Cookies.eu

Marc Gallardo & Céline Avignon

La nouvelle recette des cookies à la française

2 2

Introduction

•  Une actualité

•  Une nécessité

•  Des impacts opérationnels

3 3

1. Le cadre juridique des cookies en UE

2. Exemples de transposition de la directive en Europe

3. La recette française

4. Les cinq conseils

Plan

4

1.Le cadre juridique des cookies en UE

1. Le référentiel légal

2. La directive 2002/58 3. La directive 2002/58

modifiée 2009/136

5 5

1.1 Le référentiel légal

•  Directive 2002/58/CE “vie privée et communications électroniques”: Article 5.3. + Considérants 24 et 25 abrogent la Directive 97/66/CE modifiée par la Directive 2009/136/CE + Considérant 66 •  Directive 95/46/CE “Générale de Protection des données à caractère Personnel”

1.2 La directive 2002/58

6

•  L’uti l isat ion des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permise qu’à condition que l’abonné ou l’utilisateur soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données.

•  Information et opt-out

•  Le stockage d’informations ou l’accès à des informations déjà stockées, dans l’équipement terminal de l’abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou utilisateur ait donné son accord après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement.

•  Le consentement –  Préalable au moment de placer un Cookie et/ou d’accéder aux

informations déjà stockées –  Informé sur la base d’une information claire et complète (finalités du

traitement) –  Révocable à n’importe quel moment et sans avoir à justifier la

raison

7

1.3 La directive 2002/58 modifiée 2009/136

•  AVIS 2/2010 sur la publicité comportementale en ligne, adopté le 20 juin 2010 par le Groupe de Travail “Article 29” sur la Protection des Données

–  Opt-out : Le Groupe considère que ce mécanisme ne convient pas pour obtenir un consentement informé et valable de l’utilisateur:

•  Manque de connaissance sur la collecte des données et du fait qu’en ne procédant pas à un opt-out ils acceptent les Cookies;

•  Le consentement implique une participation active de la personne concernée tandis que l’opt-out se réfère à une “non-réaction”

–  Paramétrage du navigateur : Le Groupe doute que le paramétrage du navigateur soit la manifestation d’un consentement informé, valable et effectif:

•  La plupart des navigateurs sont configurés par défaut pour autoriser tous les Cookies

•  Manque de connaissance de l’utilisateur “moyen” sur l'existence ou les finalités des Cookies

•  Absence d’action (non refus de Cookies) n’est pas une manifestation claire et sans équivoque du consentement informé de l’utilisateur

8


–  L’opt-in

•  Les mécanismes opt-in préalables, qui requièrent une action positive sont conformes aux exigences de l’article 5.3. de la Directive 2002/58/CE

•  L’acceptation d’un Cookie pourrait être interprétée comme valable non

seulement pour l’envoi du Cookie mais aussi pour l’accès ultérieur aux informations de ce Cookie

•  Trois types de garanties: i) limiter la portée du consentement, ii)

informations supplémentaires, iii) consentement révocable •  Exceptions à la règle du consentement :

–  les Cookies qui sont strictement nécessaires pour la fourniture d’un service expressément demandé par l'utilisateur.

Exemples: fonction “panier d’achat” ou “check-out” d’un site de commerce électronique. A

–  Cookies visant exclusivement à effectuer la transmission d’une communication par un réseau

9


–  L’information

•  Information suffisante et effective sur la collecte d’informations et sur les finalités du Cookie (Transparence) par la personne qui envoie et lit le Cookie

•  Les informations devraient être communiquées de la façon “la plus

conviviale possible”: •  Bon moyen: minimum d’informations directement sur l’écran de

manière interactive, aisément visibles et compréhensibles, et renvoi pour l’information complète à une autre page du site

•  Mauvais moyen: informations “cachées” dans des conditions générales et/ou dans des déclarations de la politique de confidentialité

•  Dans le domaine de la publicité comportementale et des Cookies “Tiers”, le Groupe fait appel à la créativité des acteurs dans ce domaine

–  Bon moyen: icônes placées autour des publicités et menant vers des informations supplémentaires

10


1.4 La Directive 95/46

•  L’équipement terminal + informations collectées par moyen des Cookies relèvent de la vie privée de l’utilisateur ...

