Les cookies (témoins de connexion) et autres traceurs sont présents partout sur Internet, mais ils peuvent être invisibles et rester inconnus pour l’utilisateur et même pour l’éditeur du site : il faut les connaître et les chercher pour les voir !
Or, l’utilisation des cookies et autres traceurs est strictement encadrée et les obligations pèsent sur tous ceux qui les utilisent, sciemment ou non, à titre professionnel ou non.
Pour ne pas tomber ou demeurer dans l’illégalité, même malgré vous, lisez attentivement cette page. Si vous éditez un site, vous utilisez forcément des cookies, même sans le savoir.
Les cookies doivent en principe être acceptés préalablement par l’utilisateur.
L’accès au terminal d’un utilisateur, pour y déposer ou y lire des cookies ou traceurs, dans le cadre d’un service de communications électroniques, suppose en principe l’accord exprès et préalable de cet utilisateur. Afin que l’utilisateur puisse décider en connaissance de cause, il doit être dûment informé.
Par exception, l’accord préalable de l’utilisateur n’est pas requis si les cookies ou traceurs ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou s’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Ces règles résultent de deux directives européennes (la directive 2002/58/CE modifiée par la directive 2009/136/CE), transposées en droit français par l’article 32-II de la loi n° 78-17 du 6 janvier 1978. La CNIL a en outre émis des recommandations pour l’application de ces dispositions (délibération de la CNIL n° 2013-378 du 5 décembre 2013).
Les règles relatives aux cookies ont un champ d’application très large.
Ces obligations concernent tout accès quelconque au terminal d’un utilisateur, pour y inscrire ou y lire des données permettant ou non d’identifier l’utilisateur (données identifiantes ou anonymes). Les obligations s’appliquent en cas de traitement de données personnelles comme en cas de traitement de données non personnelles. L’accès peut être volontaire ou involontaire. Il peut évidemment être automatique, être le fait d’une machine, d’un logiciel, d’un serveur, préalablement paramétrés.
Les obligations s’appliquent en cas d’accès à n’importe quel équipement terminal de communications électroniques : notamment un ordinateur, une tablette, un téléphone, une console de jeux, une télévision. Vraisemblablement, il en va de même pour l’ordinateur de bord d’un véhicule « connecté » et plus généralement pour tout objet dit « connecté », tel un réfrigérateur.
Les obligations s’appliquent en cas d’accès à un terminal dans le cadre de n’importe quel service de communications électroniques, à l’occasion de toute transmission électronique : notamment lorsque l’utilisateur navigue sur Internet, lorsqu’il manipule un courriel électronique (ouverture, lecture, clic sur un lien, suppression), lorsqu’il installe ou utilise un logiciel ou une application, lorsqu’il lit un livre électronique.
Les obligations s’appliquent à toute personne physique ou morale, agissant à titre professionnel ou non, qui intervient d’une façon quelconque dans le dépôt ou l’accès aux cookies : éditeur de site, de logiciel, d’application, de système d’exploitation, de solutions de mesure d’audience, de solutions publicitaires ou marketing, régie publicitaire, réseaux sociaux. Lorsque plusieurs personnes interviennent conjointement, chacune peut être tenue pour responsable des obligations.
En pratique, les sites Internet utilisent presque tous des cookies ou autres traceurs, sans que l’éditeur du site en soit toujours informé. Les cookies ou traceurs peuvent provenir notamment : des solutions d’analyse statistiques fournies par l’hébergeur ou des tiers (par exemple : Google Analytics, Universal Analytics, ou toute autre solution fournie par un hébergeur), de solutions publicitaires ou marketing (par exemple celles de Criteo), des modules de réseaux sociaux (par exemple : Google+, Twitter, Facebook).
Enfin, les règles relatives aux cookies et traceurs résultent de la transposition d’une directive européenne et elles ont donc vocation à s’appliquer dans tous les pays de l’Union européenne.
Concrètement, l’utilisation de cookies est ainsi soumise à des contraintes strictes.
En pratique, comment faire pour utiliser légalement les cookies ou traceurs ?
