Une « nouvelle » directive sur la protection de la vie privée en ligne est activement mise en œuvre dans l'Union Européenne depuis sa création en novembre 2009. Elle vise à donner aux utilisateurs le contrôle sur la façon les cookies sont utilisés sur les sites qu'ils visitent, pour qu'ils donnent leur consentement à leur utilisation avant qu'ils ne soient copiés sur leur appareil. Nous allons voir dans ce billet ce que dit exactement cette directive, et comment elle est transposée dans les lois locales, en se concentrant sur le Royaume-Uni, la France, l'Espagne et le Portugal.
Datant du 25 novembre 2009, la directive 2009/136/EC (pdf) modifie deux autres directives concernant les droits des utilisateurs relatives aux réseaux de communications électroniques et aux services (Directive 2002/22/EC) et le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques (Directive 2002/58/EC).
Nous nous intéressons ici à l'article 66 :
Un cookie est un petit bloc de données envoyé à partir d'un site web et stocké dans le navigateur web d'un utilisateur tandis qu'il visite le site en question. Il peut être récupéré au cours de la session de l'utilisateur ou lors de visites ultérieures sur le même site, y compris dans un futur éloigné.
Il existe différents types de cookies : le cookie de session (utilisé le temps d'une session ou d'une visite à un site web), le cookie persistant ou cookie traceur (utilisé pour stocker des données entre les sessions), le cookie sécurisé (utilisé sur une connexion cryptée https, et donc lui-même encrypté), le cookie HttpOnly (utilisé lors de la transmission de requête http/https), le cookie de tierce partie (d'autres domaines que celui du site visité pour suivre l'historique de navigation de l'utilisateur) et le cookie zombie (pratiquement impossible à supprimer, puisqu'il utilise des mécanismes de stockage différents de ceux des cookies classiques : http ETag, flash, png, Silverlight…).
Tout utilisateur web, en commençant par vous et moi, devrait être libre de partager ses données personnelles avec n'importe quelle entreprise ou organisation s'il le souhaite, et seulement s'il le souhaite. Par le simple fait de surfer sur internet, nous sommes tracés par des centaines de sociétés différentes qui font des profils à partir de nos habitudes. Ces profils sont les données qu'elles utilisent pour nous proposer des annonces publicitaires spécifiques par le biais du ciblage comportemental, ou pour vendre à d'autres sociétés.
C'est là que le reciblage entre en action. Par exemple, vous visitez le site d'un vendeur de chaussures, et deux jours plus tard, sur un autre site, disons, de voitures, vous avez une publicité pour des chaussures. Il y a de bonnes chances qu'une société publicitaire (Google AdSense ou une autre) vous ait suivi du premier site vers ce dernier pour vous recibler avec un produit auquel vous avez déjà été exposé.
De plus, le profil créé par vos traces sur le web est également enregistré si vous appartenez à un réseau social. Chaque fois que vous rencontrez un bouton de partage, que vous soyez connecté ou non à votre réseau de prédilection, et qu'il s'agisse d'un Facebook Like ou d'un bouton Twitter ou Google+, le réseau social sait où vous êtes et ajoute cette page à votre historique de navigation de leur côté.
Le principe à retenir est celui-ci : si un produit est gratuit, vous êtes le produit.
Dans son avis 2/2010 sur la publicité comportementale en ligne, le groupe de travail « Article 29 » sur la protection des données indique que la publicité comportementale (…) ne saurait exister aux dépens du droit des personnes à la protection de leurs données et de leur vie privée. Il définit ensuite le cadre juridique et détaille l'obligation d'obtenir un consentement informé préalable.
Voyons les transpositions adoptées par trois pays : le Royaume-Uni, la France et l'Espagne.
Comme la Régulation 2003 transposait déjà une directive européenne concernant la protection de la vie privée dans le secteur des communications électroniques (la directive 2002/58/EC), la transposition de la nouvelle Directive 2009/136/EC a pris la forme d'un changement de l'article 5(3) de la E-Privacy Directive. Le Royaume-Uni a introduit les amendements le 25 mai 2011 à travers la Régulation 2011 sur la vie privée et les communications électroniques, amendement connu sous le nom d'« amendement des cookies », dont le texte est :
Il propose un Guide sur les règles relatives à l'utilisation des cookies et technologies similaires (pdf, en anglais) pour aider à mettre en œuvre les règles afin d'être conforme à la loi.
