睦勝 Geek
Qui sait quand il faut combattre et quand il faut s'en abstenir sera victorieux.
[LEGISLATION] Directive Européenne sur les Cookies

[LEGISLATION] Directive Européenne sur les Cookies


Depuis quelques temps, vous avez pu apercevoir sur vos divers sites web préférés un bandeau vous signalant l'utilisation des cookies et vous demandant, de manière plus ou moins tacite, votre consentement pour en déposer sur votre navigateur.

Il s'agit en fait d'une obligation légale émise par la Commission Européenne sous la directive 2002/58/EC mise à jour par la directive 2009/136/EC et entrée en vigueur le 25 Mai 2011.

L'article 5(3) de cette directive stipule (page 20) que :

Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

Ce qui, en langue humaine, signifie que, avant de déposer ou de récupérer toute information sur un ordinateur, un téléphone mobile ou tout autre appareil, l'utilisateur doit donner son consentement.

Consentement, d'accord. Mais sous quelle forme ?

Le consentement explicite : Ce mécanisme exige que l'internaute valide par une action (un clic sur un lien ou un bouton) le dépôt de cookies relatifs au site qu'il est en train de visiter.

Le consentement tacite : Ce mécanisme part du principe que le simple fait de continuer à naviguer sur le site équivaut à donner son accord et dans certaines législations, le simple fait d'avoir des paramétré son navigateur pour accepter les cookies équivaut à consentement.

Le but est d'intensifier le droit à la vie privée de l'utilisateur et d'empêcher toute organisation d'obtenir des informations à l'insu de l'internaute.

A noter que cette loi concerne généralement tous les sites web dès lors qu'ils sont affichés sur un appareil situé sur le territoire européen, quel que soit le pays dans lequel le site est hébergé.

En pratique, cette directive doit être transposée dans les lois nationales de chaque état membre de l'Union Européenne.

Mais avant de faire le tour de l'Europe, qu'est-ce qu'un cookie ?

Un cookie (témoin de connexion en bon pratiquant de la langue de Molière) est un petit fichier informatique contenant une série d'informations (de toute nature) qui est déposé par un serveur chez un client. Il prend normalement la forme d'un fichier texte (ce n'est donc pas un programme exécutable, ce qui le rend théoriquement inoffensif) bien qu'il existe des variantes (cookies flash, silverlight...) qui prennent la forme de code informatique.

Ces informations peuvent servir plusieurs buts : statistiques de visites, rétention des informations d'un panier d'achat, rétention d'un mot de passe ou d'un identifiant de connexion, enregistrement de favoris...

Ils répondent à un certain nombres de critères et contiennent obligatoirement quelques attributs spécifiques : un nom ("hasConsent"), une valeur ("yes"), une date d'expiration ("1er Janvier 2015"), un chemin ("/Donnees-personnelles-et-Cookies"), un domaine ("www.musengeek.fr") sur lequel il est valable et une indication du type de connexion (chiffrée ou non)

Maintenant que nous avons le ventre plein, en route pour un tour d'Europe !

Allemagne

  • Implémentation : en cours (retardé).
  • Remarque : La directive n'a pas encore été adoptée mais il y a des chances que le texte soit adopté par le processus d'auto-régulation. Si c'est bien le cas, l'exigence légale sera probablement la même que celle de la Finlande (informer l'internaute qu'il a la possibilité de paramétrer son navigateur pour refuser les cookies)

Autriche

  • Implémentation : Amendement à la Loi sur les Télécommunications.
  • Entrée en vigueur : 22 Novembre 2011.
  • Consentement : Pas clair.
  • Exigence légale:
    • Informer l'internaute sur les différents types de données traitées, cookies compris. Ils peuvent être indiqués dans les Conditions Générales d'Utilisation ou dans un document relatif à la vie privée.
  • Remarque : Le consentement est exigé mais les modalités d'acceptation sont peu claires. Pour le moment, les amendements laissent entendre que le simple paramétrage de son navigateur équivaut à consentement.

Belgique

  • Implémentation : Amendement à la Loi sur les Communications Électroniques de 2005.
  • Entrée en vigueur : 23 Août 2013.
  • Consentement : Tacite.
  • Exigence légale:
    • Informer l'internaute sur l'utilisation des données recueillies par le site.

