Téléchargez ici notre livre blanc
Transcription
Téléchargez ici notre livre blanc
Directive européenne “vie privée et communications électroniques”: clés pour une meilleure compréhension Sommaire Avant-propos ______________________________________________________________ 1 Introduction _______________________________________________________________ 2 1. Perception de la directive européenne « vie privée et communications électroniques » ou directive « cookies » par le marché et les consommateurs ________ 3 2. Concepts fondamentaux __________________________________________________ 7 2.1 Exceptions à l’obligation d’obtention du consentement préalable ______________________ 9 2.2 Responsabilité de la mise en conformité _________________________________________ 10 3. Consentement _________________________________________________________ 10 3.1 Consentement implicite versus consentement explicite _____________________________ 11 4. Suggestions concrètes à l’intention de toute personne ou société désireuse de se mettre en conformité _______________________________________________________ 12 4.1 Réalisation d’un audit des cookies ______________________________________________ 12 4.2 Obligation d’information _____________________________________________________ 14 4.3 L’obtention du consentement dans la pratique ____________________________________ 16 Consentement via pop-ups et méthodes similaires ____________________________________ 16 Consentement via les paramètres du navigateur _______________________________________ 17 Autres moyens potentiels d’obtenir le consentement___________________________________ 18 4.4 Modification ou révocation du consentement _____________________________________ 19 4.5 Alternatives aux cookies _____________________________________________________ 19 4.6 Cookies et données à caractère personnel________________________________________ 19 5. Application et sanctions _________________________________________________ 21 6. Synthèse ______________________________________________________________ 22 7. Foire aux questions (FAQ) _______________________________________________ 23 8. Informations complémentaires____________________________________________ 24 À propos de l’auteur _____________________________________________________________ 24 9. Pourquoi affilinet utilise-t-il des cookies ? ________________ Erreur ! Signet non défini. 10. Principes de fonctionnement de la technologie de tracking d’affilinet __ Erreur ! Signet non défini. 10.1 Flux utilisateur ________________________________________ Erreur ! Signet non défini. 10.2 Définition de cookie ____________________________________ Erreur ! Signet non défini. 10.2.1 Cookies de session versus cookies permanents ____________ Erreur ! Signet non défini. 10.2.2 Cookies propriétaires et cookies tiers ______________________ Erreur ! Signet non défini. 10.2.3 Classification des cookies d’affilinet _______________________ Erreur ! Signet non défini. Cookies strictement nécessaires ________________________________ Erreur ! Signet non défini. Cookies de performance_______________________________________ Erreur ! Signet non défini. Cookies de fonctionnalité ______________________________________ Erreur ! Signet non défini. Cookies de ciblage ou cookies publicitaires ________________________ Erreur ! Signet non défini. 11. Réalisation d’un audit des cookies ______________________ Erreur ! Signet non défini. 12. Caractéristiques des cookies affilinet ____________________ Erreur ! Signet non défini. Avant-propos Depuis 2011, la législation dite "loi cookies" connaît un fort retentissement médiatique. Initiée dans le cadre d’un autre débat public portant sur l’omniprésence de la publicité comportementale en ligne (OBA en anglais), la Commission européenne a jugé nécessaire d’intervenir et de réglementer le segment spécifique du marché de la publicité en ligne. Toutefois, lorsqu’en 2009 la Commission européenne a publié une nouvelle directive modifiant la directive « vie privée et communications électroniques » de 2002, les implications de cette directive ont été bien au-delà de la seule OBA. En vérité, elles exercent désormais un impact significatif sur l’avenir de la publicité en ligne et du e-commerce. Une fois la modification ratifiée par la Commission, les gouvernements européens ont eu jusqu’au 25 mai 2011 pour transposer les modifications en droit national. Même si la plupart des pays d’Europe occidentale dans lesquels affilinet est présente ont également mis en œuvre la directive, à l’exception à ce jour (août 2012) de l’Allemagne, du