Le groupe "Article 29", réunissant les autorités de protection des données européennes, a examiné l'impact de la révision de la directive "e-privacy" (Directive 2002/58/CE) sur l'utilisation des "cookies". Selon cette directive, révisée en 2009 et transposé en droit national par la loi du 28 juillet 2011 (portant modification de la loi modifiée du 30 mai 2005 concernant la vie privée dans le secteur des communications électroniques), il est possible de placer des cookies sur l'ordinateur de l'utilisateur sous condition de recevoir son consentement explicite. Dans sa prise de position, le groupe a analysé en particulier les exceptions à ce principe d'opt-in.
Les "cookies", c'est quoi exactement ?
Le "cookie" ou témoin de connexion est un petit fichier texte au format alphanumérique déposé sur le disque dur de l’internaute par le serveur du site visité ou par un serveur tiers (régie publicitaire, service de web analytique, etc.). Dans l’ordinateur, c’est le navigateur (Internet Explorer, Firefox, Chrome, Safari, etc.) qui gère les cookies et qui permet à l'internaute de les contrôler. En principe, les cookies servent à faciliter l'utilisation ultérieure d'un site par la même personne. Ainsi, il permet notamment de reconnaître un visiteur lorsqu’il revient sur un site web, de se rappeller de la langue que l'internaute avait choisi lors de sa visite précédente ou des produits qu'il avait déposé dans son panier lors d'une session de shopping antérieure.
Toutefois, l'utilisation de cookies peut avoir une implication importante sur la vie privée des internautes s'ils sont employés à d'autres fins comme par exemple la gestion publicitaire, le profilage ou le traçage des internautes. Dans son avis 2/2010 (WP 171) sur la publicité comportementale en ligne, le groupe de travail avait analysé en détail cette problématique. Requêtes dans un moteur de recherche, clics et autres informations sont analysés pour proposer des publicités personalisées aux internautes. Dans ces cas, les cookies sont placés par une partie tierce différente de l’éditeur du site et on parle de "third party cookies".
Exceptions au principe du consentement explicite
Selon l'article 5, paragraphe 3 de la Directive "e-privacy", il est possible de placer un "cookie" sans le consentement explicite de l'internaute dans les deux cas suivants:
- le cookie vise "exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques";
- le cookie est "strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur".
Ainsi, sous certaines conditions, cela inclut les "user-input cookies" ou "session-id cookies" (lorsque l'utilisateur remplit un formulaire ou un panier d'achats), les "multimedia player session cookies" (qui enregistre les données techniques nécessaires pour consulter des contenus vidéo et audio) ainsi que les "user interface customization cookies" (permettant notamment de se rappeler de la langue choisie par l'utilisateur lors d'une visite antérieure).
En ce qui concerne les cookies utilisés pour mesurer l'audience statistique d'un site ("Analytics"), le groupe de travail estime qu'ils ne posent pas de risque à la vie privée lorsqu'ils sont directement placés par le site visité (et non par une partie tierce) à des fins statistiques et lorsque les visiteurs sont informés clairement sur leur utilisation dans les règles de confidentialité. Il reste cependant nécessaire de demander le consentement de l'utilisateur avant de placer ce type de cookie.
De nombreux réseaux sociaux proposent des plugins sociaux qu'un opérateur de site web peut intégrer sur son site, notamment pour permettre aux visiteurs de partager des contenus avec leurs "amis". Ces plugins sauvegardent et accèdent des cookies permettant aux réseaux sociaux d'identifier leurs membres lorsqu'ils communiquent avec ces plugins. Dans ce cas, il faut distinguer les membres connectés de ceux qui ne le sont pas ou qui ne sont tout simplement pas membre du réseau social. S'il s'agit d'un membre connecté d'un réseau social, il n'est pas nécessaire de demander son consentement explicite. Le groupe de travail note toutefois que l'utilisation des plugins sociaux de tiers pour toute autre fin que de fournir un service expressément demandé par l'utilisateur nécessite d'obtenir son consentement. Ainsi, il est strictement interdit d'utiliser ces social plugins pour observer le comportement de l'utilisateur à travers de multiples sites ou pour sauvegarder les données de non-membres sans leur accord.