Tout d’abord, il faut distinguer deux catégories de cookies ou traceurs :
– d’une part les cookies ou traceurs exemptés, que l’on peut qualifier de « strictement nécessaires » et qui ne sont pas soumis au consentement préalable de l’utilisateur,
– d’autre part, les autres cookies ou traceurs qui nécessitent une information et un consentement préalable de l’utilisateur.
Cette distinction est fondamentale et elle nécessite des précisions.
Quels sont les cookies ou traceurs exemptés ?
Pour répondre précisément à cette question, il faut i) partir de la loi française, ii) considérer la directive à laquelle cette loi doit être conforme et iii) prendre en compte les recommandations de la CNIL.
Selon la loi française, les cookies ou traceurs exemptés sont :
– soit ceux qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique,
– soit ceux qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Selon la directive européenne, les cookies ou traceurs exemptés sont :
– ceux visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques,
– ou ceux qui sont strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
On relève donc une nuance sur le premier point : la loi française interprète la directive dans un sens relativement libéral en transposant l’expression « effectuer la transmission d’une communication » par l’expression « permettre ou faciliter la communication ». Le terme « faciliter » pourrait suggérer que des cookies ou traceurs qui ne seraient pas stricto sensu « strictement nécessaires » seraient néanmoins exemptés. Que faut-il en penser ? Nous pensons que, pour être conforme à la directive, le terme « faciliter » doit être entendu strictement, d’autant qu’il s’agit d’une exception à un principe (en droit, les exceptions s’interprètent strictement). Concrètement un cookie facilitant la navigation de l’internaute devrait légitimement être exempté : par exemple on pense à un cookie permettant à l’internaute de retourner à une page qu’il a visitée, un cookie lui permettant de voir les liens sur lesquels il a déjà cliqué, ou encore, pour les sites dynamiques, un cookie mémorisant la version du site consulté (langue, pays).
Sur le second point mentionné par la loi française et la directive, on ne relève pas de divergence entre les deux textes qui serait susceptible d’avoir une incidence juridique. Les cookies « strictement nécessaires » au fournisseur ou à la fourniture du service doivent s’entendre en particulier de ceux qui sont utilisés pour mesurer l’audience d’un site ou plus généralement fournir des statistiques et des données anonymes sur la navigation. C’est bien ce que considère la CNIL, qui relève que « les statistiques de fréquentation permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou leur application ou encore d’organiser certains contenus » (article 6 de la délibération de la CNIL n° 2013-378 du 5 décembre 2013). On pourrait ajouter que les statistiques anonymes sont un véritable standard d’Internet et qu’il est d’ailleurs généralement impossible de désactiver les cookies correspondants qui sont en pratique installés automatiquement par les hébergeurs de sites, sans demande de la part de l’éditeur du site et sans même qu’il puisse modifier les paramètres standards.
Toutefois, la CNIL considère que les traitements relatifs aux cookies ou traceurs doivent respecter les conditions cumulatives suivantes pour pouvoir être exemptés (article 6 de la délibération précitée) :
- « La personne doit être informée ;
- Elle doit disposer d’une faculté de s’y opposer par l’intermédiaire d’un mécanisme d’opposition facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs internet. Aucune information relative aux personnes ayant décidé d’exercer leur droit d’opposition ne doit être collectée et transmise à l’éditeur de l’outil d’analyse de fréquentation ;
- La finalité du dispositif doit être limitée à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application. Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple). L’utilisation du Cookie déposé doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites internet ;
- L’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. Cette adresse IP doit également être supprimée ou anonymisée une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ;
- S’agissant des Cookies, ils ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des cookies doivent être conservées pendant une durée de treize mois maximum ».
Cette recommandation de la CNIL appelle quelques réserves. La CNIL n’a pas compétence pour contredire une loi conforme à une directive européenne. Or, c’est pourtant bien ce qu’elle fait, notamment s’agissant des deux premiers points de la recommandation. La CNIL exige en effet que l’utilisateur soit informé de l’utilisation de cookies, qu’il puisse s’y opposer et qu’aucune information relative aux personnes ayant décidé d’exercer leur droit d’opposition ne soit collectée. Ces trois exigences, prises ensemble, paraissent induire en pratique qu’aucun cookie ne pourrait jamais être utilisé avant que l’utilisateur en soit informé et puisse s’y opposer. Or, la loi et la directive prévoient au contraire, précisément, une exception tant à l’obligation d’information qu’à l’obligation de recueillir le consentement de l’utilisateur.
