COMMUNICATION CIBLÉE
C. LA LEGALITÉ, SOUS CONDITIONS, DES COOKIES
302. – Quoique le profilage du consommateur repose d’abord sur les informations qu’il fournit lui-même - en remplissant le formulaire d’ouverture de compte qui lui est soumis sur un site marchand, en complétant la demande d’abonnement à une newsletter -, il s’appuie également sur l’emploi des cookies. Cette méthode de profilage assure une réelle capacité de développement à l’entreprise en lui permettant d’affiner sa cible commerciale. Elle représente, cependant, un danger tout aussi réel pour les libertés individuelles, auquel le droit doit répondre par un encadrement spécifique.
303. – Un cookie est un programme informatique, placé sur le disque dur de l’ordinateur, sur le smartphone ou sur tout objet connecté de l’internaute à la demande d’un tiers - serveur, entreprise gérant un site web, publicitaire, etc...- qui permet de récupérer et de répertorier des informations sur ledit internaute, concernant, par exemple, la navigation qu’il a effectuée sur les pages d’un site en particulier, ou sur les pages de plusieurs sites.
304. – Sans définition stricte, plusieurs auteurs en donnent des analyses similaires : « les cookies sont des petits fichiers stockés dans la mémoire des ordinateurs gérés par les responsables d’application et permettant de conserver une trace des actions de l’utilisateur du terminal sur cette application. Ce sont les cookies qui servent notamment lors d’une navigation sur internet pour analyser les préférences d’un utilisateur »251.
305. – Si l’on distingue plusieurs types de cookies, d’utilités différentes252, seuls sont réglementés ceux dont la finalité relève du profilage à caractère commercial, utilisés à des fins publicitaires, notamment pour définir un internaute ou mesurer l’audience d’un site ou d’un réseau social.
306. – Ce logiciel espion - c’est son rôle - ne renseigne pas sur le nom du propriétaire du terminal sur lequel il est installé mais il lui appose une forme d’étiquette contenant un numéro d’identification unique qui permet de suivre l’internaute en particulier et de le
251 MATTATIA F., Traitement des données personnelles, Paris, éditions EYROLLES, 2013, ISBN : 978-2-212-13594.
distinguer de tout autre. La géolocalisation, éventuellement surajoutée, permet d’associer telle adresse à tel terminal.
307. – Les nouveaux modes technologiques permettent une ingérence accrue dans la vie des consommateurs, à leur insu. La loi du 6 janvier 1978253 dispose que « l’informatique ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques », or l’utilisation sans précaution des cookies ne répond pas à cet impératif.
308. – Le législateur admet parfaitement la nécessité, dans le cadre du libre développement du e-commerce, de cibler la communication commerciale, notamment au moyen de cookies : il a pris conscience du fait que les données représentent un enjeu crucial pour les services de la société de l’information, eux-mêmes devenus stratégiques au sein de ce marché unique numérique254 qui doit permettre aux cyber-entreprises européennes d’accéder à une compétitivité nouvelle, source de croissance. Il choisit cependant de conditionner leur utilisation au respect par l’entreprise d’une certaine éthique, consistant à agir en toute transparence.
309. – Plusieurs textes ont cherché à encadrer l’utilisation des cookies par les entreprises de vente en ligne. Les premières bornes ont été posées par le législateur européen dans la directive du 12 juillet 2002255, transposée dans l’article 82 de la loi Informatique et libertés, directive modifiée par celle du 25 novembre 2009256, laquelle257, partie prenante du « paquet télécom », a eu pour objectif de faire coïncider la libre utilisation des cookies avec le principe de clarté et de transparence. Leur usage est libre mais leur utilisation doit être connue des consommateurs.
310. – En droit français, l’article 32 II de la loi du 6 janvier 1978, modifié par l’article 37 de l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques qui a transposé la directive du 25 novembre 2009, est venu poser le principe
253 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 1 er.
254 COM (2015) 192 final.
255 Directive 2002/58/CE du Parlement européen et du conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
256 Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE
concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs
suivant lequel des cookies traceurs peuvent être installés258 sur les terminaux des internautes à la double condition que ceux-ci donnent leur consentement à l’installation de ce logiciel espion après avoir été informés de sa finalité, et qu’ils puissent à tout moment le retirer.
311. – - Selon l’ordonnance du 24 aôut 2011, il revient à l’entreprise qui utilise ces logiciels d’en informer le consommateur au moment où il consulte la page qui va les actionner, cette information, gage de transparence, étant censée l’avertir que des cookies vont pouvoir soit accéder à des informations déjà stockées dans son terminal, soit en inscrire dans cet équipement259.L’entreprise a aussi l’obligation d’apporter certaines précisions au consommateur, notamment quant à la finalité du cookie - qu’il s’agisse d’une utilisation pour une publicité ciblée, dans un but statistique ou autre, etc.- afin qu’il soit informé, de manière claire et complète, du fait qu’un « œil » est posé dans son terminal, au service de tel objectif.
