Toutefois, depuis la transposition en droit français des directives européennes dites "Paquet télécom", l’utilisation de ces cookies ou « témoins de connexion » est strictement encadrée. Dès lors, il convient de s’interroger sur le régime applicable à ce type de cookies et les obligations qui en découlent pour les éditeurs de sites internet, notamment en ce qui concerne le recueil du consentement de l’internaute.
1) Principe du consentement préalable
La transposition en droit français des directives européennes dites "Paquet télécom" est intervenue avec la publication de l’ordonnance du 24 août 2011. Celle-ci a modifié l’article 32 II de la Loi n°78-17 du 6 janvier 1978 et a renforcé le droit des internautes en ce qui concerne l’utilisation des cookies.
Cet article impose en effet de nouvelles contraintes aux responsables de traitements de données à caractère personnel s’agissant de l’utilisation de cookies. Désormais, l’utilisation de cookies doit être préalablement soumise à l’acceptation de l’utilisateur via un système dit de l’« opt in ».
Ainsi, les opérateurs internet responsables de traitements doivent obtenir le consentement des internautes, après les avoir informés préalablement de manière claire et complète sur les finalités des cookies utilisés et sur les moyens pour s’y opposer.
2) Exceptions
Toutefois, le consentement de l’utilisateur n’est pas requis si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
A titre d’illustration, entrent dans le champ de ces exceptions les cookies qui sont utilisés comme "panier d’achat" sur un site marchand, ceux qui permettent d’enregistrer la langue parlée par l’utilisateur ou autres préférences nécessaires à la fourniture du service demandé, les cookies de session, les cookies flash, ou encore les cookies qui ont pour unique finalité de contribuer à la sécurité du service demandé par l’utilisateur.
A l’exception des cookies qui sont expressément exclus du champ de l’article 32 II de la loi Informatique et libertés, tous les autres cookies sont soumis au principe du consentement préalable.
3) Cas des cookies d’analyse et de statistiques
Les cookies d’analyse de fréquentation ne semblent pas entrer dans le champ des exceptions au principe du consentement préalable de l’internaute.
Ainsi, il semblerait que les cookies d’analyse et de statistiques de fréquentation des sites internet soient par principe soumis à l’obligation de recueil du consentement de l’utilisateur et d’information.
Cependant, pour ce type de cookies, il convient de remarquer que les positions de la Cnil et du groupe de l’article 29 (Groupe des autorités européennes de protection des données) sont plus souples et permettent d’envisager une dispense de recueil du consentement préalable de l’internaute.
La Cnil considère en effet que ces cookies peuvent « être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées » en raison de leur finalité et du risque limité qu’ils font encourir à la vie privée.
Le Groupe de l’article 29 de son coté considère que bien qu’ils ne relèvent pas de l’exemption conformément aux critères de la directive, ils ne sont pas susceptibles de créer un risque pour la confidentialité lorsqu’ils sont strictement limités à une utilisation par « la première partie » (éditeur du site) et lorsqu’ils sont utilisés par des sites web qui offrent déjà des informations claires à ce sujet ainsi que des garanties de confidentialité suffisantes.
En tout état de cause, la Cnil, ainsi que le groupe de l’article 29 posent des conditions très strictes pour pouvoir bénéficier de la dispense de consentement préalable dans le cas des cookies d’analyse de fréquentation.
Aussi, le consentement préalable de l’internaute ne sera pas exigé uniquement si la pratique du site est strictement conforme aux recommandations suivantes :
information : une information claire et complète de l’internaute doit être délivrée par l’éditeur du site internet afin d’assurer une parfaite transparence sur l’utilisation des outils d’analyse de fréquentation. Un lien vers cette information devrait être présent sur la page d’accueil du site, qui peut ensuite être détaillée précisément dans les conditions générales d’utilisation, par exemple ;
droit d’accès : la personne doit pouvoir exercer son droit d’accès ;
droit d’opposition : concernant le droit d’opposition, l’outil permettant de désactiver la traçabilité mise en œuvre par l’outil d’analyse de fréquentation doit remplir a minima plusieurs caractéristiques, notamment celles d’un accès et d’une installation aisés pour tous les internautes sur l’ensemble des terminaux (y compris les smartphones), des systèmes d’exploitation et des navigateurs internet. De plus, aucune information relative aux internautes ayant décidé d’exercer leur droit d’opposition ne doit être transmise à l’éditeur de l’outil d’analyse de fréquentation ;
finalité limitée : la finalité du dispositif doit être limitée à la mesure d’audience des pages du site internet, afin de permettre une évaluation des contenus publiés et de l’ergonomie du site, sans pour autant permettre l’identification des personnes. Les données collectées ne doivent donc pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple). L’utilisation du cookie déposé doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation de l’internaute sur les sites d’éditeurs distincts ;
adresse IP : l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville. Cette adresse IP doit également être supprimée ou anonymisée une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ;
durée de conservation : enfin, les informations doivent être conservées pendant une durée non excessive. S’agissant des cookies permettant la traçabilité des internautes, ils ne doivent pas être conservés au-delà de six mois (La date d’expiration du cookie ne doit donc pas excéder six mois à partir de sa première insertion et cette durée ne doit pas être prorogée lors des nouvelles visites). Les données de fréquentation brutes associant un identifiant (adresse IP par exemple) ne doivent pas être conservées plus de six mois. Au-delà de ce de délai, les données doivent être soit supprimées, soit anonymisées ».
Par ailleurs, il convient d’ajouter à ces conditions, celles issues de la position du groupe de l’article 29 interdisant tout échange ou communication entre sociétés sur ces analyses, ces dernières devant rester uniquement pour l’activité de la société qui en est à l’origine et ne pas être partagées entre sites y compris au sein d’une même société.
En tout état de cause, Il est à noter que cette position de la Cnil est susceptible de modifications en fonction de la position commune que pourraient adopter l’ensemble des autorités de protection européennes. En conséquence, il convient pour les éditeurs de site de rester vigilent quant à d’éventuels changements de position de la Cnil.
4) Recommandations
Il résulte de ce qui précède que la solution la plus sécurisante pour les éditeurs de sites est de recueillir le consentement des internautes préalablement à l’installation de cookies d’analyse d’audience sur leur terminal.
Toutefois, compte tenu de la position de la Cnil et du groupe de l’article 29 sur les cookies d’analyse d’audience, il est recommandé a minima pour les éditeurs de sites internet qui ne souhaitent pas recueillir ce consentement de :
s’assurer que leurs cookies d’analyse sont mis en œuvre conformément aux recommandations de la Cnil et du groupe de l’article 29 ;
s’assurer qu’à défaut de recueillir le consentement de l’internaute, ce dernier est informé de manière claire et complète sur les finalités des cookies utilisés sur le site et les moyens de s’y opposer et d’exercer son droit d’accès ;
définir une stratégie d’information des internautes en créant par exemple un document spécifique dédié à l’information sur les cookies accessible sur toutes les pages du site ou un onglet sur toutes les pages de la plate-forme permettant d’accéder à ce document dédié.