
" Marc Gallardo
L.D. : 34 9 32 65 58 42
marc.gallardo@alliantabogados.com
Lexing est une marque déposée par Alain Bensoussan Selas
38