in

Une nouvelle proposition de régulation européenne sur les cookies | Par Annabelle Richard & Guillaume Morat, Avocats – Pinsent Masons France LLP

La Commission européenne a publié le 10 janvier 2017 une proposition de règlement relatif à la vie privée et aux communications électroniques[1].

La régulation des « cookies », ces fichiers déposés sur le disque dur d’un utilisateur par le serveur du site qu’il visite à des fins – par exemple – d’identification / authentification, de mesure d’audience ou de publicité ciblée, devrait prochainement évoluer sous l’empire de cette proposition de règlement.

La réglementation actuelle

Cette proposition de règlement est destinée à remplacer la directive 2002/58/CE du 12 juillet 2002 (dite « directive vie privée et communications électroniques ») qui avait été modifiée par la directive 2009/136/CE du 25 novembre 2009 puis transposée en France en 2011[2].

En l’état de la réglementation actuelle, les traceurs (cookies ou autres) ne peuvent être déposés ou lus sur le terminal d’un internaute tant que celui-ci n’a pas donné son consentement préalable, à l’exception des cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique et les cookies strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur (e.g. les cookies de paniers d’achat pour les sites de e-commerce, les cookies identifiant de session pour la durée d’une session, etc.)[3].

Ces informations sont notamment regroupées, conformément aux recommandations de la Commission nationale de l’Informatique et des libertés (Cnil), sur un bandeau s’affichant automatiquement dès l’arrivée sur le site et qui doit notamment préciser les finalités des cookies utilisés, la possibilité de s’y opposer et le fait que la poursuite de la navigation vaut accord pour l’installation et la lecture de cookies[4].

Les apports de la proposition de règlement

Les autorités européennes ont constaté que la réglementation actuelle serait tout à la fois excessivement contraignante pour les éditeurs de site web ou d’applications mobiles et inefficace pour les utilisateurs.

Cette nouvelle proposition de règlement innove concernant les modalités de consentement en permettant le recueil du consentement de l’utilisateur en amont via le paramétrage de son navigateur lorsque cela est techniquement possible et réalisable[5].

L’objectif consiste à ne plus contraindre les internautes de répondre sans cesse à des demandes d’autorisation liées au dépôt des cookies alors que celles-ci sont généralement accordées de manière automatique sans en mesurer la véritable portée.

Faut-il en conclure que l’obligation de recueil de consentement ne pèse désormais plus que sur le logiciel de navigation ?

C’est ce qui semble ressortir de la proposition de règlement mais encore faut-il que cela soit « techniquement possible et réalisable ».

La Cnil s’était d’ailleurs déjà exprimée sur le paramétrage du navigateur comme mode de recueil du consentement pour les cookies et avait relevé que les paramètres du navigateur ne permettaient pas, en l’état actuel de la technique, de gérer des technologies autres que les cookies HTTP et qu’ils ne pourraient être satisfaisants s’ils permettaient de gérer d’autres technologies (e.g. les pixels invisibles, les cookies flash, ou les techniques de fingerprinting)[6].

De notre point de vue, cette nouvelle proposition doit être accueillie favorablement ne serait-ce que parce qu’elle permettrait d’alléger les obligations incombant actuellement aux éditeurs de site web ou d’applications mobiles.

Toutefois, cette proposition nous semble relativement complexe à mettre en œuvre dans la mesure où une majorité de personnes concernées pourraient être tentées de refuser par défaut certains cookies alors qu’elles auraient pu les accepter au cas par cas.

En outre, ce nouveau système nécessiterait de paramétrer chaque logiciel de navigation sur chaque appareil (PC, tablette, Smartphone, etc.) et ne serait pas véritablement rattaché à un « compte utilisateur ».

Par ailleurs, la proposition de règlement prévoit, par l’effet d’un renvoi aux dispositions du règlement dit « GDPR » (applicable à partir du 25 mai 2018), que l’internaute devra pouvoir retirer son consentement à tout moment et en être informé lors du recueil de son consentement.

Le texte exclut enfin de l’obligation de consentement l’ensemble des cookies dits « non intrusifs », c’est-à-dire les cookies d’analyse et de fréquentation de site, élargissant ainsi la liste des exceptions actuelles.

En tout état de cause, un travail de pédagogie sera nécessaire pour accompagner l’application de cette nouvelle proposition de règlement mais celle-ci est encore susceptible d’évoluer.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.