•  ... Mais ces informations peuvent être considérées comme des données à caractère personnel

•  Quand : collecte adresses IP et d’identifiants uniques (par le Cookie) et autres scénarios possibles qui déclencheraient aussi l’application de la Directive Generale 95/46/CE

11

12

2 Exemples de transposition de la directive en europe

1. Etat de la transposition

2. Le cas du Royaume Uni

3. Le cas de l’Espagne 4. Les problématiques

•  25 mai 2011: date limite de transposition de la directive 2009/136/CE et par conséquent de l’article 5.3. modifié de la Directive 2002/58/CE

•  À cette date seul le Danemark, Estonie, Finlande, Irlande, Suède, Malte et le Royaume-Uni avaient transposé la Directive “cookies”

•  Le 24 novembre 2011 la Commission Européenne a envoyé un “avis motivé” à 16 États Membres qui n’avaient pas transposé (sauf Lettonie, Lithuanie, Luxembourg et Slovaquie).

13

2.1 Etat de la transposition

•  Période moratoire d’1 an pour la mise en conformité de la nouvelle condition du consentement (jusqu’à 25 mai 2012)

•  9 mai 2011: Rapport ICO •  Il accepte une période moratoire •  Approche pragmatique pour se conformer à la

Directive “Cookie” •  Le paramétrage du navigateur n’est pas

aujourd’hui une forme de recueil du consentement efficace.

14

2.2 Le cas du Royaume Uni

UK: Exemple opt-in

15

16

UK: Exemple info

•  Projet de loi pour incorporer la Directive Cookie via modification art. 22.2 LSSI

•  Transposition littérale de l’article 5.3 et considérant 66 (paramétrage), sauf Code de Conduite qui prévoit anciennes conditions (information + opt-out)

•  Amendements du Parti Populaire •  Autorité compétente : AEPD •  Infraction mineure (jusqu’à 30.000€) ou grave (de

30.000 à 150.000 €)

17

2.3 Le cas de l’Espagne

•  Risque d’asymétries entre Etats membres lors de l’application de la règle du consentement

•  Expérience plus défavorable pour les internautes sur le même site

•  Challenge pour les entreprises opérant des sites multinationaux

•  Impact négatif sur l’économie digitale de l’UE

18

2.4 Les problématiques

19

3.La recette française du cookie

1. Décryptage de l’article

2. Un cookoi 3. Un cookqui

4. Un cookinfo

5. Un cookin

20

3.1 Décryptage de l’article •  Art 32 II actuel II.-Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement; - des moyens dont il dispose pour s'y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

•  Art 32 II ancien II.-Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant : -de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; -des moyens dont elle dispose pour s'y opposer. Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur : -soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; -soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

21

3.2 Un cookquoi •  Juridiquement

•  La notion de cookie n’est pas mentionnée dans le texte

•  Informations déjà stockées ou installées dans l’équipement terminal de communications : conception large de la notion de cookie

•  Directive 2002/58 : données de connexion

•  Techniquement •  Les cookies (ou http cookies, web cookies, browser cookies) sont des données utilisées par un serveur web pour envoyer des informations d’état au navigateur d’un utilisateur, et pour ce navigateur de renvoyer des informations d’état au serveur web d’origine.

•  Origine: 1994: Lou Montelli intègre la technologie Cookie dans le navigateur

Netscape pour la première fois 12.02.1996: Premier article sur les Cookies dans les média (Financial

Times) à cause des possibles intrusions dans la vie privée des Cookies utilisés à des fins publicitaires

22 22

3.2 Un cookquoi •  Les différents types de cookies :

•  Cookie de session : Ce type de cookie ne dure que pour la durée de navigation de l’internaute sur un serveur web donné. Le navigateur supprime normalement ce cookie dès que l’internaute quitte le site internet.

•  Cookie persistant : Ce cookie reste stocké sur l’équipement terminal de l’utilisateur et a une durée de conservation assez longue : il permet notamment au serveur web de connaître la première date de connexion et/ou les suivantes ce qui permet de suivre l’historique de connexion de l’utilisateur. Cela constitue souvent une information de valeur et explique pourquoi ils sont également appelés tracking cookies ou in-memory cookies.