En principe, l'ICO a le pouvoir de faire payer jusqu'à 500 000 livres (630 000 euros) d'amende aux organisations pour des infractions graves de la Loi sur la protection des données. Ainsi, depuis le 26 mai 2012, les sites de toute organisation basée au Royaume-Uni (même si leur site est hébergé à l'étranger) doivent obtenir le consentement de stocker des cookies sur l'ordinateur ou le dispositif d'un utilisateur, puisque le défaut de s'y conformer pourrait entraîner une amende.
En pratique, cependant, l'ICO « examine les plaintes concernant les cookies conformément à son approche normale de gestion des plaintes en vertu des Règlements. Il s'agira dans la plupart des cas de contacter l'organisation responsable de l'établissement des cookies en première instance, de lui demander de répondre à la plainte, et de préciser les mesures qu'elle a prises pour se conformer à ces règles. »
Dès lors que vous avez pris « une action censée et mesurée afin de vous approcher de la conformité », il semble n'y avoir aucune crainte à avoir. Selon leurs propres mots : « les sanctions monétaires seront réservées pour les infractions les plus graves aux Règlements. »
La transposition dans le droit français de cette directive européenne a eu lieu le 24 août 2011 dans l'ordonnance n°2011-1012 relative aux communications électroniques. L'article 37 y spécifie que :
La CNIL exempte du consentement préalable les cookies destinés à mesurer l'audience, sous certaines conditions (information, droit d'accès et d'opposition, finalité limitée, géolocalisation par IP à l'échelle de la ville au maximum, durée de conservation).
Les sanctions encourues en cas de non conformité à cette loi peuvent aller jusqu'à 300 000 euros, mais « en cas de plainte ou de contrôle, la Commission appréciera les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité » (source CNIL).
La transposition de cette directive en Espagne a été effectuée à travers le décret-loi royal 13/2012 du 30 mars 2012 (pdf, en espagnol) qui stipule :
Cependant, la modification de la loi n'a pas entraîné l'ajout d'une pénalité : le défaut d'obtenir le consentement pour l'utilisation de cookies ne peut être sanctionné (pour l'instant tout du moins, source, en espagnol).
Publié dans le Diário da República le 29 août 2012 (pdf, en portugais), l'article 5 précise :
Il convient également de répondre à la question des sites hébergés à l'extérieur de l'Union européenne. Est-ce qu'un pays ou même l'ensemble de l'Union pourrait interdire Google AdSense ou Facebook pour n'avoir pas respecté sa législation locale quand la plupart des sites gouvernementaux en sont encore loin ?
Dans un prochain billet, nous verrons les solutions qui peuvent être mises en place pour se conformer à la directive des cookies.
Source de l'illustration : Veggieburgerfan via Wikimedia Commons
La directive européenne 2009/136/EC
Que dit-elle ?
Datant du 25 novembre 2009, la directive 2009/136/EC (pdf) modifie deux autres directives concernant les droits des utilisateurs relatives aux réseaux de communications électroniques et aux services (Directive 2002/22/EC) et le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques (Directive 2002/58/EC).
Nous nous intéressons ici à l'article 66 :
Il se peut que des tiers souhaitent stocker des informations sur l'équipement d'un utilisateur, ou obtenir l'accès à des informations déjà stockées, à des fins diverses, qu'elles soient légitimes (certains types de cookies, par exemple) ou qu'elles impliquent une intrusion non autorisée dans la sphère privée (logiciels espions ou virus, par exemple). Il est donc extrêmement important que les utilisateurs disposent d'informations claires et complètes lorsqu'ils entreprennent une démarche susceptible de déboucher sur un stockage ou un accès de ce type. Les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles. Les dérogations à l'obligation de fournir des informations et de donner le droit de refus devraient être limitées aux situations dans lesquelles le stockage technique ou l'accès est strictement nécessaire afin d'autoriser légitimement l'utilisation d'un service spécifique explicitement demandé par l'abonné ou l'utilisateur. Lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la directive 95/46/CE, l'accord de l'utilisateur en ce qui concerne le traitement peut être exprimé par l'utilisation des paramètres appropriés d'un navigateur ou d'une autre application.
