Le 10 janvier 2017, la Commission européenne a annoncé la réforme de la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques.

A l’instar de ce qui a été fait pour le cadre applicable à la protection des données à caractère personnel, la Commission européenne semble avoir choisi de réformer cette directive par un règlement européen.

Notons que cette directive a récemment donné lieu à un important arrêt de la Cour de justice de l’Union européenne sur la conservation des métadonnées de manière généralisée et indifférenciée (CJUE, arrêt Tele2 Sverige AB et Secretary of State for the Home Department, aff. C‑203/15 et C‑698/15).

Rappelons par ailleurs que la Commission européenne avait lancé une consultation sur la réforme de cette directive du 12 avril 2016 au 5 juillet 2016, avant de publier un rapport.

Mathias Avocats a décidé de consacrer cet article aux objectifs de cette réforme et aux impacts de ce texte sur les cookies.

Quels sont les objectifs de la proposition de règlement sur la vie privée et les communications électroniques ?

La Commission européenne a annoncé qu’elle souhaitait renforcer le respect de la vie privée dans les communications électroniques tout en créant de nouvelles perspectives d’activité pour les entreprises.

Le renforcement souhaité se traduit d’abord dans l’instrument choisi. En effet, l’adoption d’un règlement européen permettra de garantir aux personnes physiques une protection sur l’ensemble du territoire de l’Union européenne. Les entreprises pourront exercer leur activité sur l’ensemble du territoire de l’Union en étant soumises à un cadre juridique unique. Précisons que les institutions auront la possibilité de laisser une marge d’appréciation aux Etats membres même s’il s’agit d’un règlement.

En outre, les métadonnées bénéficient d’un régime de protection accrue. Les finalités pour lesquelles les métadonnées pourront être traitées seront limitées.

Par ailleurs, la proposition de règlement consacre une disposition aux communications non sollicitées. Le consentement préalable est réaffirmé. Toutefois, les Etats membres pourront définir des règles plus souples pour le télémarketing (autorisation sauf opposition de la personne comme cela est le cas actuellement en France).

Enfin, précisons que la proposition de règlement donnerait compétence aux autorités de contrôle nationales de protection des données pour veiller au respect de ce nouveau texte.

Quel est le cadre juridique applicable aux cookies ?

Le cadre juridique européen applicable aux cookies résulte de l’article 5§3 de la directive précitée tel que modifié par la directive 2009/136/CE du 25 novembre 2009. En France, le cadre applicable résulte de l’article 32, II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE.

Les autorités de contrôle ont également participé à la définition des règles à respecter en matière de cookies. En effet, la Commission Nationale de l’Informatique et des Libertés (CNIL) a élaboré une recommandation en la matière (Délibération n° 2013-378 du 5 décembre 2013). De plus, le Groupe de l’Article 29 a élaboré plusieurs documents (Avis 04/2012 du 7 juin 2012 et document de travail 02/2013 du 2 octobre 2013).

Ainsi, le dépôt et la lecture de cookies et autres traceurs dans le terminal de tout internaute sont soumis à son consentement préalable. Toutefois, des exceptions existent.

En pratique, l’application des règles s’articule autour de deux étapes définies par la CNIL :

  1. Réalisation de l’information préalable au moyen d’un bandeau précisant les finalités des cookies, les moyens de s’opposer à leurs utilisations ainsi qu’un lien renvoyant vers une politique dédiée aux cookies,
  2. Fourniture d’une solution d’opposition permettant à l’internaute de donner son consentement préalable à l’utilisation de cookies pour chacune des finalités soumises au consentement préalable.

Quel est l’apport de la proposition de règlement en matière de cookies ?

La proposition de règlement telle que publiée par la Commission européenne vise à clarifier et à simplifier les règles applicables à l’utilisation de cookies afin de les rendre davantage effectives.

En effet, la Commission européenne semble être parvenue au constat selon lequel les règles mises en oeuvre sont en définitive des contraintes tant pour les éditeurs de site Internet que pour les internautes.  Dans ce contexte, les règles applicables aux cookies seraient, selon la Commission européenne, peu lisibles.

Dans ce contexte, l’article 8 de la proposition de règlement prévoit en l’état de la publication par la Commission européenne que le stockage et la lecture d’informations relatives à l’internaute dans son équipement terminal seraient interdits sauf :

  • pour la transmission d’une communication par la voie d’un réseau de communications électroniques ;
  • si l’internaute a donné son consentement ;
  • pour fournir un service demandé par l’internaute ;
  • pour réaliser de la mesure d’audience sur l’Internet sous certaines conditions.

Certaines exceptions, comme la première listée, sont déjà connues. En revanche, l’information préalable des personnes n’apparaît pas clairement. Or, le consentement ne pourra être considéré comme éclairé que si une information préalable a été donnée. Dès lors, qu’en sera t-il pour les exceptions autres que le recueil du consentement des personnes qui suppose une information préalable ?

Il convient en outre de souligner que la Commission européenne semble se positionner en faveur d’un assouplissement des règles relatives aux cookies. Lorsque le Groupe de l’Article 29 soumet, dans certains cas, les cookies de personnalisation de l’interface de l’utilisateur au consentement préalable de l’internaute, la Commission européenne considère que ce dernier ne serait plus requis. Il en va de même pour les cookies liés à la mesure d’audience.

En revanche, la proposition de règlement est, en l’état, muette sur la durée des cookies alors même que cet enjeu est régulièrement mis en lumière par la CNIL lors de ses contrôles. Les problématiques liées aux cookies tiers, c’est-à-dire déposés et/ou lus par des sociétés qui n’éditent pas le site Internet via lequel ils sont déposés, ne semblent pas non plus trouver de réponse.

Mathias Avocats ne manquera pas de vous tenir informés de l’avancée de cette réforme.