Portugal et de l’Italie, le Royaume-Uni et les Pays-Bas constituent les exemples les plus notables. Le Royaume-Uni est l’un des premiers pays à avoir montré l’exemple en adoptant en 2011 le règlement relatif à la vie privée et aux communications électroniques (directive CE) (modification). En mai 2012, les Pays-Bas ont transposé la directive par la loi néerlandaise sur les télécommunications. Bien qu’ils se basent tous deux sur la même directive européenne, ces deux textes législatifs font état de différences substantielles. Ces différences, ainsi que celles constatées entre les autres lois de transposition, seront examinées brièvement dans le présent document. Ce livre blanc offre un point de vue paneuropéen sur l’état actuel de la mise en œuvre de la directive « vie privée et communications électroniques », lequel point de vue se focalise notamment sur la législation de mise en œuvre des Pays-Bas et du Royaume-Uni, mais également sur celle d’autres pays lorsque cela s’avère pertinent. Il s’appuie sur l’exemple actuel de meilleure pratique que constitue la publication du Bureau du Commissaire à l’information britannique (ICO) « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3. Cette vue d’ensemble, qui ne constitue en aucun cas un avis juridique, est divisée en étapes pratiques qui ont vocation à vous aider à vous mettre en conformité sur tous les marchés européens sur lesquels vous êtes actif. Nous espérons qu’elle vous sera d’une grande utilité ! Pour de plus amples renseignements, n’hésitez pas à me contacter directement ! Chris R. Hauth Directeur de la stratégie et du développement, affilinet [email protected] affilinet EU Cookie Law Whitepaper FR Page 1 Introduction Points abordés dans le cadre du présent document • Nous vous présenterons dans un premier temps les conclusions d’une étude incisive qui montre le niveau de compréhension actuel des consommateurs en matière de cookies. • Nous nous attacherons dans un second temps à définir les concepts clés utilisés dans le présent document. • Les nouvelles exigences de la directive européenne seront ensuite présentées sous une forme facile à appréhender. • Nous examinerons également la portée de la directive, qui elle vise et la manière dont entreprises et citoyens peuvent se mettre en conformité. • Nous nous pencherons par ailleurs sur ce qui a déjà été fait au Royaume-Uni et aux Pays-Bas et donnerons des indications sur les autres transpositions significatives. • Nous conclurons en précisant les modalités d’application de la loi dans les pays ayant déjà transposé la directive en droit national. • Vous trouverez également à la fin du document une rubrique "Foire aux questions" très utile qui devrait répondre à la plupart de vos interrogations. affilinet EU Cookie Law Whitepaper FR Page 2 1. Perception de la directive européenne « vie privée et communications électroniques » ou directive « cookies » par le marché et les consommateurs Au cours de la phase transitoire précédant la transposition en droit national de la directive européenne « vie privée et communications électroniques » (2009/136/CE), des efforts considérables ont été déployés en matière de recherche par bon nombre d’organisations privées ou gouvernementales afin de justifier l’histoire de cette directive. Alors que d’aucuns essayaient de prouver que la compréhension limitée des consommateurs en matière de cookies exigeait une approche réglementaire plus détaillée, d’autres souhaitaient mettre en En bref : étude PWC évidence que le consommateur est bien plus averti que ne le pensent les sur les cookies hommes politiques. Au Royaume-Uni, le ministère de la culture, des médias et du sport a chargé PricewaterhouseCoopers LLP (PwC) de mener une étude sur Les personnes considérées pour la plupart comme des utilisateurs actifs. 37 % C’est le pourcentage des personnes interrogées qui ont déjà entendu parler des cookies Internet mais qui ne savent pas comment les utiliser. Les résultats montrent que même les internautes les plus avertis ont une compréhension limitée des cookies et de la manière de les gérer. Les personnes utilisant l’Internet moins régulièrement ou ayant moins de connaissances techniques sont encore moins susceptibles de comprendre le mode de fonctionnement des cookies et la manière de les gérer. Le rapport conclut que : « […] Un niveau d’éducation des consommateurs plus élevé en matière de principes fondamentaux de protection de la vie privée en ligne… contribuerait grandement à ce que les utilisateurs se sentent plus à l’aise en ligne et leur permettrait également