Qu'est-ce qu'un cookie ?
Un cookie est un petit bloc de données envoyé à partir d'un site web et stocké dans le navigateur web d'un utilisateur tandis qu'il visite le site en question. Il peut être récupéré au cours de la session de l'utilisateur ou lors de visites ultérieures sur le même site, y compris dans un futur éloigné.
Il existe différents types de cookies : le cookie de session (utilisé le temps d'une session ou d'une visite à un site web), le cookie persistant ou cookie traceur (utilisé pour stocker des données entre les sessions), le cookie sécurisé (utilisé sur une connexion cryptée https, et donc lui-même encrypté), le cookie HttpOnly (utilisé lors de la transmission de requête http/https), le cookie de tierce partie (d'autres domaines que celui du site visité pour suivre l'historique de navigation de l'utilisateur) et le cookie zombie (pratiquement impossible à supprimer, puisqu'il utilise des mécanismes de stockage différents de ceux des cookies classiques : http ETag, flash, png, Silverlight…).
Quel est le but de cette directive ?
Tout utilisateur web, en commençant par vous et moi, devrait être libre de partager ses données personnelles avec n'importe quelle entreprise ou organisation s'il le souhaite, et seulement s'il le souhaite. Par le simple fait de surfer sur internet, nous sommes tracés par des centaines de sociétés différentes qui font des profils à partir de nos habitudes. Ces profils sont les données qu'elles utilisent pour nous proposer des annonces publicitaires spécifiques par le biais du ciblage comportemental, ou pour vendre à d'autres sociétés.
C'est là que le reciblage entre en action. Par exemple, vous visitez le site d'un vendeur de chaussures, et deux jours plus tard, sur un autre site, disons, de voitures, vous avez une publicité pour des chaussures. Il y a de bonnes chances qu'une société publicitaire (Google AdSense ou une autre) vous ait suivi du premier site vers ce dernier pour vous recibler avec un produit auquel vous avez déjà été exposé.
De plus, le profil créé par vos traces sur le web est également enregistré si vous appartenez à un réseau social. Chaque fois que vous rencontrez un bouton de partage, que vous soyez connecté ou non à votre réseau de prédilection, et qu'il s'agisse d'un Facebook Like ou d'un bouton Twitter ou Google+, le réseau social sait où vous êtes et ajoute cette page à votre historique de navigation de leur côté.
Le principe à retenir est celui-ci : si un produit est gratuit, vous êtes le produit.
Dans son avis 2/2010 sur la publicité comportementale en ligne, le groupe de travail « Article 29 » sur la protection des données indique que la publicité comportementale (…) ne saurait exister aux dépens du droit des personnes à la protection de leurs données et de leur vie privée. Il définit ensuite le cadre juridique et détaille l'obligation d'obtenir un consentement informé préalable.
Transposition de la directive européenne dans la législation locale
En septembre 2012, la plupart des pays européens ont déjà transposé la directive européenne dans leur législation locale, y compris l'Autriche, la Belgique, la Bulgarie, Chypre, le Danemark, l'Espagne, l'Estonie, la Finlande, la France, la Hongrie, l'Irlande, l'Italie, la Lettonie, La Lituanie, le Luxembourg, les Pays-Bas, la République tchèque, la Roumanie, le Royaume-Uni, la Slovaquie et la Suède. La Pologne et le Portugal doivent encore transposer la directive, même si des propositions de loi ont été déposées (sources : Two birds, Field Fisher Waterhouse).Voyons les transpositions adoptées par trois pays : le Royaume-Uni, la France et l'Espagne.
