Cookies et notification des failles : La protection renforcée de la vie privée et des données personnelles se traduit par diverses mesures, dont l’encadrement légal des « cookies ». Les nouvelles dispositions issues de l’ordonnance du 24 août 2011 (1) transposant le paquet télécoms introduisent une protection renforcée de la vie privée et des données personnelles, se traduisant par diverses mesures, dont l’encadrement légal des « cookies », l’interdiction de la prospection directe sans consentement préalable et la modification de la loi Informatique et libertés.
Cookies : une protection renforcée de la vie privée
Concernant l‘encadrement légal des « cookies », l’article 37 de l’ordonnance rappelle le principe d’une information claire et complète de l’internaute sur l’installation des cookies, ainsi que sur leur finalité et les moyens de les refuser. La mesure innovante de ce texte relève de la subordination de l’accès aux informations déjà stockées dans l’équipement terminal ou de l’inscription des informations dans cet équipement au consentement préalable de l’abonné ou de la personne utilisatrice. Ce consentement peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont toutefois pas applicables aux cookies dits de « navigation » qui ont pour principale finalité de « permettre ou de faciliter la communication par voie électronique » et aux cookies strictement nécessaires à la fourniture d’un service.
Concernant la prospection directe visée à l’article 8 de l’ordonnance, celle-ci est interdite lorsqu’elle est effectuée au moyen de systèmes automatisés d’appel et de communication, d’un télécopieur ou de courriers électroniques et qu’elle utilise les coordonnées d’une personne physique abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement.
Parallèlement, l’article L.121-15-1 du code de la consommation, qui prévoit que « les publicités, et notamment les offres promotionnelles […] adressées par courrier électronique, doivent pouvoir être identifiées de manière claire et non équivoque dès leur réception » est complété par une disposition posant l’obligation d’indiquer une adresse ou un moyen électronique qui permet effectivement au destinataire de transmettre une demande visant à obtenir la cessation de ces publicités.
Cookies et notification : une procédure spéciale
Concernant la protection des données à caractère personnel, l’ordonnance prévoit, à l’article 38, une procédure spécifique de notification à la Cnil et à l’utilisateur en cas de « faille de sécurité ». Cet article s’applique aux traitements de données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.
Ainsi, le fournisseur de ces services est désormais astreint à l’obligation de notifier sans délai à la Cnil toute de violation de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.
Cet article impose également au fournisseur de services de communications électroniques d’informer l’intéressé lorsque la faille de sécurité porte atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique. Toutefois, la notification à l’intéressé n’est plus nécessaire en cas de constatation par la Cnil de mesures de protection appropriées mises en œuvre par le fournisseur pour rendre les données concernées par la violation incompréhensibles à toute personne non autorisée à y avoir accès. A défaut, la Commission peut mettre en demeure le fournisseur d’informer également les intéressés après avoir examiné la gravité de la violation.
Cookies et notification : un dispositif contraignant
Enfin, chaque fournisseur de services de communications électroniques tient à jour, à la disposition de la Cnil, un inventaire des violations de données à caractère personnel, ainsi que leur effet et les mesures pour y remédier. Le Conseil national du numérique (CNN) avait rendu, sur demande du gouvernement, un avis du 23 mai 2011 (2) considérant que ce dernier dispositif d’information de la Cnil en cas de faille de sécurité était plus contraignant que celui prévu par la directive.
A titre d’illustration, dans le texte de la directive, le fournisseur doit avertir « sans retard indu » l’intéressé, mention qui n’est pas fidèlement transposée dans l’ordonnance puisque la mention « sans délai », beaucoup plus contraignante, y est substituée. L’avis du Conseil national du numérique n’a donc pas été suivi par le Conseil des ministres puisque des mesures plus strictes que celles instaurées par la directive ont été adoptées.
(1) Ordonnance n° 2011-1012 du 24-8-2011 ; Rapport du 26-8-2011 ; Arcep, Avis n° 2011-0524 du 10-5-2011
(2) Avis du 23-5-2011