•  Cookie sécurisé : Ils sont uniquement utilisés lorsqu’un navigateur se connecte par HTTPS à un serveur, ce qui assure que le cookie est toujours crypté lorsqu’il est transmis du client au serveur. Cela permet de lutter notamment contre le vol de cookie.

•  Flash cookies : Utilisés pour rétablir des cookies traditionnels qui ont été supprimés ou effacés.

•  Third-party Cookies : Normalement, un cookie est transmis avec l’adresse du domaine hôte qui s’affiche dans la barre d’adresse (si un navigateur va sur le site alain-bensoussan.com, le cookie de session aura comme domaine hôte alain-bensoussan.com). Un third-party cookie contient un domaine hôte distinct de la page internet visitée, c’est-à-dire que cette page présentera du contenu en provenance d’autres serveurs web, tel que des publicités.

23 23

3.3 Un cookqui •  Abonné et utilisateur : les titulaires des droits

•  Personne qui dispose d’un abonnement à un service de communications électroniques ou qui utilise un service de communications électroniques

•  Le responsable du traitement : le titulaire de l’obligation

•  La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement

•  Champ d’application matériel de la directive 2002/58 •  absence de qualification des informations stockées dans

l’équipement terminal

•  donc s’applique même aux cookies qui ne peuvent pas être qualifiés de données à caractère personnel

24 24

3.3 Un cookqui • Le groupe de l’article 29 indique que ce qui doit être

préservé c’est la vie privée et non pas les données à caractère personnel

• La Cnil considère que pour cette raison, l’article 32 II s’applique y compris aux cookies qui ne sont pas directement ou indirectement identifiants

•  Difficultés : •  La directive 2002/58 modifiée s’applique selon son article 3 au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public […]

•  Dans la loi informatique et libertés qui s’applique uniquement selon l’article 2: « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers […] ».

25 25

3.3 Un cookqui

•  Donc devinette : parmi ces données qui est l’intrus?

Numéro de

sécurité sociale

Adresse postale

Empreinte digitale

Informations

installées ou stockées sur l’équipement

terminal de l’utilisateur

Adresse IP

Numéro de téléphone

26 26

3.3 Un cookqui •  Les cookies sont les premières données qui peuvent ne pas

être des données à caractère personnel mais qui relèvent de la loi informatique et libertés

COOKIES = OJNI dans la loi informatique et libertés ?

C o o k i e

27 27

3.3 Un cookqui

•  Un responsable de traitement de données à caractère non personnel peut être soumis à la loi informatique et libertés en tous cas à son article 32 II.

•  Pour éviter cela il conviendrait de considérer que l’article 32 II s’applique uniquement aux cookies permettant une identification directe ou indirecte.

•  Ce n’est pas la solution retenue par la Cnil

28 28

3.3 Un cookqui •  Champ d’application matériel de la directive 95/46 : les données à caractère personnel

•  donc si le cookie est une donnée à caractère personnel alors toutes les dispositions de la loi informatique et libertés (Directive 95/46) s’appliquent en plus de l’article 32II (directive 2002/58) en vertu du principe selon lequel la loi spéciale prime sur la loi générale

32 II

Cookie non donnée à caractère personnel

Cookie donnée à caractère personnel

32 II

Toutes les dispositions loi i et l

29 29

3.4 Un cookinfo •  Le moment de la cookinfo

•  préalablement à l’installation ou à l’accès aux informations

•  Les caractéristiques de la cookinfo •  de manière claire et complète

•  L’étendue de la cookinfo

•  la finalité de toute action tendant à accéder ou à inscrire des informations dans l’équipement

•  les moyens de s’y opposer

•  Comment faire la cookinfo : selon les cas •  sur le site lors du recueil du consentement

•  dans les CG

•  dans la notice légale

30 30

3.4 Un cookinfo •  Est ce que tous les cookies sont soumis à la cookinfo ?

•  Difficulté d’interprétation : •  « Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur [….]