312. – Par ailleurs, l’internaute doit savoirqu’il n’est pas tenu d’accepter les poses de cookies, et doivent lui être communiqués les moyens dont il dispose pour s’y opposer.
313. – - La liberté de l’entreprise d’utiliser les cookies comme méthode de profilage est donc conditionnée à cette obligation d’information, de transparence. Cette condition, nécessaire, n’est cependant pas suffisante : il faut encore que le consommateur donne son accord préalable à toute pose du logiciel260.
314. – Cette règle, posée par l’ordonnance du 24 août 2011261, traduit la volonté du législateur de renforcer la protection de la vie privée de l’internaute, par une exigence allant au-delà de la simple information de la présence d’un cookie. Le nouveau texte a souhaité
258 Directive 2009/136/CE du 25 novembre 2009, modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et de services de communications électroniques, considérant 66.
259 Art. 32 II modifié de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
260 V. CE, 10e-9e ch. Réunies, 6 juin 2018, n°412589 qui confirme une décision de la CNIL condamnant l’éditeur du site Challenge.fr pour manquement à une information suffisante, laquelle ne permettait pas de différencier clairement les différentes catégories, ni de s’opposer à leur dépôt.
261 Article 32 II modifié de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « II. - Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à
- des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son disobjectif de connexion ou de tout autre disobjectif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
aller plus loin : tout en conservant la possibilité offerte à l’internaute de s’opposer aux cookies déjà installés, il instaure le principe de leur autorisation préalable. Dès lors le procédé évolue d’un système «opt-out » - plutôt favorable aux commerçants électroniques puisque, sans refus clairement explicite du consommateur, son consentement était réputé acquis - vers un système « opt-in » - plus protecteur de l’internaute et de sa vie privée dans la mesure où son accord lui est demandé.
315. – Aucune modalité particulière quant à la collecte du consentement n’ayant été précisée par le texte, l’entreprise garde l’entière liberté de la méthode. La CNIL a préconisé de ne pas faire figurer ces informations au sein des conditions générales d’utilisation ou de vente, mais plutôt de les mettre en évidence par la création d’un bandeau262 - dont elle propose un exemple sur son site officiel263. Ce bandeau n’est pas le seul moyen d’information, quoique le plus répandu : une zone de demande de consentement, en surimpression sur la page consultée, voire des cases à cocher (donc non pré-cochées) peuvent être utilisées à cet effet. Les lignes directives adoptées en la matière par la CNIL le 4 juillet 2019264 apportent deux principales modifications : la simple poursuite de la navigation sur un site ne peut pas être analysée comme un consentement au dépôt des cookies, et la charge de la preuve du consentement pèse sur l’opérateur.
316. – A ce jour, de nombreux sites se contentent en pratique d’indiquer au consommateur la possibilité de refuser les cookies via leur navigateur, par une manœuvre technique qui se révèle souvent complexe, donc décourageante et peu efficace.
317. – L’évaluation ex-post au titre du programme REFIT démontre que la formulation de la directive du 25 novembre 2009, parfois confuse et même obsolète, pose des problèmes aux entreprises quant à la mise en œuvre de leurs obligations d’information pour l’acceptation des cookies.
262 CNIL, délibération n° 2013-378 du 5 déc. 2013 portant adoption d’une recommandation relative aux cookies et aux traceurs visés par l’article 32-II de la loi du 6 janvier 1978.
Par une délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives de l’appréciation de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs), la CNIL a adopté des lignes directrices sur les cookies et autres traceurs ; elle abroge la recommandation n°2013-378 du 5 décembre 2013 devenue incompatible avec les nouvelles dispositions du RGPD.
263 Comme « En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de Cookies pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts] et [Par exemple, réaliser des statistiques de visites]. »
264 CNIL, délibération n°2019-093 du 4 juil.2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur.
318. – Face à ce constat, un projet de règlement, dénommé e-Privacy, a été présenté par la Commission. Alors qu’il était censé entrer en vigueur en mai 2018, concomitamment avec le Règlement Général pour la Protection des Données personnelles, des contestations nombreuses - eu égard à la somme d’intérêts de toute nature qu’il remet en cause - ont retardé l’aboutissement de ce projet d’envergure.