Bulgarie

  • Implémentation : Amendement à la Loi sur les Messages Électroniques.
  • Entrée en vigueur : 29 Décembre 2011.
  • Consentement : Tacite.
  • Exigence légale:
    • Permettre à l'internaute de refuser le dépôt des cookies explicitement.
    • Les données collectées doivent être détruites après expiration d'un délai à spécifier à l'internaute.

Chypre

  • Implémentation : Amendement à la loi de Régulation des Communications Électroniques et des Services Postaux.
  • Entrée en vigueur : 18 Mai 2012.
  • Consentement : Explicite.
  • Exigence légale:
    • L'utilisateur doit donner explicitement (par une action comme un clic sur un lien ou un bouton) son accord après avoir été informé de la manière et des buts du dépôt de cookies.

Danemark

  • Implémentation : Adoption verbatim du texte européen.
  • Entrée en vigueur : 14 Décembre 2011.
  • Consentement : Mixte.
  • Exigence légale:
    • Informer l'internaute sur l'utilisation des cookies et des éventuels cookies provenant de tiers (tracking publicitaire, analytics...) lors de sa première visite.
    • La note d'information doit, au choix :
    • Offrir la possibilité d'accepter et de refuser explicitement le dépôt des cookies.
    • Mentionner que le consentement est réputé tacite si l'internaute continue sa visite.
    • La note d'information doit mentionner de manière très visible et claire la notion de consentement ainsi qu'un lien vers une note reprenant la politique détaillée de l'utilisation des cookies sur le site.
    • La politique détaillée d'utilisation des cookies doit comporter un descriptif détaillé de la procédure à suivre pour empêcher le dépôt des cookies (opt-out).
    • La politique détaillée d'utilisation des cookies doit être accessible depuis n'importe quelle page du site (lien dans l'entête de page, dans le menu de navigation ou dans le pied de page par exemple), au même titre que les Conditions Générales d'Utilisation ou de la Charte de Protection de la Vie Privée)
  • Remarque : En Avril 2013, le Régulateur Danois des Telecommunications a mis à jour ses recommendations sur les règles danoises d'utilisation des cookies.

Espagne

  • Implémentation : Amendement à la Loi sur les Sociétés d'Information et le Commerce Électronique (34/2002) par Décret Royal 13/2012
  • Entrée en vigueur : 2 Avril 2012
  • Consentement : Tacite
  • Exigence légale:
    • Les cookies peuvent être déposés sur l'équipement de l'internaute dans la mesure où il a été informé de leur utilisation et plus particulièrement de leurs finalités.
    • Le consentement actif n'est pas obligatoire bien que les recommandations le préconisent mais il doit être conscient.
  • Remarque : La recommandation concernant le consentement est à la voie du consentement actif mais l'obtention tacite via le comportement de l'internaute (en gros, s'il continue à naviguer après avoir été informé) est acceptée.
  • Remarque 2 : Il est recommandé de fournir une page d'information sur les cookies séparément des CGU et de la Politique de Confidentialité.
  • Remarque 3 : L'utilisation de cookies de session (cookies qui expirent à la fin de la session d'utilisation de l'internaute) est vivement encouragée par opposition aux cookies persistants (qui expirent à une date future plus ou moins lointaine). Si l'utilisation de cookies persistants est nécessaire, leur durée de vie doit être réduite au minimum.

Estonie

  • Implémentation : Aucun changement de la loi locale (Loi sur les Communications Électroniques). Le Ministère des Affaires Économiques et des Communications estime que l'article 102 couvre déjà l'article 5(3) de la directive européenne.
  • Entrée en vigueur : 2005
  • Consentement : Tacite.
  • Exigence légale:
    • Informer l'internaute sur l'utilisation des cookies.
    • Offrir la possibilité de refuser le dépôt de cookies (aucune indication sur les mécanismes de refus)

Finlande

  • Implémentation : Amendement à la Loi sur la Protection de la Vie Privée dans les Communications Électroniques.
  • Entrée en vigueur : 25 Mai 2011.
  • Consentement : Tacite.
  • Exigence légale:
    • Informer l'internaute qu'il a la possibilité de refuser le dépôt de cookies en paramétrant son navigateur (aucune exigence concernant la façon de le faire).