Royaume-Uni : la directive ePrivacy
Comme la Régulation 2003 transposait déjà une directive européenne concernant la protection de la vie privée dans le secteur des communications électroniques (la directive 2002/58/EC), la transposition de la nouvelle Directive 2009/136/EC a pris la forme d'un changement de l'article 5(3) de la E-Privacy Directive. Le Royaume-Uni a introduit les amendements le 25 mai 2011 à travers la Régulation 2011 sur la vie privée et les communications électroniques, amendement connu sous le nom d'« amendement des cookies », dont le texte est :
Les États membres doit s'assurer que le stockage de l'information, ou l'obtention de l'accès à des informations déjà stockées dans l'équipement terminal d'un abonné ou d'un utilisateur n'est autorisé qu'à la condition que l'abonné ou l'utilisateur concerné ait donné son consentement, après avoir reçu des informations claires et compréhensibles, conformément à la Directive 95/46/EC, sur les finalités du traitement, entre autre. Cela ne devrait pas empêcher un quelconque stockage ou accès technique ayant pour seul but l'exécution de la transmission d'une communication sur un réseau de communications électroniques, ou de façon strictement nécessaire pour que le fournisseur d'un service de la société de l'information, et à la demande explicite de l'abonné ou utilisateur, puisse fournir ce service.Comme nous pouvons le voir, leur approche a consisté à copier directement le libellé de la disposition et de faire référence à des éléments du libellé du Considérant 66 qui disent que les paramètres du navigateur peuvent donner aux consommateurs un moyen d'indiquer leur consentement aux cookies.
Lorsque cela est techniquement possible et efficace (…) le consentement des utilisateurs au traitement peut être exprimé en utilisant les paramètres appropriés du navigateur ou de toute autre application.Le Règlement 6 du Règlement sur la vie privée et les communications électroniques 2003 (PECR) stipule :
Une personne ne doit pas stocker ou accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur à moins que les exigences [suivantes] soient remplies :Cependant, une exception demeure à l'obligation de fournir des informations sur les cookies et à obtenir le consentement lorsque le cookie est utilisé :
- L'abonné ou l'utilisateur de cet équipement terminal a reçu une information claire et complète sur les buts du stockage ou de l'accès à cette informations ; et
- a donné son consentement.
- dans le seul but de mener à bien la transmission d'une communication sur un réseau de communications électroniques ; ou
- lorsque le stockage ou l'accès est strictement nécessaire pour la fourniture d'un service de la société de l'information demandé par l'abonné ou l'utilisateur.
Il propose un Guide sur les règles relatives à l'utilisation des cookies et technologies similaires (pdf, en anglais) pour aider à mettre en œuvre les règles afin d'être conforme à la loi.
En principe, l'ICO a le pouvoir de faire payer jusqu'à 500 000 livres (630 000 euros) d'amende aux organisations pour des infractions graves de la Loi sur la protection des données. Ainsi, depuis le 26 mai 2012, les sites de toute organisation basée au Royaume-Uni (même si leur site est hébergé à l'étranger) doivent obtenir le consentement de stocker des cookies sur l'ordinateur ou le dispositif d'un utilisateur, puisque le défaut de s'y conformer pourrait entraîner une amende.
En pratique, cependant, l'ICO « examine les plaintes concernant les cookies conformément à son approche normale de gestion des plaintes en vertu des Règlements. Il s'agira dans la plupart des cas de contacter l'organisation responsable de l'établissement des cookies en première instance, de lui demander de répondre à la plainte, et de préciser les mesures qu'elle a prises pour se conformer à ces règles. »
Dès lors que vous avez pris « une action censée et mesurée afin de vous approcher de la conformité », il semble n'y avoir aucune crainte à avoir. Selon leurs propres mots : « les sanctions monétaires seront réservées pour les infractions les plus graves aux Règlements. »
France : le Paquet Télécom
La transposition dans le droit français de cette directive européenne a eu lieu le 24 août 2011 dans l'ordonnance n°2011-1012 relative aux communications électroniques. L'article 37 y spécifie que :
Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :Il faut donc informer le visiteur du site du dépôt du cookie avant celui-ci, son consentement étant demandé. Le terme cookie est utilisé au sens large et regroupe toute technique inscrivant des informations côté client.Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement
- des moyens dont il dispose pour s'y opposer
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique
- soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
La CNIL exempte du consentement préalable les cookies destinés à mesurer l'audience, sous certaines conditions (information, droit d'accès et d'opposition, finalité limitée, géolocalisation par IP à l'échelle de la ville au maximum, durée de conservation).
Les sanctions encourues en cas de non conformité à cette loi peuvent aller jusqu'à 300 000 euros, mais « en cas de plainte ou de contrôle, la Commission appréciera les efforts mis en œuvre par le responsable du traitement pour se mettre en conformité » (source CNIL).
