Mon compte Devenir membre Newsletters

Cookies: tous au régime... du consentement préalable

Publié le par

DONNÉES PERSONNELLES. Une proposition de loi visant à «mieux garantir le droit à la vie privée à l'heure du numérique» pose le principe de l'opt-in cookie. Si le texte était adopté, quelles seraient les conséquences pour les sites et les acteurs de la publicité on line?

Maître Mathieu Prud'homme, avocat et directeur du département Internet contentieux au cabinet Alain Bensoussan

Maître Mathieu Prud'homme, avocat et directeur du département Internet contentieux au cabinet Alain Bensoussan

La volonté de l'Etat clairement exprimée de «mieux garantir le droit à la vie privée» est-elle la conséquence d'une lacune du droit français face aux défis du numérique, la nécessité d'intervenir pour mettre fin à des comportements nouveaux et particulièrement attentatoires à la vie privée? Dans cette dernière hypothèse, qui seraient les coupables?

Loin s'en faut, à moins de considérer que les coupables sont d'une part l'internaute lui-même et d'autre part le fonctionnement d'Internet.

En effet, cette proposition de loi trouve sa justification dans la mise en évidence des risques liés à l'apparition de mémoires numériques, du fait des progrès technologiques (capacités de stockage, puissance des moteurs de recherche) et du développement des réseaux sociaux. Volontairement ou non, l'internaute laisse un nombre sans cesse croissant de traces sur les réseaux, qui permettent non seulement de l'identifier mais également de tout connaître de lui, et qui sont donc susceptibles de menacer sa vie privée. La proposition est rapprochée des travaux européens et de la Cnil, en collaboration avec les réseaux sociaux et les moteurs de recherche, en particulier au sujet de la durée de conservation des données informatiques. Le «droit à l'oubli numérique»,

corollaire d'un droit à la tranquillité numérique, est ainsi mis en exergue au travers de cette proposition de loi.

Si la valeur des principes défendus n'est pas contestable, le frottement avec les principes régissant la publicité ciblée et comportementale, véritable épine dorsale du e-commerce, est évident.

Le nouveau texte aurait pour les acteurs du e-commerce un certain nombre de conséquences.

- L'obligation de désigner un Correspondant informatique et libertés (CIL) dans certains cas. On peut imaginer que ce sera le cas par exemple des entreprises si elles mettent en oeuvre des outils CRM collaboratifs et de communauté avec plus de 100 clients.

- L'adresse IP est expressément élevée au rang de donnée à caractère personnel, afin de clore le débat sur ce sujet. Cela signifie que la collecte d'une adresse IP doit répondre à toutes les conditions posées par la loi Informatique et libertés (collecte loyale, information préalable, droit d'accès et d'opposition, etc.).

- Un complément d'informations doit être communiqué obligatoirement aux personnes concernées, sous une forme spécifique et dès la collecte des données: critères déterminant la durée de conservation des données et modalités d'exercice des droits d'accès, de rectification et de suppression des données par voie électronique.

- Pour les sites web, obligation de créer une rubrique dédiée aux mentions Informatique et libertés, qui devra également présenter à tout utilisateur: - la finalité des actions tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement ;

- la nature des informations stockées et leurs destinataires ;

- les «moyens dont l'utilisateur dispose pour exprimer ou non son consentement» sauf:

- si l'accès ou l'inscription d'informations a pour finalité exclusive de permettre la communication par voie électronique ou est strictement nécessaire à la fourniture du service «à la demande expresse de l'utilisateur».

Ces deux exceptions ne couvrent donc pas, a priori, la collecte d'informations à des fins de prospection ;

- ou si l'information se révèle impossible ou exige des efforts disproportionnés.

L' exploitation à des fins de prospection des informations stockées dans les cookies est donc soumise au consentement préalable de l'internaute, sans préjudice de son droit existant, de s'y opposer à tout moment. Au demeurant, le régime de l'opt-in cookie est plus strict que l'opt-in pour l'e-mailing, puisque l'exception liée à la relation commerciale existante ne semble pas applicable. Par ailleurs, comment, en pratique, informer l'internaute du traitement de son adresse IP et de son droit de s'y opposer, alors que cette donnée est traitée dès sa connexion sur le site internet?

Enfin, si les grandes régies ont depuis longtemps mis en place des listes opt-out pour les adresses IP et les cookies, ces modalités seront-elles conformes au nouveau texte? Les acteurs du secteur doivent continuer à faire valoir leur point de vue sur ce texte, déjà voté par le Sénat et transmis à l'Assemblée nationale le 23 mars 2010.

« L'internaute laisse des traces sur les réseaux, qui permettent de tout connaître de lui et sont susceptibles de menacer sa vie privée. »