France

  • Implémentation : Modification de l'Article 32-II de la loi du 6 Janvier 1978 par l'Ordonnance n°2011-1012 du 24 Août 2011
  • Entrée en vigueur : 27 Août 2011.
  • Consentement : Tacite.
  • Exigence légale:
    • Le consentement de l'internaute doit être obtenu AVANT de stockage (dépôt) d'informations sur son équipement ou l'accès à des informations déjà stockées sauf si ces actions sont STRICTEMENT nécessaires pour la délivrance du service expressément demandé par l'internaute (par exemple, un panier d'achat sur un site marchant...).
    • Si une finalité vient s'ajouter aux finalités initialement prévues, le consentement doit de nouveau être demandé.
    • Les cookies "flash", le résultat d'un calcul d'empreinte numérique, des pixels invisibles, tout identifiant généré par un logiciel sont considérés comme des cookies, au même titre que les cookies HTTP classiques.
    • Les cookies liés aux opérations relatives à la publicité ciblée, certains cookies de mesure d'audiences (en fait, presque tous) et les cookies de partage sur les réseaux sociaux sont concernés.
    • Le consentement n'est valable que pour une durée maximale de 13 mois.
    • L'internaute doit avoir la possibilité de refuser explicitement le dépôt des cookies.
    • L'internaute doit avoir réellement le choix. Le refus ne doit pas handicaper voire empêcher sa navigation.
    • Informer l'internaute sur l'utilisation (finalités) des cookies.
    • Obtenir le consentement de l'internaute pour chaque finalité d'un ensemble de cookies.
  • Remarque : La CNIL a mis sur son site un ensemble de notes explicatives et d'outils permettant de mettre son site en conformité. Vous y trouverez, notamment, des scripts à mettre en place si vous utilisez Google Analytics et un certain nombre d'informations sur vos obligations en tant qu'éditeur de sites web.
  • Remarque 2 : Évitez de vous faire attraper. L'amende peut atteindre 180 000€ par site.

Grèce

  • Implémentation : Amendement de l'article 4 Alinéa 5 de la Loi 3471/2006 par l'Article de 170 de la Loi 4070/2012.
  • Entrée en vigueur : ??
  • Consentement : Tacite.
  • Exigence légale:
    • Informer l'internaute qu'il a la possibilité de refuser le dépôt de cookies en paramétrant son navigateur (aucune exigence concernant la façon de le faire).
    • Les cookies relatifs à la provision du service sont exemptés.

Hongrie

  • Implémentation : Amendement à la Loi sur les Communications.
  • Entrée en vigueur : 3 Août 2011
  • Consentement : Tacite.
  • Exigence légale:
    • Informer clairement l'internaute sur l'utilisation des cookies, y compris leurs finalités.

Irlande

  • Implémentation : Auto-régulation
  • Entrée en vigueur : 1er Juillet 2011
  • Consentement : Tacite.
  • Exigence légale:
    • Aucune. L'information doit être aussi "user-friendly" que possible et là ou il est possible de le faire, le consentement est réputé donné à l'aide du paramétrage approprié de son navigateur.

Islande

  • Implémentation : en cours (retardé)
  • Remarque : Le gouvernement islandais a soumis au vote une proposition de loi au parlement en 2012 qui envisage l'adoption de la directive européenne. Cependant, la directive 2009/136/EC sur les cookies n'ayant pas été formellement adoptée dans l'accord d'adhésion à l'Union Européenne, l'implémentation a été retardée.

Italie

  • Implémentation : Adoption verbatim du texte européen.
  • Entrée en vigueur : Fin Mai 2012
  • Consentement : Tacite.
  • Exigence légale:
    • Informer clairement l'utilisateur, en particulier via le paramétrage de son navigateur ou de son application.
    • Le consentement n'est pas obligatoire pour les cookies permettant de fournir un service.
    • Le consentement n'est pas obligatoire pour les cookies de sessions.

Lettonie

  • Implémentation : Amendements à la Loi sur les Services des Sociétés d'Information.
  • Entrée en vigueur : 8 Juin 2011
  • Consentement : Explicite.
  • Exigence légale:
    • Le consentement de l'internaute doit être explicitement demandé et validé par une action de sa part.

Liechtenstein

  • Implémentation : en cours
  • Remarque : Aucune information n'est disponible... on dirait le secteur bancaire...