En pratique, on ne peut que recommander d’informer clairement l’utilisateur et de lui permettre de s’opposer aux cookies. Cependant, s’il n’est pas techniquement possible de bloquer des cookies exemptés dès l’ouverture d’une page du site (page d’accueil ou page secondaire) ou avant la lecture de la mention d’information, cela ne saurait constituer un manquement à l’article 32-II de la loi n° 78-17 du 6 janvier 1978.
Enfin, la CNIL prescrit une durée de conservation maximale de 13 mois pour les cookies exemptés. Là encore, il faut s’efforcer de suivre cette recommandation dans la mesure où cela est techniquement possible, mais le non-respect de cette recommandation ne saurait constituer un manquement à la loi.
Que doit-on faire en cas d’utilisation de cookies ou traceurs non-exemptés ?
Les cookies ou traceurs qui ne bénéficient pas de l’exemption ne doivent pas être utilisés avant que l’internaute en ait été dûment informé et qu’il y ait expressément consenti.
La CNIL recommande une procédure en deux temps. Dans un premier temps, un bandeau doit informer l’internaute de l’utilisation de cookies et lui permettre d’en savoir plus et de paramétrer les cookies, éventuellement en cliquant sur un lien amenant à une page consacrée aux cookies. L’internaute peut fermer le bandeau ou l’ignorer et on devrait alors considérer qu’il a consenti à l’utilisation des cookies. L’internaute peut aussi cliquer sur le lien et accéder à une page lui permettant de paramétrer les cookies. Cette procédure doit être respectée pour tout premier accès à une page du site, principale (accueil) ou secondaire. Par la suite, les choix de l’internaute peuvent être mémorisés pendant un délai de 13 mois à l’issue duquel la procédure devra être renouvelée.
Cette procédure est suivie par de nombreux sites, mais elle n’est techniquement possible que si le choix de l’internaute peut être mémorisé, ne serait-ce qu’au cours d’une même session. En pratique, il existe de nombreux sites statiques qui ne comportent pas de base de données intégrée, qui sont accessibles sans système d’identification et qui n’intègrent pas de modules tels ceux utilisés pour le commerce électronique. Pour ces sites, la procédure du bandeau ne paraît pas techniquement possible, car le bandeau devrait figurer sur toutes les pages du site et ne pourrait pas être définitivement fermé par l’internaute au cours d’une session donnée, le choix de l’internaute ne pouvant pas être mémorisé. Les éditeurs des sites concernés qui utilisent des cookies non-exemptés doivent donc trouver une solution équivalente : par exemple, une mention statique présente sur toutes les pages, idéalement en haut de la page, comportant un lien.
Les obligations relatives aux cookies peuvent être sanctionnées, notamment pénalement.
En l’état actuel du droit positif français, les sanctions applicables en cas de manquement aux obligations relatives aux cookies et traceurs ne sont pas très clairement définies en ce sens qu’il n’existe pas de texte visant spécifiquement les obligations relatives aux cookies et traceurs prévues par l’article 32-II de la loi n° 78-17 du 6 janvier 1978. Pour autant, plusieurs sanctions, notamment pénales, sont susceptibles de s’appliquer.
En matière pénale, les principes de légalité et d’interprétation stricte de la loi pénale font qu’il ne peut y avoir d’infraction sans texte la définissant précisément.
Les articles 226-16 à 226-24 du code pénal traitant des « atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », sont tous relatifs à des traitements de données personnelles. Par conséquent, ces sanctions pénales sont applicables uniquement si l’utilisation de cookies et traceurs constitue un traitement de données à caractère personnel, c’est-à-dire concrètement si les cookies concernent des données identifiantes. En effet, l’article 2 alinéa 2 de la loi n° 78-17 du 6 janvier 1978 dispose : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ». Pour les cookies portant sur des données identifiantes, les différentes infractions définies par les articles 226-16 à 226-24 du code pénal peuvent s’appliquer. Parmi celles-ci, on peut en citer deux particulièrement susceptibles de s’appliquer en cas d’utilisation non-conforme de traceurs ou cookies :
– le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende (article 226-18 du code pénal) ;
– le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende (article 226-18-1 du code pénal).
