Le terme « cookie » désigne les informations qui sont stockées sur le disque dur d’un internaute par le serveur du site visité. Le cookie lui-même contient plusieurs éléments (le nom du serveur, un identifiant, la date d’inscription voire d’expiration) qui permettent notamment de cibler la publicité en fonction de l’historique de la navigation ou bien de stocker d’autres informations tel que le contenu précis des achats sur internet. Plus généralement, le cookie permet au serveur de reconnaître un internaute lorsque celui-ci navigue sur internet.
C’est dans ce contexte que la CNIL (Commission Nationale de l’Informatique et des Libertés) a publié une recommandation pour encadrer cette pratique, certes légale mais trop peu règlementée. En effet, la principale disposition applicable est issue de la directive 2002/58/CE modifiée par la directive 2009/136/CE, transposée à l’article 32-II de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ces textes prévoient que le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées, ne sont possibles qu’avec le consentement préalable de l’utilisateur, sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service expressément demandé par l’abonné ou l’utilisateur.
Par conséquent, ces traceurs ne peuvent être stockés sur le terminal d’un internaute que si ce dernier y a préalablement consenti auprès des différents acteurs d’internet – les éditeurs de site, exploitants de site ou régies publicitaires. Cette obligation ne pèse pas sur tous les cookies mais concerne toutefois des traceurs très largement utilisés par les acteurs du web : ceux mis en œuvre pour la publicité ciblée, ceux des réseaux sociaux mis en œuvre par la commande « partage » des réseaux ainsi que certains cookies de mesure d’audience.
En revanche, une exemption à l’obligation de consentement préalable existe concernant les cookies dont l’objet exclusif est de permettre ou de faciliter la communication par voie électronique ou ceux nécessaires au but précis de l’internaute (par exemple les cookies liés à l’authentification pour la durée d’une session).
La recommandation délivrée par la CNIL le 17 décembre 2013 s’apparente à un guide de bonne conduite à l’attention des acteurs de l’internet et avait à cœur de combler les lacunes de la législation, qui plus est peu respectée car difficile à mettre en œuvre.
A cette fin, et pour faciliter l’interprétation des textes et inciter les acteurs d’internet à davantage les respecter, la CNIL recommande aux acteurs du Web de suivre deux étapes pour recueillir le consentement de leurs visiteurs virtuels. La première consiste à informer par l’apparition d’un bandeau l’internaute qui visite une page web pour la première fois de la finalité des cookies ainsi que de la possibilité de s’y opposer en mentionnant un lien dans le bandeau vers une page dédiée aux cookies permettant de paramétrer l’usage de cookies. Il doit également être indiqué que la poursuite de la navigation vaut consentement au dépôt des cookies.
Concernant la deuxième étape, il s’agit de mettre à la disposition des pour les visiteurs se rendant sur la page dédiée d’être informé sur des solutions à leur disposition pour accepter et refuser les cookies de « manière simple et intelligible ».
En tout état de cause, toujours dans le but de protéger l’internaute, l’accord donné par l’internaute expire au bout de 13 mois, durée qui ne peut pas être prolongée de manière implicite par de nouvelles visites sur les sites en question.
Ces précisions étaient nécessaires car les acteurs du Web ont longtemps refusé de se conformer aux dispositions communautaires et nationales de la directive européenne arguant de l’imprécision de la règle en question. Mais sont-elles suffisantes quand on sait que les utilisateurs lisent peu les messages générés automatiquement et qu’ils modifient très rarement leurs paramètres personnels ?