Lituanie

  • Implémentation : Amendements à la Loi sur les Communications Électroniques
  • Entrée en vigueur : 1er Août 2011
  • Consentement : Explicite.
  • Exigence légale:
    • Les cookies ne peuvent être déposés et lus qu'après réception du consentement explicite par une action de l'internaute et seulement après l'en avoir informé de manière claire et précise.
    • Le consentement n'est pas obligatoire si le cookie sert uniquement au bon fonctionnement du service.
    • Informer l'internaute sur la finalité de chaque type de cookies et obtenir son consentement pour chacun de ces types.
    • Les moyens d'obtenir le consentement de l'internaute peuvent être :
      • L'affichage d'une bannière en haut de page
      • L'affichage d'une pop-up
      • L'inscription au site. A noter que dans ce cas précis, l'ajout d'une mention dans les CGU ne suffit pas; il faut obtenir le renouvellement du consentement explicite.

Luxembourg

  • Implémentation : Adoption du texte européen le 28 Juillet 2001
  • Entrée en vigueur : 1er Septembre 2011
  • Consentement : Tacite.
  • Exigence légale:
    • Informer l'internaute avant toute utilisation de cookie.

Malte

  • Implémentation : Régulation par la Circulaire 239 de 2011.
  • Entrée en vigueur : NON
  • Consentement : Tacite.
  • Exigence légale:
    • Aucune

Norvège

  • Implémentation : en cours
  • Entrée en vigueur : NON
  • Remarque : Le gouvernement norvégien a émis une proposition d'amendement sur la loi relative aux cookies qui devait entrer en vigueur durant l'été 2013 mais à ce jour, ce n'est toujours pas le cas.

Pays-Bas

  • Implémentation : Article 11.7a de la Loi sur les Télécommunications.
  • Entrée en vigueur : 5 Juin 2012.
  • Consentement : Explicite.
  • Exigence légale:
    • Le consentement de l'internaute doit être obtenue avant tout dépôt ou lecture de données stockées sur son équipement.
    • Une exemption existe pour les cookies strictement nécessaires au bon fonctionnement du service.
  • Remarque : La loi néerlandaise est très stricte sur la définition de données personnelles. Toute information collectée sur des sites marchands via des cookies sont considérées comme des données personnelles et requiert un consentement actif de l'internaute pour être utilisée ou une preuve formelle que ce ne sont pas des données personnelles.

Pologne

  • Implémentation : Amendement à la Loi sur les Télécommunications
  • Entrée en vigueur : 22 Mars 2013
  • Consentement : Tacite
  • Exigence légale:
    • Informer l'internaute de l'utilisation des cookies.
    • Les cookies nécessaires au bon fonctionnement du service offert par le site ne font pas l'objet d'une demande de consentement.
  • Remarque : Les deux sites de régulation polonais ont choisi d'informer l'internaute par un bandeau.
  • Remarque 2 : Le Ministère de l'Administration et du Numérique s'est positionné en faveur du recueil du consentement de l'internaute via le paramétrage du navigateur (il faut donc informer l'internaute sur la marche à suivre pour paramétrer son navigateur s'il souhaite refuser le dépôt de cookies)
  • Remarque 3 : la site FFW a publié un article relative à la Loi sur les Cookies en Pologne.

Portugal

  • Implémentation : Amendement de la Loi n°41/2004 par la Loi n°46/2012 du 29 Août 2012
  • Entrée en vigueur : 30 Août 2012
  • Consentement : Tacite
  • Exigence légale:
    • Le consentement de l'internaute est nécessaire avant tout dépôt ou accès à toute information sur son équipement.
    • Informer l'internaute clairement sur l'utilisation et les finalités des cookies

République Tchèque

  • Implémentation : Aucun changement de la loi locale (Loi sur la Vie Privée) déjà en vigueur.
  • Entrée en vigueur : 1er Janvier 2012.
  • Consentement : Tacite.
  • Exigence légale:
    • Informer l'internaute sur l'utilisation des cookies.
    • Permettre à l'internaute de refuser le dépôt de cookies.

Roumanie

  • Implémentation : Amendement à la Loi n°506/2004 par l'Ordonnance n°13/2012
  • Entrée en vigueur : 26 Avril 2012
  • Consentement : Tacite
  • Exigence légale:
    • Informer l'internaute sur l'utilisation et la finalités des cookies.
    • Recueillir son consentement :
      • Soit de manière explicite par une action de l'internaute
      • Soit de manière implicite via le paramétrage du navigateur
  • Remarque : Si le consentement est obtenu implicitement, l'Autorité de Protection des Données Roumain cherchera à déterminer si l'internaute a bien été informé et qu'il est bien conscient d'avoir accepter le dépôt de cookies.