L’utilisation non-conforme de cookies et de traceurs pourrait également, dans certaines circonstances, être sanctionnée au titre de pratiques commerciales illicites : on pense particulièrement aux pratiques commerciales déloyales (article L. 120-1 du code de la consommation), trompeuses (article L. 121-1 du code de la consommation) ou agressives (article L. 122-11 du code de la consommation).
Cookies et traceurs : ce que disent exactement la directive européenne et la loi française qui la transpose.
Article 5.3 de la directive 2002/58/CE du parlement européen et du conseil du 12 juillet 2002, tel que modifié par l’article 2.5 de la directive 2009/136/CE du parlement européen et du conseil du 25 novembre 2009 :
« Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
Il est à noter que la directive 2009/136/CE a modifié quelque peu la formulation initiale de la directive 2002/58/CE, dans un sens plus contraignant.
Article 32 II de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :
« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
– de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
– des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
– soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
– soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
Cookies et traceurs :
conseils pratiques à l’attention des éditeurs
> Tout d’abord, identifiez précisément les traceurs (cookies) utilisés par votre site et classez-les par catégories. Il est essentiel de savoir si vous utilisez des traceurs soumis au consentement préalable de l’internaute.
> N’oubliez pas les traceurs sous le contrôle de tiers comme votre hébergeur, des réseaux sociaux (notamment Google+, Facebook, Twitter) ou d’autres fournisseurs de modules (par exemple Youtube, Dailymotion), des régies publicitaires. Renseignez-vous précisément sur les traceurs utilisés par les tiers, car vous êtes responsable conjointement avec eux.
> Lisez attentivement cette page et nos modèles de mentions pour vous conformer à vos obligations. N’hésitez pas à nous consulter pour bénéficier de conseils personnalisés à forte valeur ajoutée.
Questions et réponses
sur les cookies
> Les solutions de mesure d’audience nécessitent-elles un consentement préalable des internautes ?
Tout dépend des caractéristiques précises des solutions. Selon la CNIL, très peu de solutions seraient exemptées : Google Analytics ou Universal Analytics nécessiteraient une modification assez importante du script, seul Piwik ne nécessiterait qu’un paramétrage relativement simple.
> Peut-on limiter l’accès d’un site aux internautes qui acceptent les traceurs?
Non, en principe un blocage total du site ne serait pas conforme, du moins si ses fonctionnalités ne l’exigent pas.
> Quelle est la durée de conservation maximale des traceurs ?
La CNIL recommande une durée maximale de 13 mois. Ainsi, au bout de 13 mois, toutes les données doivent être effacées et le consentement de l’internaute doit être sollicité de nouveau.
> Le consentement de l’internaute doit-il être obtenu pour chacun des sites proposés par un même éditeur ?
Oui, le consentement doit être libre, éclairé, spécifique et exprès. Le consentement donné pour un site ne vaut que pour celui-ci.
Cookies et traceurs: de quoi s’agit-il ?
Sur Internet, les cookies et traceurs sont des petits fichiers enregistrés dans votre navigateur par les sites Internet que vous visitez. Ces dispositifs sont, dans une certaine mesure, nécessaires à la navigation : par exemple, ils permettent à l’internaute d’accéder à la page précédente qu’il vient de consulter ou de savoir qu’il a déjà cliqué sur un lien donné. Le problème est que ces dispositifs peuvent comprendre des variantes plus ou moins intrusives et peuvent être utilisés de façon à suivre un internaute, notamment afin de recueillir des informations précises sur lui, souvent en vue de lui proposer des annonces publicitaires personnalisées, ciblées. Ainsi, les cookies et traceurs peuvent porter gravement atteinte à la vie privée des internautes, en donnant à des tiers qu’ils peuvent ne même pas connaître, et ce sans en être informés, des informations extrêmement précises sur leur identité, leurs activités, leurs goûts, leurs choix, leurs questions, leurs centres d’intérêts, leurs projets.
Textes officiels sur les cookies et traceurs
> Directive 2009/136/CE du parlement européen et du conseil du 25 novembre 2009 : article 2.5
> Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : article 32 II
> Code pénal : articles 226-16 à 226-24
> Code de la consommation : articles L. 120-1, L. 121-1 et L. 122-11