•  exception pour l’obligation de consentement et d’information

•  exception uniquement pour l’obligation de consentement

•  renforcement de l’information et de la transparence

•  Position de la Cnil : elle recommande d’effectuer l’information quelle que soit la nature des cookies

•  Donc deux recettes du cookie

•  recette light du cookie : information

•  recette normale : information et consentement

31 31

3.5 Un cookin •  Le passage à l’opt-in

•  Accord/consentement

•  Traduction de « consent » de la directive 2002/58 en anglais en « accord » en français

•  Aucune conséquence juridique

•  Le consentement doit répondre aux caractéristiques du consentement défini par la directive 95/46

•  Libre, éclairé et exprès

•  La validité du consentement recueilli par les paramètres appropriés du dispositif de connexion ou de tout autre dispositif placé le contrôle de l’utilisateur ou abonné •  Nécessité que cette possibilité soit techniquement possible et

effective

32 32

3.5 Un cookin

•  Le Test

Qui connaît la procédure pour refuser/sélectionner les cookies ?

33 33

3.5 Un cookin •  Les caractéristiques pour que les navigateurs puissent constituer un consentement

•  Paramétrage par défaut sur le refus

•  Acceptation des cookies selon finalité

•  Refus des flash cookies qui permettent de faire réapparaître des cookies supprimés

•  Information claire, complète et visible

•  Conclusion : en l’état actuel des caractéristiques des navigateurs, s’il est possible de paramétrer et de gérer les cookies, les éditeurs doivent encore améliorer l’information et les paramétrages afin que les navigateurs puissent constituer une technique valable de recueil du consentement

•  Le groupe de l’article 29 les a instamment priés de prendre des mesures urgentes

•  La Cnil considère que les navigateurs ne répondent pas à eux seuls aux exigences de l’article 32II

34 34

3.5 Un cookin •  Dispositif placé sous le contrôle de l’utilisateur ou de l’abonné

•  Une solution : les plates-formes d’opt-in •  Des solutions existent mais fonctionnent sur le principe de l’opt-

out •  Le groupe de l’article 29 considère dans son avis sur la publicité

comportementale en ligne qu’en principe ces mécanismes ne permettent pas un consentement explicite

•  Solution: modifier le fonctionnement de cette plate-forme

•  Les autres méthodes de recueil de consentement •  Case à cocher …

•  La fréquence de recueil du consentement : une fois suffit •  Conservation du choix grâce à un cookie

35 35

3.5 Un cookin •  Les cookies exclus :

•  soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

•  soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur

•  Des exclusions qui s’interprètent restrictivement •  Finalité exclusive •  Strictement nécessaire •  Mais plus larges que la directive 2002/58 : « permettre ou faciliter la

communication » versus « visant exclusivement à effectuer la transmission »

•  Exemple : •  les cookies flash pour la lecture d’une video •  les cookies de sécurité

•  Les sanctions : de la contravention au délit •  R 625-10 du code pénal : contravention 5ème classe •  Délit de collecte déloyale

36 36

4. Les cinq conseils

•  Audit de la politique de cookies

•  Analyse et classification des cookies

•  Renforcement de l’information sur les cookies

•  Définition d’une nouvelle politique de cookies

•  Déploiement de cette politique

37

Prochaine rencontre

14 décembre 2011

« Les arrêts-tendances de l’internet » Ce petit-déjeuner débat, animé par Eric Barbry, directeur

du pôle Communications électroniques et droit du cabinet, et Jean-Jacques Gomez, ancien conseiller à la

Cour de cassation, aujourd’hui avocat au sein du cabinet, sera l’occasion de dresser le bilan de l’année

2011, et d’anticiper ce qui pourrait advenir en 2012

Pour recevoir les lettres Juristendances, abonnez-vous sur notre site internet : www.alain-bensoussan.com

Contact et information

Lexing est une marque déposée par Alain Bensoussan Selas

38

"   Céline Avignon L.D. : 33 1 41 33 35 30

Mob. : 33 6 13 28 96 8 [email protected]

"   Marc Gallardo

L.D. : 34 9 32 65 58 42

[email protected]

39

Crédits photos

•  Conception et réalisation du support •  Alain Bensoussan avocats © 2011

•  Crédits •  Drapeau de l'Union Européenne©Frederic-

Fotolia.com •  gavel on white background©webdata-Fotolia.com

40

Documents

Cookies.eu