Comment le droit organise-t-il la défense de l’internaute contre le stockage de ses données personnelles ? En quoi l’ancienne obligation d’information de l’internaute pour chaque action impliquant l’installation de cookies était-elle insuffisante ? Comment s’organise la nouvelle exigence d’autorisation préalable de l’internaute issue de l’ordonnance du 24 août 2011 ? Existe-t-il des limites à cette double obligation d’information et d’autorisation préalable ?
Le passage d’un régime soumis à une simple obligation d’information de l’internaute…
La possibilité de refuser l’installation de cookies par la reconfiguration
Les cookies sont des petits fichiers « .txt » installés sur le disque dur du terminal de connexion, en général dans le dossier « Temporary Internet Files », à la demande du site consulté par un navigateur. Ils permettent audit site de déterminer si ce même navigateur s’est déjà connecté auparavant. Leur durée de conservation est définie par l’exploitant du site et peut se limiter à la session de navigation sur le site en question ou lui être supérieure.
Le but premier des cookies est de faciliter la navigation des utilisateurs en évitant, notamment, la ressaisie d’informations telles que des produits placés dans un panier virtuel, des identifiants de connexion, ou des préférences de navigations.
Une seconde fonction peut être attribuée aux cookies en matière de sécurisation dela navigation. Parexemple, le filtrage parental se maintient lors des connexions, grâce aux préférences gardées en mémoire par l’intermédiaire des cookies.
Les règles d’installation et de stockage des cookies sont modifiables via la configuration du navigateur internet. Si la plupart des navigateurs sont, au départ, configurés pour accepter les cookies, il est possible de les reconfigurer pour qu’ils les refusent tous, pour qu’ils n’acceptent que certains cookies, ou encore pour qu’ils indiquent qu’un cookie a été envoyé. En théorie, et conformément aux dispositions de la loi informatique et libertés, l’internaute a la maîtrise de l’installation des cookies sur son ordinateur.
L’obligation d’information de l’internaute quant à la possibilité de refus
Avant l'ordonnance du 24 août 2011, les utilisateurs pouvaient alors tout à fait s’opposer aux cookies en reconfigurant leur navigateur, même s’ils ne pouvaient les refuser que postérieurement à l’installation desdits cookies, selon un système d' « opt out ».
La jurisprudence veillait à garantir le respect de cette faculté de refus, comme en témoigne un jugement rendu par le Tribunal de grande instance de Montpellier, le 28 octobre 2010, pour l’affaire Mme C. c/ Google France et Inc. Les juges du fond y affirment qu’il incombe aux moteurs de recherche « d’aménager la possibilité d’un retrait a posteriori des données à caractère personnel».
L’article 32 dela loi Informatiqueet libertés allait même jusqu’à imposer expressément une obligation d’information des personnes concernées par la collecte de données personnelles au travers des cookies, quant aux possibilités de reconfiguration notamment, selon des modalités qui ont été précisées par un décret du 25 mars 2007.
Ainsi, tout utilisateur des réseaux de communications électroniques devait être informé « de manière claire et complète » par leresponsable dutraitement ou son représentant, s’agissant :
- de la finalité de l’accès à des informations stockées dans son équipement terminal de connexion,
- des moyens dont cet utilisateur dispose pour s'y opposer.
En pratique, pour s’exécuter, les responsables de traitements intégraient dans leurs conditions générales de vente cette information, sur le fait d’utiliser des cookies et sur les moyens permettant de les refuser.
à un nouveau régime marqué par l’exigence d’autorisation préalable de l’internaute.
L’insertion d’une exigence de consentement préalable comme modification substantielle
Depuis l’ordonnance du 24 août 2011 modifiant l’article 32 II dela loi Informatiqueet libertés du 6 janvier1978, l'utilisation de cookies doit préalablement être soumise à l'acceptation de l'utilisateur, selon un système d'« opt in ».
Cette nouvelle rédaction de l’article 32 II dela loi Informatiqueet libertés apparaît comme la transposition directement issue du Paquet Télécom de la directive européenne du 25 novembre 2009, qui modifiait elle-même la directive européenne du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des réseaux et des services de communications électroniques, et celle du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques.
De plus, il est toujours imposé aux responsables du traitement de données personnelles de fournir des informations « claires et complètes », quant à la finalité des cookies et aux moyens de s'y opposer, avant de recueillir le consentement de l’utilisateur. Si les pratiques anciennes devraient dès lors pouvoir subsister, la tendance est à la transparence de l'information qui doit être suffisamment intelligible afin de permettre aux utilisateurs d'identifier les finalités de l'installation de chaque type de cookies.
Les responsables de traitements ont intérêt à renforcer l'information des personnes sur les cookies. En effet, lorsque l’information des internautes n'est ni claire ni complète, leur consentement supposé libre et éclairé est susceptible d’être remis en cause. Ainsi, il convient de prévoir l’insertion d’un document sur le site, relatif à la protection des données.
Les limites à l’obligation d’obtention du consentement préalable à l’installation de cookies
L’obligation dont dispose l’article 32 II modifié ne concerne pas tous les cookies. En effet, il ne faut pas oublier que les exceptions à l'obligation de recueillir un accord préalable, déjà présentes dans l'ancien article 32 dela loi Informatiqueet libertés, restent maintenues pour :
- les cookies qui ont pour « finalité exclusive de permettre ou faciliter la communication par voie électronique » d’une part,
- et les cookies qui sont « strictement nécessaires à la fourniture d'un service expressément demandé par l'internaute ».
Par ailleurs, les moyens techniques permettant de satisfaire à ces obligations d’autorisation préalable semblent toutefois rester à déterminer. Le nouveau texte précise seulement que l'accord « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
L'opérateur doit alors modifier les conditions d'utilisation de son site pour remplir son devoir d'information, en intégrant les nouvelles dispositions imposées par l'ordonnance. Ces modifications une fois portées à l'attention de l'internaute, devront être expressément acceptées par lui.
Cette acceptation de l’utilisateur ne peut pas prendre une forme tacite, comme elle ne peut qu’avoir lieu avant « toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ». En pratique, il est d’ores et déjà possible de penser que seules deux solutions permettraient auresponsable dutraitement de recueillir ce consentement.
En effet, l’installation et l’utilisation de cookies peuvent être soumises soit à une configuration du navigateur internet, soit à un mécanisme systématique de « pops up », où chaque connexion à un site serait préalablement conditionnée à l’acceptation ou non par l’utilisateur de l’installation de cookies par l’exploitant du site. Les conséquences pratiques du second mécanisme seraient toutefois dommageables pour la fluidité de la navigation sur internet, ce qui conduit à préférer la première solution de configuration du navigateur.
