Article 1
Sur le champ d'application de la recommandation.
L'article 32-II de la loi du 6 janvier 1978 modifiée vise toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l'équipement terminal d'un abonné ou d'un utilisateur de service de communications électroniques, ou à inscrire des informations dans cet équipement.
Aussi, la présente recommandation s'applique à toutes les formes d'accès et d'inscriptions visées par l'article 32-II. Elle concerne donc les cookies HTTP, par lesquels ces actions sont le plus souvent réalisées. Mais elle a vocation également à s'appliquer à d'autres technologies (notamment, en l'état des connaissances actuelles, les local shared objets, appelés parfois les coolies « flash », les pixels invisibles ou « web bugs », les identifications par calcul d'empreinte du terminal ou encore des identificateurs cachés). Pour l'application de la présente recommandation, le mot cookie désigne l'ensemble des dispositifs visés par l'article 32-II.
Le fait que les informations (stockées et/ou consultées) soient ou non des données à caractère personnel au sens de la directive 95/46/CE n'est pas une condition préalable à l'application de l'article 5, paragraphe 3, de la directive 2002/58/CE. L'article 32-II précité s'applique donc dans les hypothèses où les informations précitées sont des données à caractère personnel et dans celles où elles ne sont pas des données à caractère personnel.
La commission relève toutefois que ces actions impliquent généralement le traitement de données à caractère personnel, parfois directement identifiantes (par exemple une adresse électronique), et souvent indirectement identifiantes (par exemple l'identifiant unique d'un cookie, une adresse IP, un identifiant du terminal ou d'un composant du terminal de l'utilisateur, le résultat du calcul d'empreinte dans le cas du « fingerprinting », ou encore l'identifiant généré par un logiciel ou un système d'exploitation).
Ainsi, compte tenu des risques qu'ils entraînent sur la vie privée, les cookies nécessitant une information et un consentement préalables de l'internaute sont notamment :
― les cookies liés aux opérations relatives à la publicité ciblée ;
― les cookies de mesure d'audience (à l'exclusion de ceux définis à l'article 6 de la présente recommandation) ;
― les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux ».
A l'inverse, certains cookies peuvent être déposés ou lus sans recueillir le consentement des personnes. Ce sont :
― les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ;
― les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur ;
― les cookies de mesure d'audience définis à l'article 6 de la présente recommandation.
La commission précise enfin que la présente recommandation s'applique aux cookies déposés et lus, notamment lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile, quel que soit le système d'exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou smartphone, une télévision connectée, une console de jeux vidéos connectée au réseau internet).
Article 2
Sur l'obligation d'information préalable et les modalités de recueil du consentement.
En application de la loi informatique et libertés, les cookies nécessitant un recueil du consentement ne peuvent être déposés ou jus sur son terminal tant que la personne n'a pas donné son consentement.
Le terme « accord » visé par l'article 32-II de la loi précitée correspond au « consentement » défini à l'article 2 (h) de la directive 95/46/CE, c'est-à-dire « toute manifestation de volonté, libre, spécifique et informée ».
La commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et n'est pas exposée à des conséquences négatives importantes si elle refuse de donner son consentement. Cette interprétation est partagée par le groupe des autorités de protection des données européennes, dit G29, dans son avis 15/2011 du 13 juillet 2011 sur la définition du consentement.
Elle estime donc justifié que la personne qui refuse un cookie nécessitant un consentement puisse continuer à bénéficier du service (accès à un site internet, par exemple).
La validité du consentement est liée à la qualité de l'information reçue. Celle-ci doit être visible, mise en évidence et complète. La commission recommande donc que l'information soit rédigée en des termes simples et compréhensibles pour tout utilisateur et permette aux internautes d'être parfaitement informés des différentes finalités des cookies déposés et lus. Elle considère que l'utilisation d'une terminologie juridique ou technique trop complexe ne répondrait pas à l'exigence d'une information préalable.
La commission souligne par ailleurs que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions conviviales et ergonomiques. La commission examinera in concreto la conformité à la loi des solutions retenues. Elle considère que l'acceptation de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.
Conformément à ces principes et après concertation avec les professionnels concernés, la commission recommande une procédure de recueil du consentement en deux étapes :
Dans la première étape, l'internaute qui se rend sur le site d'un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l'apparition d'un bandeau :
― des finalités précises des cookies utilisés ;
― de la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
― du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Dans la mesure où le consentement ne doit pas être ambigu, ce bandeau ne doit pas disparaître tant que la personne n'a pas poursuivi sa navigation, c'est-à-dire tant qu'elle ne s'est pas rendue sur une autre page du site ou n'a pas cliqué sur un élément du site (image, lien, bouton « rechercher »).
Ainsi, sauf consentement préalable de l'internaute, le dépôt et la lecture de cookies ne doivent pas être effectués :
― si l'internaute se rend sur le site (page d'accueil ou directement sur une autre page du site à partir d'un moteur de recherche, par exemple) et ne poursuit pas sa navigation : une simple absence d'action ne saurait être en effet assimilée à une manifestation de volonté ;
― s'il clique sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuse le dépôt de cookies.
Dans la seconde étape, les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement :
― pour l'ensemble des technologies visées par l'article 32-II précité ;
― par catégories de finalités, notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience.
La commission souligne que la mise en œuvre de ce dispositif, si elle est de nature à répondre aux exigences posées par l'article 32-II de la loi informatique et libertés, n'est pas exclusive d'autres modes plus renforcés de recueil du consentement,
Enfin, les personnes ayant donné leur consentement au dépôt ou à la lecture de certains cookies doivent être en mesure de le retirer à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que la personne puisse retirer son consentement aussi facilement qu'elle a pu le donner.
Article 3
Sur les obligations respectives des éditeurs de sites et des émetteurs de cookies.
