• Français -fr 

Blog Archives

Cookies : dans quels cas, le consentement n'est pas nécessaire ?

S’il est maintenant d’usage de considérer que l’autorisation de la personne concernée est nécessaire pour toute utilisation de cookies, rappelons que l’article 5.3 de la directive 2009/139/CE prévoit deux hypothèses dans lesquelles le consentement de l’utilisateur n’est pas requis pour utiliser un cookie :

Critère A
Lorsque le cookie « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique »
Le rapport précise que la communication ne doit pas être possible sans la mise en place de ce cookie. Il doit donc être absolument nécessaire
. Le législateur européen souhaite réduire au maximum le champ d’application de la disposition ;
Ce cookie peut être mis en oeuvre dans le cadre d’une des trois hypothèses suivantes :
-pour contrôler le routage de l’information sur le réseau ;
-pour permettre l’échange de paquets de données ;
-pour détecter les erreurs de transmission et les pertes de données.

Critère B
-Lorsque le cookie « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur».
L’usage de ce cookie sans consentement doit répondre à une double condition :
-L’utilisateur doit avoir effectué un acte positif pour intégrer un service de communication en ligne dont le périmètre doit être bien délimité ;
-Le cookie est utilisé uniquement pour faire fonctionner le service. Si le cookie est désactivé, le service ne fonctionne pas.
Il doit y avoir un lien clair entre la stricte nécessité du cookie et le fonctionnement du service.

Il faut alors bien distinguer chaque fonctionnalité offerte par le service, chacune devant disposer de son propre cookie. Chaque fonctionnalité doit alors obtenir le consentement de l’utilisateur.

Caractéristiques d’un cookie.
Il existe plusieurs types de cookie : les cookies de session, les cookies permanents et les cookies tiers.

-Un cookie de session se supprime automatique quand l’utilisateur ferme son navigateur alors que le cookie permanent reste enregistré jusqu’à sa date d’expiration.
-Un cookie tiers est mis en place par un tiers qui n’opère pas sur le site visité par l’utilisateur.

Tous ces cookies de l’article 5.3 doivent prévoir une durée de validité qui est en relation direct avec leur objet et doivent expirer une fois qu’ils ne sont plus nécessaires.
Logiquement ces cookies doivent expirer à la fin de la session du navigateur internet mais, ce n’est pas forcément toujours le cas. Par exemple, dans le cadre d’un site de vente en ligne, il est souvent prévu que le cookie qui mémorise le panier d’achat persiste après que la page ait été quitté, tout simplement pour éviter les erreurs de manipulation.
Afin de déterminer si un cookie est exempt de consentement, il convient de déterminer de façon précise l’objet du cookie et pourquoi le cookie est spécifiquement mis en oeuvre.

Cookies ayant plusieurs objets.

Un cookie peut être utilisé pour plusieurs activités à la condition que chaque activité soit exempt de consentement. En pratique, il est plus facile de mettre en place un cookie par activité.

Exemple d’utilisation des cookies :
cookie d’authentification utilisé pour s’authentifier, (présent pour la durée de la session). Critère B.
cookie utilisé pour le suivi d’un utilisateur dans sa session (ex: achat en ligne), Critère B.
cookie utilisé pour augmenter la sécurité de navigation. (ex : cookies utilisés pour contrôler les abus de connexion). Critère B.
cookie multimédia utilisé pour lire des fichiers audio ou vidéo (ex: flash player). Critère B.
cookies utilisés pour dispatcher des requêtes sur plusieurs serveurs, (présent pour la durée de la session) Critère A.
cookie de modification de l’interface utilisateur, (présent pour la durée de la cession). Critère B.
cookie plug-in de réseaux sociaux pour fournir une fonctionnalité aux utilisateurs identifiés sur un autre site internet. Critère B.

Cookies non exemptés de consentement :

-cookies de réseaux sociaux utilisés pour de la publicité comportementale et des analyses de marché ;
-cookies publicitaires tiers pour de la publicité comportementale ;
-cookies destinés à effectuer des statistiques d’audience.