Royaume-Uni

  • Implémentation : Régulations sur la Vie Privée et les Communications Électroniques de 2011
  • Entrée en vigueur : 26 Mai 2011
  • Consentement : Tacite
  • Exigence légale:
    • Le consentement peut être obtenu via le paramétrage du navigateur (inscrit dans la loi) bien que l'ICO (Information Commissioner's Office), qui est l'équivalent de la CNIL française, ait indiqué l'insuffisance de ce mode de consentement.
    • Le consentement tacite ne peut cependant être valide que si l'internaute a été informé sur toutes les finalités et les conséquences du dépôt de cookies.
  • Remarque : L'ICO recommande vivement d'obtenir le consentement actif de l'internaute.
  • Remarque 2 : L'ICO a indiqué en Avril 2013 qu'elle ferait la chasse aux sites qui ne feraient rien pour avertir l'internaute ou qui ne chercheraient pas à obtenir le consentement de l'internaute.
  • Remarque 3 : Par le même communiqué, l'ICO a indiqué que les sites les plus visités, ainsi que les sites pour lesquels elle recevrait le plus de plaintes font également l'objet d'une surveillance accrue.
  • Remarque 4 : La peine encourrue est la plus élevée d'Europe avec une amende pouvant s'élever à 500 000£ par site.

Slovaquie

  • Implémentation : Amendements à la Loi sur les Communications Électroniques adoptés le 1er Juin 2011 par le Parlement
  • Entrée en vigueur : 1er Octobre 2011
  • Consentement : Tacite
  • Exigence légale:
    • Le consentement peut être obtenu par le simple paramétrage du navigateur de l'internaute
    • Informer l'internaute de l'utilisation des cookies et de la possibilité de les refuser en changeant les paramètres de son navigateur.

Slovénie

  • Implémentation : Loi sur les Communication Électroniques (nouvelle loi ZEKom-1)
  • Entrée en vigueur : 15 Janvier 2013
  • Consentement : Tacite
  • Exigence légale:
    • Informer l'internaute sur l'utilisation et la finalité des cookies et des données qui sont collectées.
    • Les cookies servant à assurer le bon fonctionnement du service proposé par le site en sont exemptés dans la mesure où l'internaute est venu expressément demander ce service.

Suède

  • Implémentation : Changements dans la Loi sur les Télécommunications
  • Entrée en vigueur : 1er Juillet 2011
  • Consentement : Tacite
  • Exigence légale:
    • En l'état actuel des choses, le consentement est réputé acquis si le navigateur de l'internaute est paramétré pour accepter les cookies
  • Remarque : Cette règle pourrait changer (discussions sur la régulation en cours). Certaines autorités ont choisi d'anticiper en informant d'ores et déjà l'internaute sur l'utilisation des cookies et d'autres ont même mis en place une procédure de consentement actif.

A propos de Young Sun TAN :

Young Sun TAN est un geek webophile, technophile, bidouilleur et gourmet.

Sur la toile depuis 1995 avec sa première page web (une biographie de Beaumarchais pour le compte du collège Beaumarchais de Paris), il revendique une identité de "digital native". Après une Terminale S au Lycée Louis-le-Grand à Paris et un Master en Informatique option Ingénierie Informatique - Systèmes d'Information, il a entamé une carrière d'analyste web et est désormais Project Leader pour le Groupe Lagardère. Il compte parmi ses réalisations les sites de Celebrity Cruises, Royal Caribbean ainsi que Gulli, Canal J, Tiji et Europe 1.

Menant un veille constante sur les évolutions du web et du développement, son expertise couvre le PHP-MySQL, le framework jQuery ainsi que le CMS eZPublish et Symfony pour lequel il a une affection toute particulière.

Côté détente, il affectionne tout particulièrement les bonnes tables et les bons plans foodista. Bien que la street food occupe une place de premier choix dans son cœur ventre, il n'est pas allergique à une excursion gastronomique ou bistronomique.

Retrouvez Young Sun TAN sur :