d’exercer un plus grand contrôle sur leur vie privée lorsqu’ils surfent sur Internet… Les sociétés en ligne devront faire évoluer leurs systèmes de collecte de données et faire preuve d’une plus grande transparence afin de mettre en évidence les avantages du consentement préalable pour le consommateur. » (Source : Recherche sur la compréhension du consommateur, la gestion des cookies Internet et l’impact potentiel du cadre européen des communications électroniques. PwC, 2011) affilinet EU Cookie Law Whitepaper FR En bref : étude PWC sur les cookies Page 3 Figure 1 – étude sur la compréhension des cookies par les consommateurs Source : eConsultancy, mai 2012, http://econsultancy.com/de/reports/eu-cookie-law-theconundrum-in-numbers, 1500 personnes interrogées 69 % Oui, je sais ce qu’est un cookie en ligne. 73 % Oui, je configure régulièrement les paramètres des cookies sur mon navigateur. 23 % Oui, je cliquerais sur "autoriser" pour accepter les cookies d’un site Internet. 50 % Oui, j’utiliserais un autre site si un site ne fonctionnait pas normalement. 13 % C’est le pourcentage de personnes affirmant avoir parfaitement compris le mode de fonctionnement des cookies.Si nous ne remettons pas en cause l’hypothèse générale de cette enquête selon laquelle les utilisateurs n’ont qu’une connaissance limitée des cookies, une étude similaire diverge cependant dans ses conclusions. eConsultancy a réalisé en mai dernier auprès d’utilisateurs mais également de marketers en ligne une autre enquête dont les résultats s’avèrent paradoxalement totalement différents de ceux de l’étude réalisée par PWC. Figure 2 – ce que pensent les marketers de la loi « cookies » européenne Source : eConsultancy, mai 2012, http://econsultancy.com/de/reports/eu-cookie-law-theconundrum-in-numbers, 700 personnes interrogées 93 % Oui, je pense que l’utilisateur moyen n’a aucune idée de ce qu’est un cookie. 57 % Oui, j’ai lu la directive européenne « vie privée et communications électroniques ». 18 % Oui, je pense que c’est une évolution positive pour le web. 54 % Oui, j’ai déjà réalisé un audit des cookies. Dans l’étude eConsultancy, la perception des cookies sur le marché est bien plus avancée que dans l’étude de PWC. Même si ces dernières ne sont pas directement comparables dans la mesure où aucune ne définit clairement les sous-ensembles d’utilisateurs, ces études montrent que la affilinet EU Cookie Law Whitepaper FR Page 4 compréhension du fonctionnement de base de l’Internet chez le consommateur final est beaucoup plus hétérogène que ne le voudraient les hommes politiques et les marketers. L’étude réalisée par eDigitalResearch/IMG offre une autre vision de l’opinion des consommateurs. Axée également sur le Royaume-Uni, cette dernière se focalise davantage sur la mise en œuvre Figure 3 – ce que pensent les consommateurs de la loi « cookies » européenne Source : eDigitalResearch / IMG avril 2012, http://www.edigitalresearch.com/news/item/nid/547500445, 2.000 personnes interrogées 25 % Oui, j’ai déjà entendu parler de la loi « cookies » européenne avant l’enquête. 89 % Oui, je pense qu’il s’agit d’une avancée positive pour le client. 79 % Oui, je pense que des changements sont nécessaires afin d’améliorer les onnaissances de l’opinion publique en matière de cookies. 23 % Oui, je suis d’accord pour que les sites Internet utilisent des cookies afin d’améliorer ma navigation. actuelle de la directive européenne. Nous partageons l’avis de Graham Charlton de eConsultancy1 concernant l’interprétation de cette étude, lequel estime que s’il est difficile de prendre du recul par rapport à ces chiffres et aux questions posées, cette étude souligne toutefois la confusion qui règne dans l’opinion publique au sujet des cookies. Si les termes "cookies" et "vie privée" ou "tracking" et "vie privée" développent une attitude critique chez le consommateur, ce ne sont pas tant la question et la façon dont elle a été posée qui devraient nous inquiéter que le fait que l’industrie laisse cette situation se produire. Du point de vue du consommateur et de l’étude de marché, nous devons donc considérer cette situation comme une chance d’améliorer la perception du public à l’égard des cookies ou des technologies de tracking en ligne plutôt que comme une question juridique. Il convient en parallèle que nous participions activement, aux côtés des régulateurs, à la prise de décisions prenant clairement en compte les intérêts du consommateur ET de l’industrie. La directive européenne « vie privée et communications électroniques » ayant malheureusement fait la part belle au seul consommateur, il nous faut maintenant nous battre pour nous faire entendre. 