Le Groupe 29 suggère de revoir l’article 5.3 de la directive afin d’ajouter une troisième exemption pour les cookies qui sont strictement limités à faire des statistiques anonymes. Il convient de bien distinguer les pratiques faites par le site internet qui pourraient être autorisées de celles faites par les tiers qui présentent un risque.

Recommandations finales :
-dans l’hypothèse de l’usage du critère B, il est important d’examiner ce qui est strictement nécessaire du point de vue de l’utilisateur et non du point de vue du service fourni ;
-si un cookie est utilisé pour plusieurs activités, il peut bénéficier de l’exemption de consentement si chaque activité peut être exemptée.
Les cookies du site consulté seront exempts d’autorisation plus facilement que les cookies tierces. Toutefois, il est toujours important d’analyser si les exemptions peuvent s’appliquer.

En toute hypothèse, s’il est difficile après examen de savoir si le consentement doit être requis, il convient de prévoir un consentement qui permettra d’éviter une incertitude juridique.

Blandine Poidevin et Edouard Verbecq

Rappel des principales règles à respecter lors de la mise en ligne d'un site internet (non marchand).

1 – Les mentions légales

La Loi pour la Confiance dans l’Economie Numérique (LCEN) impose à l’éditeur d’un site Internet d’indiquer, dans un standard ouvert, un certain nombre de mentions légales :

la dénomination ou raison sociale de la société, le siège social, un numéro de téléphone ainsi qu’une adresse de courrier électronique, le numéro d’inscription au RCS, le capital social et l’adresse du siège social,

le nom du directeur de la publication,

le nom, la dénomination sociale, l’adresse et le numéro de téléphone de l’hébergeur du site.

Aussi, nous vous avons transmis un modèle de mentions légales qu’il conviendra de mettre en ligne sur votre site Internet de manière accessible à tous, à chacune des pages de la navigation.

2 – Les données à caractère personnel

La collecte de données à caractère personnel est réglementée par la loi Informatique et Libertés du 6 janvier 1978.

La loi prévoit en son article 6 que le traitement de données n’est valable que si les données sont collectées et traitées de manière loyale et licite pour des finalités déterminées.

Les données recueillies doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et doivent être complètes et mises à jour.

Ces données doivent être conservées pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont collectées.

Il vous appartient en tant que responsable des traitements de données, d’accomplir certaines obligations :

2.1 – Demande d’autorisation pour traiter des données sensibles

Une donnée sensible est une information qui concerne : l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelles.

En principe, ces données ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne.

Le traitement informatique de données personnelles qui présentent des risques particuliers d’atteinte aux droits et libertés doivent, avant leur mise en œuvre, être soumis à l’autorisation de la CNIL.

Il vous appartient donc de procéder à une demande d’autorisation auprès de la CNIL concernant le traitement de données sensibles.

Pour information, le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et de 300 000 euros d’amende (article 226-16 du Code pénal).

2.2 – Information des personnes concernées

Par ailleurs, l’article 32 de la loi Informatique et Libertés impose au responsable du traitement d’informer les personnes dont les données à caractère personnel sont traitées, de l’identité du responsable du traitement, de la finalité du traitement opéré, ainsi que des destinataires desdites données.

Les personnes concernées peuvent ainsi exercer un droit d’accès, de rectification et d’opposition aux données les concernant.

A cet égard, un contact au sein de l’effectif du responsable du traitement doit être mentionné afin de permettre l’exercice effectif de ces droits.

2.3 – Cookies

Dans l’hypothèse où vous mettez en place un système de cookies, il vous appartient de respecter certaines règles.

L’article 32 de la loi Informatique et Libertés prévoit que les personnes concernées doivent donner leur accord à la mise en place d’un tel fichier, préalablement à l’accès ou à l’inscription de leurs données sur le terminal de communication électronique.

Ainsi, je recommande de faire mention sur le site Internet d’une case à cocher validant l’accord de l’internaute.

