Nouvelles directives de politique des données

La directive de l’Union Européenne 2009/136/CE vise à améliorer et à renforcer la protection des données des utilisateurs sur Internet. Elle prévoit en substance que les visiteurs d’un site Web soient informés de l’utilisation de cookies grâce à une indication relativement compréhensible et qu’ils doivent accorder leur consentement. Nous parlons ici avant tout des cookies publicitaires qui sont utilisés dans le cadre du reciblage mais également pour les analyses marketing et pour les média sociaux.  Il est possible que les cookies soient appliqués sans autorisation des utilisateurs s’ils sont jugés techniquement nécessaires pour la délivrance d’un service fourni par le site Internet et expressément demandé par l’abonné ou l’utilisateur. Ces données sont par exemple les configurations de langues, les identifiants, les paniers d’achat voire les cookies flash pour la lecture de contenu multimédia.

Voici un aperçu des cookies nécessitant une information préalable et une demande de consentement :

• Les cookies liés aux opérations publicitaires ;
• Les cookies de mesures d’audience ;
• Les cookies des réseaux sociaux.

En France, c’est la CNIL (Commission nationale de l’informatique et des libertés)qui gère le dossier et les contrôles ont commencé dès le mois d’octobre 2014. Tout acteur contrevenant à cette obligation s’expose à une amende pouvant atteindre 150 000 euros. Par ailleurs, étant donné que ce consentement peut être oublié par les internautes, la directive estime nécessaire de limiter dans le temps la portée de l’accord à 13 mois maximum.

Consciente que la loi comporte une certaine complexité, la CNIL consacre une partie de son site Web à ce sujet. Elle explique à qui est imposé cette obligation, quels sont les cookies visés, les solutions de mesures d’audience, comment recueillir valablement le consentement et explique les durées de vie des cookies.

Le scénario type est le suivant. Les administrateurs de sites Internet doivent désactiver tous les modules (analytics, régies pub et boutons sociaux) et afficher un bandeau avec un message stipulant que la poursuite de la navigation équivaut au consentement de l’internaute.

Il faut veiller à ne pas dégrader l’expérience utilisateur en attendant que celui-ci poursuive son chemin. Si l’internaute refuse par exemple, il est important de créer une alternative pour que votre site internet ne soit pas bloqué. Pour les publicités par exemple, il peut être recommandé de mettre en place un panneau de contrôle pour permettre à l’internaute d’activer chaque service de manière indépendante.

La directive européenne sur les cookies n’est pas claire concernant la question de savoir si l’utilisateur doit accepter l’utilisation des cookies avant que ces fichiers texte n’enregistrent ses données, ou si l’exploitant du site peut utiliser des cookies dès le départ. Pour le premier cas, nous parlons de opt-in, pour le dernier, de opt-out. En ce qui concerne le premier, le consentement de l’utilisateur est obligatoire pour le stockage de données tandis que opt-out ne permet aux visiteurs du site de donner leur avis qu’après coup.

Étant donné que la directive européenne sur les cookies ne définit pas précisément si le stockage de données peut être fait dès la première utilisation ou non, sa mise en œuvre diffère d’un pays à l’autre. La majorité des pays de l’UE appliquent cette spécificité dans leurs droits nationaux. Le opt-in est obligatoire dans certains pays alors que le opt-out l’est dans d’autres. Certains états n’ont néanmoins pas encore pris leur décision. Dans l’ensemble, la mise en œuvre de la directive européenne sur les cookies est donc loin d’être uniforme.