319. – L’adoption de ce nouveau texte semblerait affaiblir considérablement la liberté de communication ciblée des entreprises : là où le RGPD encadre la récolte et le traitement des données à caractère personnel, le e-Privacy, qui vise plus particulièrement les cookies, remplacera la directive n°2009/136/CE du 25 novembre 2009, en adaptant la législation aux risques nouveaux issus de l’utilisation de technologies ou de pratiques elles-mêmes nouvelles.
320. – Le projet du Règlement e-Privacy, présenté par la Commission européenne, a été adopté par le Parlement le 26 octobre 2017. Le Conseil de l’Union européenne a publié une version consolidée du texte265 le 5 décembre suivant. Les deux versions - du Parlement et du Conseil - sont encore à ce jour assez éloignées, le Parlement souhaitant adopter un texte plus protecteur en limitant autant que possible le traitement de certaines données. Compte tenu des pressions exercées par de nombreux lobbys, la difficulté de trouver, à ce stade, un terrain d’entente entre les deux institutions explique le retard pris dans l’écriture de ce nouveau texte européen.
321. – Il est de toute façon permis de s’interroger sur l’opportunité de l’adoption d’un tel nouveau Règlement: ne risquerait-il pas de remettre en cause la liberté de la communication commerciale?
322. – Il refonderait la législation des cookies 266 par un renforcement des obligations d’information et d’obtention du consentement de l’internaute en renvoyant aux dispositions du RGPD (concernant la responsabilité du responsable du traitement), notamment, tout en appliquant les sanctions administratives267 qu’il prévoit. Selon le règlement en discussion, l’absence de tout consentement de l’internaute à l’installation de cookies ne devrait nullement l’empêcher d’accéder au service souhaité.
265 STAUB et associés, 2 janv.2018, Vote du règlement ePrivacy au Parlement européen, consulté sur : http://www.staub-associes.com
266SOUVRIS Jean Philippe, 21 juin 2017, Règlement e-Privacy : nouvelles recettes pour les cookies, consulté sur : https://www.hass-avocats.com
323. – Le e-Privacy projette par ailleurs que le consentement des internautes puisse être centralisé au moyen des paramètres de confidentialité de leur propre navigateur internet, ou d’équipements terminaux, afin que leur soit facilitée la gestion de leurs propres données. Ainsi, les navigateurs, les ordinateurs, les tablettes ou les smartphones devraient
programmer par défaut l’absence de consentement de l’internaute - à moins qu’il ne donne
son accord pour certains cookies268 - ce qui ne peut réjouir aucun collecteur/traiteur de données.
324. – Les cookies sont-ils appelés à disparaitre en cas d’adoption du règlement e-privacy, entrainant avec eux les entreprises qui les utilisent avec profit ? Quel est le consommateur qui les acceptera… s’il n’a nul besoin de les accepter pour circuler à sa guise sur le site? Quel sens aurait alors la liberté d’utiliser les cookies, reconnue comme part de la liberté de la communication commerciale ? Et quelle offre, jusque-là rendue ciblée - mais libre - par le biais des cookies, sera encore proposée au consommateur par l’entreprise ?
325. – Ces questions traduisent la difficulté de trouver le bon équilibre à respecter par la règlementation entre les intérêts conjugués de celui qui communique et de celui vers lequel il communique. Si nul ne doute que la vie privée du consommateur doit être préservée absolument et s’il n’est pas tolérable que ce dernier soit l’objet d’un traçage inlassable, à son insu ou non, consenti ou non, il n’échappe à personne que la publicité comme moyen du développement de la cyber-entreprise est la contrepartie naturelle de la gratuité (même illusoire) des nombreux services sur internet que le consommateur a pris l’habitude d’utiliser sans jamais les payer. Freiner, par le droit, la liberté d’entreprendre en restreignant la communication publicitaire pourrait, paradoxalement, ne pas plus servir les intérêts de l’entreprise, en ruinant son développement attendu, que ceux du consommateur, qui ne trouverait aucun avantage à circuler, désormais en aveugle, parmi les services de l’information, au grand dam de ceux qui en espèrent la croissance. Le droit ne deviendrait-il alors pas, au nom du « mieux », l’ennemi du « bien » ?
326. – Outre la problématique soulevée par la future réglementation des cookies, le nouveau Règlement dit RGPD, nous semble porteur de conséquences tout aussi lourdes pour la liberté de communication ciblée. En effet, le prix à payer pour toutes les cyber-entreprises, quelle que soit leur taille ou leur chiffre d’affaires, devient excessivement élevé : le RGPD
268 Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE, COM/2017/010 final-2017/03 (COD), 1 er janvier 2017. p.9 : 81,2% des particuliers sont favorables à cette mesure.
leur transmet une responsabilité de sécurité des données et des traitements nécessitant la mise en place de mesures aussi complexes que coûteuses.