Cette règle du consentement préalable ne s’applique, toutefois, pas aux cookies ayant pour seule finalité de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Ainsi, dans l’hypothèse où les cookies implantés le seraient à des fins exclusives de réalisation des statistiques de fréquentation, de décompte du nombre de visiteurs, de mémorisation de l’information de connexion durant la visite, notamment, le recueil du consentement préalable de l’internaute n’est pas nécessaire.

3 – Sur les droits de propriété intellectuelle

Il est utile d’enregistrer une marque correspondant au nom de domaine.
Si la marque a été déposée à titre personnel une licence de cette marque au profit de la société qui l’exploitera, doit être mise en place et publiée.

En outre, dans l’hypothèse où vous exploitez un logo , il pourrait également être déposé.

De même, les droits d’auteur du créateur de site, infographiste, et plus général de tout contenu mis en ligne doivent être respectés.

Règles du jeu en matière de cookies.

Ayant beaucoup d’interrogations à ce sujet, voici quelques recommandations en la matière.

Conformément au nouveau cadre juridique relatif à l’utilisation des cookies établi par l’Ordonnance n°2011-102012 du 24 août 2011, je vous recommande de prévoir d’informer les utilisateurs de la mise en place de cookies dans une rubrique spécifique dédiée à la vie privée et non plus d’intégrer cette information dans les mentions légales ou les conditions générale applicables.

Il s’agira d’expliquer la finalité d’utilisation des cookies, le type d’informations recueillies, le procédé utilisé pour recueillir l’information et la possibilité, pour l’utilisateur, d’accepter ou de refuser l’enregistrement du cookie dans son terminal.

La durée de conservation des informations de navigation collectées devra également être précisée.

Je vous rappelle également que, depuis la modification résultant de cette Ordonnance, l’utilisateur doit exprimer son accord préalable à la mise en place de cookies.

Ce choix peut se faire par un dispositif de connexion (exemple via le navigateur internet) ou par le biais d’autres dispositifs placés sous le contrôle de l’utilisateur tels qu’une plateforme de choix accessible en ligne permettant à l’utilisateur d’accepter ou refuser totalement ou partiellement les cookies, ou encore d’un fichier ou logiciel mémorisant le choix de l’utilisateur dans le terminal.

Règles relatives à l'utilisation de cookies

Nombreux sont les exploitants de site internet ou de blog qui ont déclaré leurs traitements de données personnelles mais plus rare sont ceux qui se sont penchés sur la question des cookies. Pourtant, souvent utilisés, ils sont soumis à un cadre spécifique

En effet, la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés, prévoit « que toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Ainsi, il peut s’agir d’ajouter la mention suivante :

« Pour le bon fonctionnement du site, des cookies sont installés sur le disque dur de l’ordinateur de l’Utilisateur. Ces cookies permettent de vous identifier à chacune de vos connections sur le site et de vous fournir des services personnalisés adaptés vos besoins ou de servir à ___ [l’éditeur du site] à des fins statistiques pour étudier l’usage du site par les internautes.
L’Utilisateur peut s’opposer à l’enregistrement de cookies ou être prévenu avant d’accepter les cookies, en configurant son ordinateur de la manière suivante :

a)Pour Microsoft Internet Explorer 6.0 et 7.0 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Confidentialité » (ou « Confidentiality »).
Sélectionner le niveau souhaité à l’aide du curseur ou cliquez sur le bouton « avancé » pour personnaliser votre gestion des cookies.
b)Pour Microsoft Internet Explorer 5 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Sécurité » (ou « Security »).
Sélectionner « Internet » puis « Personnaliser le niveau » (ou « CustomLevel »).
Repérez la rubrique « cookies » et choisir l’option qui convient.
c)Pour Mozilla Firefox 1.5.X et 2.0.X :
Choisir le menu « Outils », puis « Options… ».
Cliquer sur l’icône « Vie privée » puis sur l’onglet « Cookies » ou « Afficher les cookies… ».
Personnaliser les options qui conviennent.
Toutefois le refus de l’implantation de cookies sur l’ordinateur de l’Internaute est susceptible d’altérer les fonctionnalités du site voire de l’empêcher d’accéder à son espace personnalisé. »