Espagne : la ley de las cookies
La transposition de cette directive en Espagne a été effectuée à travers le décret-loi royal 13/2012 du 30 mars 2012 (pdf, en espagnol) qui stipule :
Enfin, plusieurs articles de la loi de services de la société de l'information et du commerce électronique 34/2002 datant du 11 juillet sont modifiés afin d'adapter son système au nouveau texte donné par la Directive 2009/136/CE à la Directive 2002/58/CE du 12 juillet 2002, du Parlement européen et du Conseil, relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques, devant mettre en évidence le nouveau libellé donné à l'article 22.2, pour exiger le consentement de l'utilisateur sur les fichiers ou les programmes informatiques (comme les dénommés « cookies ») qui stockent des informations dans l'équipement de l'utilisateur et permettent d'y accéder ; dispositifs susceptibles de faciliter la navigation web mais dont l'utilisation pourrait révéler des aspects de la sphère privée des utilisateurs, ainsi est-il important que les utilisateurs soient correctement informés et disposent de mécanismes qui leur permettent de préserver leur vie privée.Ainsi, l'article 22.2 (page 26947) de la loi 34/2002 de Services de la Société de l'Information et du Commerce Électronique (ou LSSI-CE) du 11 juillet est devenu :
Les prestataires de services pourront utiliser des dispositifs de stockage et de récupération de données dans les équipements terminaux des destinataires, à condition que ceux-ci aient donné leur consentement après avoir reçu des informations claires et complètes sur leur utilisation, en particulier sur les buts du traitement des données, conformément à la loi organique 15/1999 du 13 décembre sur la protection des données personnelles.Avec la nouvelle législation, chaque site internet doit informer ses utilisateurs de l'utilisation qui va se faire des informations collectées par les cookies, leur donnant la possibilité de les accepter ou non. Au consentement tacite (opt out) de la loi antérieure se substitue un consentement informé (opt in).
Lorsque cela est techniquement possible et efficace, le consentement du destinataire à accepter le traitement des données pourra être facilité en utilisant les paramètres appropriés du navigateur ou d'autres applications, à condition qu'il ait à faire sa configuration lors de l'installation ou de la mise à niveau de celui-ci par une action expresse à cet effet.
Cela n'empêchera pas le stockage ou l'accès possible de caractère tecnique dans le seul but d'effectuer la transmission d'une communication par un réseau de communications électroniques ou, dans la mesure où cela est strictement nécessaire, pour la fourniture d'un service de la société de l'information explicitement demandé par le destinataire.
Cependant, la modification de la loi n'a pas entraîné l'ajout d'une pénalité : le défaut d'obtenir le consentement pour l'utilisation de cookies ne peut être sanctionné (pour l'instant tout du moins, source, en espagnol).
Portugal : la lei dos cookies
Publié dans le Diário da República le 29 août 2012 (pdf, en portugais), l'article 5 précise :
Le stockage d'informations et la possibilité d'accès à l'information stockée dans l'équipement terminal d'un abonné ou utilisateur ne sont permis que s'ils ont reçu son consentement préalable, basé sur des informations claires et complètes selon les termes de la Loi de protection des données personnelles, notamment quant aux objectifs de ce traitement.Ainsi, au Portugal aussi, la directive européenne des cookies insiste sur le consentement préalable des utilisateurs.
Conclusion
Comme nous l'avons vu, la plupart des pays européens ont déja transposé la directive 2009/136/EC, et le reste va bientôt suivre. Néanmoins, certaines questions demeurent en ce qui concerne les solutions techniques à mettre en place, ou les sanctions encourues pour le non respect de cette loi.Il convient également de répondre à la question des sites hébergés à l'extérieur de l'Union européenne. Est-ce qu'un pays ou même l'ensemble de l'Union pourrait interdire Google AdSense ou Facebook pour n'avoir pas respecté sa législation locale quand la plupart des sites gouvernementaux en sont encore loin ?
Dans un prochain billet, nous verrons les solutions qui peuvent être mises en place pour se conformer à la directive des cookies.
Source de l'illustration : Veggieburgerfan via Wikimedia Commons
The European cookies law (en anglais)
La ley europea de las cookies (en espagnol)
A lei europeia dos cookies (en portugais)
Aucun commentaire:
Enregistrer un commentaire