1 Source : http://econsultancy.com/de/blog/9819-89-of-uk-consumers-think-the-eu-cookie-law-is-a-positivestep-but-is-it# affilinet EU Cookie Law Whitepaper FR Page 5 Dans les chapitres suivants, nous tenterons de vous familiariser avec les principaux concepts de la directive européenne « vie privée et communications électroniques » tout en dressant un tableau de l’état actuel des mises en œuvre et débats dans les pays européens dans lesquels affilinet est implantée (DE, FR, UK, ES, IT, AU, NL, PT). affilinet EU Cookie Law Whitepaper FR Page 6 2. Concepts fondamentaux Les concepts fondamentaux recoupent en partie les termes clés utilisés dans la directive « vie privée et communications électroniques ». Au Royaume-Uni, l’ICO a également établi une liste des termes les plus couramment utilisés, laquelle sert de base au tableau ci-dessous. Figure 4 – directive « vie privée et communications électroniques » : concepts fondamentaux Que sont les cookies ? Les cookies sont de petits fichiers texte qui sont stockés par le navigateur sur votre ordinateur. Les cookies ont plusieurs fonctions. Ils permettent notamment de transmettre des informations d’une page à l’autre, de mémoriser certains paramètres ou encore d’effectuer certaines actions. Le directive européenne s’applique à toutes les méthodes de stockage et d’accès à des informations stockées dans l’équipement terminal d’un utilisateur. Seront collectivement désignés sous le terme de cookies dans le présent document les cookies de navigateur classiques, les objets partagés locaux (communément appelés "cookies flash") et toute autre méthode. Cookies propriétaires versus cookies tiers Un cookie est dit "propriétaire" ou "tiers" en fonction du site Internet ou du domaine qui le dépose. Les cookies propriétaires peuvent être déposés par le site visité par l’utilisateur. Les cookies tiers sont les cookies déposés par un autre domaine que celui visité par l’utilisateur. Lorsqu’un utilisateur visite un site et qu’une société distincte dépose un cookie sur son ordinateur à partir d’un domaine différent, le cookie est un cookie tiers. Cookies de session versus cookies permanents Les cookies de session permettent aux sites Internet de relier entre elles les actions d’un utilisateur au cours d’une session de navigation. Ils sont principalement utilisés dans le cadre de l’authentification et évitent à l’utilisateur de ressaisir ses mots de passe à chaque chargement de page. Ces cookies expirent à la fin d’une session de navigation, c’est pourquoi ils peuvent être considérés comme moins intrusifs que les cookies permanents. Les cookies permanents sont stockés sur l’ordinateur de l’utilisateur au-delà d’une session de navigation, ce qui permet de mémoriser les préférences ou actions de l’utilisateur. Les cookies permanents peuvent être utilisés à diverses fins telles que la mémorisation des préférences et choix de l’utilisateur sur un site ou pour de la publicité ciblée. Tout comme les cookies de session, les cookies permanents sont toutefois normalement supprimés au bout d’un certain laps de temps. Équipement terminal L’équipement terminal désigne l’appareil sur lequel est déposé le cookie, qu’il s’agisse d’un ordinateur de bureau ou d’un appareil portable. Abonnés versus utilisateurs Un "utilisateur" désigne tout individu qui utilise un service public de communications électroniques. Dans le présent contexte, le terme d’utilisateur renvoie à la personne assise devant un ordinateur ou utilisant un appareil portable. L’abonné quant à lui paye la connexion Internet de l’appareil en question. Source : ICO « Guidance on the rules on use of cookies and similar technologies », affilinet affilinet EU Cookie Law Whitepaper FR Page 7 Statu quo de la réglementation Depuis 2002, toute personne utilisant des cookies est tenue, ainsi que le prévoit le vingt-cinquième considérant des dispositions générales de la directive européenne « vie privée et communications électroniques » (Directive 2002/58/CE) de fournir des informations claires à leur sujet. Cette Figure 5 – état actuel des mises en œuvre Source: Internet World Business 17/12, DLA Piper, IAB Europe, affilinet research directive a été modifiée en 2009 par la directive 2009/136/CE. Si la plus grande partie du contenu de 2002 reste inchangée, des améliorations considérables ont toutefois été apportées dans un certain nombre de domaines spécifiques. Les législateurs nationaux disposaient de deux ans pour mettre affilinet EU Cookie Law