Cookies et traceurs : un encadrement évolutif

Présent sur une grande majorité des sites internet, les fameux cookies ont mobilisé bon nombre de réflexions. Entre enjeux économiques et protection de la vie privée, l’encadrement de ces petits fichiers informatiques à fait l’objet de nombreuses évolutions. Ces dernières sont justifiées tant par la grande diversité de leur utilisation que par la mise en pratique des mécanismes de protection de données.

Un cadre légal et réglementaire

Depuis plus d’une vingtaine d’années maintenant, un texte encadre l’utilisation de ces cookies et autres traceurs. Transposée en droit interne à l’article 82 de la Loi Information et Liberté (LIL), la directive ePrivacy pose les fondations en la matière. Dès lors, l’article 5 conditionne son utilisation à la mise à disposition d’une information à la personne concernée ainsi qu’au recueil de son consentement. L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) a permis d’apporter des définitions harmonisées en la matière. Ainsi le consentement de l’utilisateur doit revêtir 4 conditions cumulatives, à savoir : Libre, Éclairé, Spécifique, Univoque. Ainsi, l’obligation de délivrer une information claire et complète sur le traitement de données réalisé participe activement à un consentement valide de la personne concernée. Le responsable de traitement n’est toutefois pas soumis au recueil du consentement dès lors que l’utilisation de ces cookies :

A pour finalité exclusive de permettre ou faciliter la communication par voie électronique

Ou, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur

Cependant, la réalisation pratique d’un encadrement légal a suscité un contentieux important et une adaptation tant de la part des autorités de contrôles nationales que des législateurs européens.

Une évolutions jurisprudentielles active

Les GAFAM ont largement participé à l’affinage de la jurisprudence en la matière. Les différents « échanges » qu’on pu avoir le Conseil d’État (CE 28 janv. 2022, n° 449209), la CNIL et Google ont permis d’établir un cadre précisant la manière dont l’information devait être fournie à l’utilisateur. Ainsi, la simple mention « en savoir plus » redirigeant vers une information plus complète ne suffit pas de sorte qu’il est nécessaire d’apporter, directement, les objectifs poursuivis par les cookies proposés. Une fois l’information rendue avec clarté, l’utilisateur doit alors pouvoir refuser de consentir aux traitements. Encore un fois, ce sont les géants du numérique qui nous ont éclairé à ce sujet. Afin de satisfaire à l’exigence de liberté du consentement, la CNIL a rappelé à des entreprises telles que Microsoft (n°SAN-2022-023) ou Facebook que l’utilisateur doit avoir la possibilité de refuser l’écriture de ces fichiers informatiques sur son terminal de manière aussi aisée que pour l’accepter. La société TikTok a également permis d’affiner la position de la CNIL (n°SAN-2022-027) à l’égard de la matérialisation du non-consentement de l’utilisateur. Le fait de ne pas faire disparaitre le bandeau d’information relatif aux cookies est de nature à perturber la personne concernée. Celle-ci inciterait donc les utilisateurs à accepter ces traceurs afin de pouvoir naviguer sans la présence d’une mention d’information permanente.

Une évolution réglementaire à suivre

Le projet de Règlement ePrivacy initié par la Commission européenne en 2017 fait l’objet, depuis sa proposition, de nombreux débats et réflexions ralentissant de manière significative son adoption. En effet, l’application d’un tel Règlement ne fait pas encore l’unanimité au sein des États membres. Au début de l’année 2021, les institutions de l’Union européenne se sont entendues sur une proposition commune mais qui reste, à l’heure actuelle, toujours en discussion. Ayant notamment pour objet d’harmoniser le cadre juridique en matière de communication électronique, ce nouveau Règlement devrait apporter bon nombre de précisions à l’égard de l’utilisation des cookies. Il devrait ainsi établir une position harmonisée au sein de l’ensemble de l’Union européenne, ce dont les divergences jurisprudentielles internes ne permettent pas de satisfaire.