En application de la directive européenne dite » paquet télécom « , les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs. Ils doivent disposer d’une possibilité de choisir de ne pas être tracés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.
Cadre juridique applicable
En modifiant l’article 5(3) de la directive 2002/58/CE par l’adoption de la directive 2009/136/CE, le législateur européen a posé le principe :
d’un consentement préalable de l’utilisateur avant le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées.
sauf, si ces actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
L’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.
En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.
Terme de « cookies » ou de « traceurs »
Sont concernés les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé tels qu’un ordinateur, un Smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet. S’ils répondent à certaines conditions, certains traceurs dérogent à cette obligation
A ce titre, le terme de « cookie » recouvre par exemple :
- les cookies HTTP
- les cookies « flash »,
- le résultat du calcul d’empreinte dans le cas du » fingerprinting » (calcul d’un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage),
- les pixels invisibles ou » web bugs « ,
- tout autre identifiant généré par un logiciel ou un système d’exploitation, par exemple.
Ces obligations s’appliquent que les cookies collectent des données à caractère personnel ou non.
Comment recueillir valablement votre consentement?
Le consentement doit être préalable à l’insertion ou à la lecture de cookies
Tant que la personne n’a pas donné son consentement, ces cookies ne peuvent être déposés ou lus sur son terminal.
Il doit être requis à chaque fois qu’une nouvelle finalité vient s’ajouter aux finalités initialement prévues.
Le consentement est une manifestation de volonté, libre, spécifique et informée : La validité du consentement est donc liée à la qualité de l’information reçue.
- L’information doit être visible, mise en évidence et complète.
- Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur.
- Elle doit permettre aux internautes d’être parfaitement informés des différentes finalités des cookies.
Le consentement n’est valide que si la personne exerce un choix réel.
L’utilisateur doit pouvoir accepter ou refuser le dépôt des cookies.
Le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et n’est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement. La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l’accès à un site internet par exemple).
Le choix doit pouvoir être effectué pour chaque application et chaque site internet.