Whitepaper FR Page 8 en œuvre la directive au niveau national (jusqu’à mai 2011). La plupart des pays disposaient d’un délai supplémentaire d’un an au terme duquel la loi nationale entrerait en vigueur. C’est la raison pour laquelle la plupart des lois de transposition ont commencé à entrer en vigueur fin 2011 ou début 2012. La directive révisée oblige non seulement à fournir des informations claires sur les cookies mais également à obtenir le consentement des utilisateurs ou abonnés pour le stockage ou l’accès à des cookies déjà stockés sur leur appareil (cf. article 25 des dispositions générales de la directive 2002/58/CE et l’article 28 des dispositions générales de la directive 2009/136/CE. L’article 5, paragraphe 3, de la nouvelle directive européenne dispose clairement que : « […] le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que : • L’abonné ou l’utilisateur ait donné son accord, • Après avoir reçu une information claire et complète […] sur les finalités du traitement » Cette formulation très détaillée souligne déjà l’objectif de la Commission européenne, à savoir offrir une plus grande transparence pour l’utilisateur en ce qui concerne la finalité des méthodes actuelles de tracking, telles que les cookies, utilisées dans l’univers du e-commerce et de la publicité en ligne. 2.1 Exceptions à l’obligation d’obtention du consentement préalable En outre, l’article 5, paragraphe 3, tel que modifié, ne fait pas obstacle à un stockage ou à un accès technique, dès lors que l’utilisation d’un cookie : • vise exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou • est strictement nécessaire au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur. L’article 1, paragraphe 2, de la directive 98/34/CE telle qu’amendée par la directive 98/48/CE, entend par « service de la société de l’information »… « […] tout service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services. […] » Source : Directive 98/48/CE . Au Royaume-Uni, l’ICO donne l’exemple suivant de cookie strictement nécessaire : « Cette exception est susceptible de s’appliquer lorsqu’un cookie est utilisé afin de "garder en mémoire" ce qu’un utilisateur a sélectionné précédemment lorsqu’il clique sur "ajouter au panier" ou "valider ma commande" après avoir sélectionné les articles qu’il souhaite commander. Ce cookie étant strictement nécessaire pour fournir le service demandé par l’utilisateur (de la sélection des articles à la validation de la commande), l’exception s’appliquerait et aucun accord ne serait requis. Les régulateurs n’ignorent pas que certaines parties ont fait valoir que les cookies sont nécessaires pour gérer les ressources IT et organiser la capacité, ainsi que pour le fonctionnement général des sites internet. Le problème réside dans le fait que cet argumentaire pourrait tout aussi bien être appliqué aux cookies publicitaires et aux cookies marketing (dont les activités contribuent au financement des sites). Comme la législation visait clairement à faire de cette exception une exception étroite, les régulateurs s’efforcent de se conformer à l’approche suivie. » Source : ICO « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3, p. 12 Un certain nombre d’autres États membres de l’UE, tels que les Pays-Bas, l’Espagne et la France, doivent encore se prononcer sur les exceptions à la règle. Les Pays-Bas ont publié en août 2012 une Foire aux questions (FAQ) recensant les questions les plus pressantes concernant la mise en œuvre de la directive au niveau national, laquelle laisse encore toutefois une grande place à l’interprétation. Sauf indication contraire, nous devrions tous admettre que cette exception doit être affilinet EU Cookie Law Whitepaper FR Page 9 interprétée dans son sens le plus strict. Il ne reste plus qu’à espérer que d’autres régulateurs européens suivront l’exemple britannique et contribueront à interpréter la législation en donnant davantage d’orientations spécifiques et d’exemples. 