Lignes directrices pour obtenir le consentement des internautes pour l'utilisation de cookies
Le groupe de travail “article 29” sur la protection des données (ci-après : G29) a émis le mois dernier une opinion comprenant des lignes directrices (en anglais uniquement) concernant les méthodes d’obtention du consentement des internautes quant à l’utilisation de cookies. Je vous propose de vous en faire une synthèse avec les principaux points.
Pour rappel, le G29 a été institué par la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il comprend notamment un membre de chaque autorité nationale de contrôle des Etats membres (soit l’équivalent du Préposé fédéral à la protection des données et à la transparence).
Situation générale
Depuis l’adoption en 2009 de la directive 2002/58/CE révisée, le détenteur d’un site (ci-après : l’opérateur) est libre d’utiliser ou non des cookies, mais dans l’affirmative, il doit pouvoir démontrer que l’internaute consenti à leur utilisation. Pour cela, il est libre d’utiliser la méthode qu’il veut. La directive pose plusieurs principes, mais l’application des règles diffère entre opérateurs et États. Le G29 a ainsi observé que les opérateurs recouraient à diverses méthodes, notamment :
l’affichage d’une notice visible immédiatement déclarant que des cookies sont utilisés sur le site, avec un lien vers la page ou les pages où se trouvent de plus amples informations (par exemple, la “privacy policy”) ;
l’affichage d’une notice visible immédiatement déclarant qu’un naviguant sur le site, l’internaute donne son consentement à l’utilisation de cookies qui y est faite ;
des informations sur la possibilité et la marche à suivre pour l’internaute de signifier ou retirer son consentement à l’utilisation de cookies ;
un mécanisme permettant à l’internaute de choisir d’accepter tous, seulement certains ou de refuser tous les cookies ;
une option pour l’internaute de changer des préférences antérieures concernant les cookies.
La notion de “consentement” est définie au considérant 17 et à l’article 2 lettre f de la directive 2002/58/CE qui renvoie à l’article 7 de la directive 95/46/CE.
Considérant 17
Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet.
Article 7
[…] le traitement de données à caractère personnel ne peut être effectué que si :
a) la personne concernée a indubitablement donné son consentement ou
b) il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ou
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou
d) il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée ou
e) il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées ou
f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1.
Dans un précédent avis (n° 15/2011) sur la définition du consentement, le G29 avait estimé que :
pour être valide, le consentement doit d’abord être spécifique à une utilisation bien précise et fondé sur une information appropriée. Un consentement donné sans connaissance du but exact du traitement de données n’est pas acceptable ;
il doit également être donné avant que le traitement de données ne commence, c’est-à-dire avant que les cookies ne soient installés ou lus ;
il ne doit pas être ambigu, c’est-à-dire qu’il ne doit pas laisser de doute quand à l’intention de l’internaute. Cependant, pour être valide, il faut que l’internaute manifeste activement son intention de manière suffisamment claire et compréhensible ;
l’internaute doit enfin avoir un réel choix à faire, ce qui signifie qu’il n’encourt aucune conséquence négative s’il refuse de donner son consentement et que l’intimidation et la coercition sont interdites.
Lignes directrices
Basé sur ce qui précède, le G29 a donc proposé les lignes directrices suivantes à l’attention des opérateurs.
Concernant l’information à donner à l’internaute concernant l’utilisation des cookies, elle doit donc être claire, compréhensive et visible. Elle doit par exemple figurer sur la page d’accueil du site et proposer un accès à toutes les informations nécessaires au sujet de l’utilisation et des types de cookies. L’internaute doit aussi être informé des moyens à sa disposition pour changer ses préférences concernant les cookies.
Comme énoncé plus haut, le consentement doit être donné avant que le traitement de données ne commence, c’est-à-dire avant que les cookies ne soient installés et/ou lus. Il faudrait donc que les opérateurs trouvent le moyen de ne pas installer de cookies – qui nécessitent le consentement de l’internaute, car un traitement de données suit – avant que l’internaute ait pris position.
Le comportement actif de l’internaute pour signifier son consentement peut être obtenu par un splash screen, une bannière, une boîte de dialogue, etc. y compris les réglages du navigateur web (cf. avis n° 2/2010). Si l’information donnée répond aux conditions ci-dessus, l’action de l’internaute doit permettre à l’opérateur d’en déduire sans aucune ambigüité qu’elle représente un consentement spécifique et éclairé. Il faut donc en déduire qu’un internaute qui arrive sur un site, mais n’entreprend aucun comportement actif sur la page (l’internaute reste simplement sur la page), l’opérateur ne peut pas admettre sans ambigüité que le consentement a été donné.
Quant au choix de l’internaute, le G29 note que l’accès à certains sites (notamment en Suède) est subordonné à la condition d’avoir accepté l’utilisation de cookies. Le G29 en déduit que l’internaute n’est pas confronté à un réel choix, car il ne dispose que d’une option, celle d’accepter tous les cookies (mis à part celle de quitter immédiatement le site). La directive 2002/58/CE mentionne au considérant 25 que l’accès au contenu d’un site spécifique peut être, toutefois, subordonné au fait d’accepter, en pleine connaissance de cause, l’installation d’un témoin de connexion ou d’un dispositif analogue, si celui-ci est utilisé à des fins légitimes. Selon le G29, cela signifie qu’un site ne peut pas subordonner l’accès général au site à l’acceptation de tous les cookies, mais qu’un site peut limiter certains contenus si l’internaute ne consent pas à l’utilisation de cookies.
Commentaire
L’opinion rendue par le G29 ne va pas sans poser de problèmes pour l’industrie. En effet, en supposant que ces lignes directrices soient obligatoires, tous les internautes accédant à des sites hébergés en Europe devraient mettre en place des pages de garde ou des pop-up qui nécessiteraient que l’internaute accepte l’utilisation des cookies avant d’accéder au contenu du site.
S’il est compréhensible, d’un point de vue légal et en particulier concernant le droit fondamental à la vie privée, que le consentement de l’internaute soit obtenu avant le traitement de données – dans le cas présent, l’utilisation de cookies –, la solution préconisée par le G29 soulève des questions pratiques et techniques. On pourrait imaginer qu’à l’avenir, des sites soient presque “contraints” de proposer deux versions similaires de leur contenu : l’une avec cookies, l’autre sans. Bien que cela ne soit pas vraiment imaginable, cela pourrait avoir des conséquences sur la gratuité des contenus sur le web, ceux-ci étant majoritairement financés par la publicité qui repose notamment sur l’utilisation de cookies.
L’approche du G29 me semble un peu trop conservatrice et risquerait de créer un profond décalage entre l’Europe et le reste du monde. Et d’ailleurs, combien de temps cela prendrait-il pour qu’un système généralisé de page de garde ou de pop-up perde sa substance, les internautes cliquant nonchalamment et par réflexe sur “J’accepte” pour s’en débarrasser, tout comme ils le font aujourd’hui avec les conditions générales d’utilisation ?