Du bon usage des cookies : statistiques de fréquentation et respect du consentement.
La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée en 2009 par la directive 2009/136/CE (1), subordonne dans son article 5, le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur au consentement de l’utilisateur.
La France a transposé ces dispositions par une ordonnance d’août 2011 (2).
L’adoption de ces dispositions au niveau européen a fait l’objet de longs débats. Ces débats se sont et continuent de se poursuivre au niveau national, en raison des incidences et des contraintes que ces dispositions imposent aux acteurs de l’internet et du risque qu’elles créent pour le développement de l’économie numérique. En effet, les professionnels redoutent que la mise en œuvre de ces dispositions nuise fortement à l’activité numérique.
Les professionnels, membres de l’UFMD, et certains de leurs partenaires, viennent de gagner une première bataille : celle des cookies d’analyse et de statistiques de la fréquentation de sites.
En effet, la Cnil, 15 jours après la publication de ce guide, a modifié sa communication de novembre 2011 sur les cookies pour préciser sa position concernant les cookies d’analyse et de statistiques de fréquentation des sites internet.
En effet, si une interprétation stricte de l’article 32 II de la loi Informatique et libertés plaide en faveur d’une application de l’obligation de recueil du consentement pour les cookies d’analyse et de statistiques de fréquentation des sites internet, confirmée d’ailleurs par les premières analyses effectuées par la Cnil, il apparaît que cette dernière semble adopter une position équilibrée, conciliant la protection de la vie privée des utilisateurs et le recours quasi systématique de ce type d’outils sur internet.
Dans sa fiche pratique, mise à jour le 28 avril 2012, intitulée « Ce que le « Paquet Télécom » change pour les cookies », la Cnil, en raison de la finalité de ces cookies et du risque limité qu’ils font encourir à la vie privée, a fait part de sa position « de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées ».
Cependant, elle soumet cette exemption à certaines conditions particulières en termes d’information, de droit d’accès, de droit d’opposition, de finalité et de durée de conservation. Concernant l’adresse IP, la Cnil précise en outre que « l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville ». Elle doit également être supprimée ou anonymisée, « une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ».
Si cette position peut laisser songeur le juriste, en revanche le professionnel de l’internet ne peut que se féliciter de cette position de la Cnil, qui crée un équilibre entre les intérêts en présence.
Cependant, il conviendra de surveiller la position du groupe de l’article 29 et des tribunaux, comme l’y invite la Cnil. Affaire à suivre donc…
(1) Directive 2009/136/CE du 25-11-2009
(2) Ordonnance n° 2011-1012 du 24-8-2011