La commission estime que, lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d'entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l'article 32-II précité.
La commission considère qu'il en est ainsi des éditeurs de sites internet (ou des éditeurs d'application mobile par exemple) et de leurs partenaires (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d'audience...). En effet, dans la mesure où les éditeurs de site constituent souvent l'unique point de contact des internautes et que le dépôt de cookies de tiers est tributaire de la navigation sur leur site, il leur appartient de procéder, seuls ou conjointement avec leurs partenaires, à l'information préalable et au recueil du consentement explicités à l'article 2 de la présente recommandation.
Par ailleurs, leurs partenaires déterminant les finalités du traitement (utiliser les informations collectées sur le comportement de navigation des internautes afin de constituer des profils et prendre des décisions relatives aux publicités qui seront affichées en fonction de ce profil, par exemple) et les moyens de ce dernier (utiliser des cookies, définir des algorithmes permettant de réaliser le profilage, etc.), ils ne peuvent pas être qualifiés de sous-traitants.
A cet égard, les émetteurs de cookies peuvent également mettre en place des modes d'information particuliers. A titre d'exemple, l'affichage d'icônes sur les bannières publicitaires peut permettre aux personnes de prendre connaissance de l'identité de la régie publicitaire qui traite leurs données et leur permettre d'entrer en contact avec elle pour exercer leurs droits. En cas de clic sur cette icône, les dispositions de l'article 32-II devront être respectées.
Article 4
Sur les paramètres du navigateur.
La commission rappelle que l'article 32-II précité précise que l'accord peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle.
Elle considère que le paramétrage du navigateur ne peut exprimer la manifestation d'un consentement que :
― si l'utilisateur a pu être en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les cookies ;
― et, s'il a été informé avant le dépôt ou la lecture de cookies, de leurs finalités et des moyens de s'y opposer.
La commission souligne que les paramètres du navigateur ne permettent pas, en l'état actuel de la technique, de gérer des technologies autres que les cookies HTTP. Elle considère qu'ils ne pourraient donc être regardés comme satisfaisants en cas d'utilisation d'autres technologies que les cookies HTTP, tels que les pixels invisibles, les cookies flash, ou les techniques de fingerprinting.
Enfin, certains navigateurs proposent également l'option « do not track » (DNT, pouvant être traduit par : « ne me tracez pas »). La commission considère que, lorsqu'un internaute décide d'activer une option de type « do not track », aucun profil ne devrait être réalisé sur cet internaute ni sur son terminal. Cette position a été reprise par le G29 dans son avis 04/2012 du 7 juin 2012 sur les cookies exemptés de consentement. La commission recommande donc, en cas d'activation de cette option, qu'aucune information ne soit collectée pour établir un profil de l'internaute et que ce dernier, comme son terminal, ne soient pas tracés.
Article 5
Sur les durées de vie des cookies.
Relevant que le consentement à être suivi peut être oublié par les personnes qui l'ont manifesté à un instant donné, la commission estime nécessaire de limiter dans le temps la portée de ce dernier.
Elle recommande que le délai de validité du consentement au dépôt des cookies soit porté à treize mois au maximum. A l'expiration de ce délai, le consentement devra être à nouveau recueilli.
En conséquence, les cookies doivent donc avoir une durée de vie limitée à treize mois après leur premier dépôt dans l'équipement terminal de l'utilisateur (faisant suite à l'expression du consentement) et leur durée de vie ne doit pas être prolongée lors de nouvelles visites sur le site.
Article 6
Sur le cas spécifique des cookies de mesure d'audience.
Un éditeur a besoin de mesurer l'audience de son site internet ou de son application. Des cookies sont fréquemment utilisés pour cette finalité et ces dispositifs peuvent, dans certains cas, être strictement nécessaires au service demandé par l'utilisateur et ainsi être exemptés du recueil du consentement. En effet, les statistiques de fréquentation permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou leur application ou encore d'organiser certains contenus.
Dès lors, la commission recommande que, pour pouvoir bénéficier de cette exemption au recueil du consentement, de tels traitements doivent respecter les conditions suivantes :
― la personne doit être informée ;
― elle doit disposer d'une faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs internet. Aucune information relative aux personnes ayant décidé d'exercer leur droit d'opposition ne doit être collectée et transmise à l'éditeur de l'outil d'analyse de fréquentation ;
― la finalité du dispositif doit être limitée à la mesure d'audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l'ergonomie du site ou de l'application. Les données collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple). L'utilisation du cookie déposé doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites internet ;
― l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. Cette adresse IP doit également être supprimée ou anonymisée une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d'autres informations personnelles ;
― s'agissant des cookies, ils ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire des cookies doivent être conservées pendant une durée de treize mois maximum.
Article 7
Sur les autres dispositions applicables.
La commission souligne que les autres dispositions de la loi du 6 janvier 1978 modifiée s'appliquent également lorsque des données à caractère personnel sont traitées, qu'elles soient directement ou indirectement identifiantes.
A cet égard, le droit d'accès et d'opposition doit pouvoir être exercé directement auprès de la régie publicitaire, du réseau social ou des éditeurs de solutions de mesure d'audience, lorsqu'ils détiennent des informations à caractère personnel directement ou indirectement identifiantes.
Les données doivent également être conservées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Enfin, les dispositions de l'article 8 de la loi du 6 janvier 1978 relatives aux données sensibles doivent être respectées. La commission souligne en effet que de nombreuses informations sensibles peuvent être collectées lors de la navigation des internautes. Compte tenu des risques particuliers d'atteinte à la vie privée en la matière et de la sensibilité de ces données, elle rappelle qu'une vigilance particulière doit être apportée lors du traitement de ces dernières.
La présente délibération sera publiée au Journal officiel de la République française.