2.2 Responsabilité de la mise en conformité La directive ne définit pas à qui doit incomber la responsabilité de fournir les informations relatives au stockage de données ou à l’accès à des données déjà stockées sur le terminal. Toutefois, dès lors qu’une personne offre un service en ligne et exploite des données à caractère personnel à cet effet, il est évident que cette personne est tenue de respecter les dispositions de ce règlement. La partie qui stocke et accède aux données est responsable au premier chef du respect de la réglementation. Lorsqu’une technologie de tiers est associée à une application web ou native (telle que la publicité affilinet), les deux parties ont la responsabilité de veiller à ce que les utilisateurs soient clairement informés sur l’utilisation de leurs données et d’obtenir leur accord. Dans la pratique, il est de toute évidence beaucoup plus difficile pour un tiers qui n’a pas d’interface directe avec l’utilisateur de remplir ses obligations2. Quoique tous les pays concernés ne l’aient pas encore explicitement reconnu, il est probable que l’opposition entre cookies "propriétaires" et cookies "tiers" reste toute théorique. Les discussions que nous avons pu avoir avec les organismes du secteur et des juristes font ressortir que l’utilisateur est le point de référence par excellence. L’utilisateur ne pouvant présumer qu’en visitant un site, un cookie sera installé par un autre domaine, il est donc amené à supposer que le cookie est installé par le site qu’il visite. Ce dernier est donc pour ainsi dire son "premier point de contact" dès lors qu’il souhaite obtenir des précisions au sujet des cookies. Le secteur se doit par conséquent de faire preuve de la plus grande transparence en ce qui concerne son utilisation des cookies, notamment lorsqu’il s’agit de cookies tiers. Dans ce cas, le tiers devrait travailler de concert avec le propriétaire afin de rendre le contenu et la finalité de leurs cookies transparents pour l’utilisateur. Une organisation établie dans l’Union européenne sera vraisemblablement soumise aux exigences de la directive dans sa transposition en droit national, même si son site Internet est techniquement hébergé en dehors de l’Union européenne. Les organisations qui ne sont pas établies dans l’Union européenne mais qui possèdent des sites Internet à destination du marché européen ou qui fournissent des produits ou services à des clients en Europe, doivent considérer que leurs utilisateurs attendent clairement qu’on leur fournisse des informations et des choix concernant le stockage de données et l’accès aux données déjà stockées et qu’elles peuvent être soumises aux lois nationales de protection des données, le cas échéant (notamment en fonction de la mise en œuvre spécifique de la directive dans le pays en question). 3. Consentement La directive européenne prévoit que l’utilisateur donne son consentement à l’utilisation de cookies. Dans ce cadre, le consentement de la personne concernée a été défini comme : « […] toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. » Source : deuxième considérant des dispositions générales de la directive 95/46/CE 2 Voir aussi : ICO « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3, p. 16 affilinet EU Cookie Law Whitepaper FR Page 10 Le consentement implique une certaine forme de communication par laquelle la personne concernée donne délibérément son consentement (« informé »). Autrement dit, la personne concernée doit bien comprendre qu’en accomplissant une action déterminée, elle donne son consentement (mais aussi à quoi précisément elle donne son consentement La directive de 2002 précise à nouveau la manière dont le consentement peut être obtenu, mais va au-delà de la directive de 1995 : « Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet. » Source : dix-septième considérant des dispositions générales de la directive 2002/58/CE Bien que la directive 2002/58/CE et ses différentes modifications ne précisent pas explicitement le moment où doit intervenir le consentement, en d’autres termes si un cookie peut être installé avant d’avoir obtenu le consentement, pendant ou seulement après l’avoir obtenu, les termes "informée" et "librement" indiquent que le consentement doit être obtenu avant l’installation du cookie. Dans le cas contraire, ce dernier serait imposé subrepticement au visiteur. Le terme "spécifique" employé dans les lois de transposition des pays considérés dans le cadre du présent document fait référence au fait que l’utilisateur doit être parfaitement conscient de ce pour quoi il doit ou non donner son consentement, par exemple pour des "cookies" ou des "méthodes de tracking". Les régulateurs nationaux entendent par "informé" le fait que l’utilisateur soit capable de comprendre l’objet exact sur lequel porte le consentement de manière à prendre sa décision en parfaite connaissance de cause. Il comprend ainsi ce que En bref : le cas des Payssont les "cookies"/"méthodes de tracking", leur portée et la Bas manière dont ils affectent sa navigation. Si vous êtes actif sur le marché Si l’utilisateur est informé dans un langage simple et clair par néerlandais, sachez que sa le site qu’il visite du thème en question (par ex. les cookies) et transposition de la directive prévoit des incidences en fonction de la décision qu’il prend, alors il que le consentement doit être est en mesure d’"indiquer un souhait". Si le site Internet est "sans équivoque". Les experts confus et éloigne l’utilisateur de son objet, même une case estiment actuellement qu’une cochée peut ne pas être considérée comme "indiquant les fenêtre pop-up dotée d’une case à souhaits de l’utilisateur". cocher "accepter" constitue le seul moyen d’obtenir le consentement La règle est que quoi que vous fassiez pour informer de l’utilisateur sur ce marché, ce l’utilisateur, vous devez le faire de façon simple et compréhensible. qui signifie que la notion de consentement implicite ne s’y applique pas. 3.1 Consentement implicite versus consentement Reste à voir si les Néerlandais explicite resteront sur leur position malgré la pression de la directive qui tend à L’observation du statu quo des mises en œuvre actuelles de harmoniser les pratiques en cours la directive européenne montre que les pays qui l’ont dans l’Union européenne et à transposée sont favorables à un consentement explicite de type opt-in (consentement préalable) chaque fois qu’un cookie considérer l’approche néerlandaise comme un cas extrême.(Source : est installé pour la première fois sur l’appareil d’un utilisateur SOLV Advocaten : « Cookies spécifique. under Control », juillet 2012, p.5) Actuellement, seule l’approche du Royaume-Uni diffère quelque peu, le Bureau du Commissaire à l’information britannique soulignant en effet que bien que le système explicite de l’opt-in garantisse une certaine sécurité juridique, il n’est potentiellement pas le seul moyen d’obtenir le consentement de l’utilisateur3. Il existe une seconde voie pour parvenir à 3 ICO « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3, p. 6 affilinet EU Cookie Law Whitepaper FR Page 11 la mise en conformité. Dans certains cas, le consentement implicite devrait en effet être envisagé comme une option probablement plus pratique que le modèle En bref : le cas des Pays-Bas explicite de l’opt-in. our que le modèle du consentement implicite fonctionne, l’utilisateur doit effectuer une action déterminée permettant de déduire qu’il donne son consentement. Selon l’ICO, cela peut se traduire au R oyaume-Uni par la visite d’un site Internet comportant des informations complémentaires spécifiques au sujet du tracking ou par le fait de cliquer sur un bouton en particulier. L’essentiel étant que lorsqu’il effectue cette action, l’utilisateur comprenne bien qu’il accepte que des cookies soient installés. Cela nous ramène à l’obligation d’information de la directive européenne. Dans ce cas également, il convient en premier lieu d’informer l’utilisateur de façon claire et transparente avant de pouvoir présumer du consentement implicite de l’utilisateur. L’audit mis en œuvre par British Telecom plc. (BT) de son site Internet britannique (www.bt.co.uk) offre un exemple de catégorisation plutôt qu’une liste interminable de cookies. BT simplifie les catégories et regroupe ses cookies dans les catégories suivantes : Strictement nécessaire & performance Fonctionnel Ciblage Reste à voir si cet exemple prévaudra aux yeux du régulateur britannique, la position des autres régulateurs européens étant également floue à ce jour. Le problème auquel notre secteur est confronté est qu’il nous faut à nouveau déposer un cookie pour savoir si l’utilisateur a cliqué sur le site d’information ou s’il a cliqué sur le bouton "refuser" de votre pop-up d’information concernant les cookies. Actuellement, il ne semble toutefois pas y avoir d’alternative dans la mesure où vous devez prouver que vous avez reçu un consentement "implicite" de l’utilisateur. 4. Suggestions concrètes à l’intention de toute personne ou société désireuse de se mettre en conformité Dans le cadre d’une mise en conformité potentielle avec votre transposition nationale de la directive européenne, nous vous proposons une approche en 3 étapes : • Réalisez un audit des cookies et un audit de tracking • Donnez à vos utilisateurs des informations claires, simples et visibles au sujet des cookies et autres dispositifs de tracking • Déployez une méthode ou technologie destinée à recueillir le consentement des utilisateurs de votre site ou service Mises en œuvre correctement et conformément aux pratiques réglementaires nationales, ces trois étapes devraient vous aider à vous mettre en conformité. Il est important que cette démarche ne se limite pas à un exercice ponctuel mais s’inscrive dans un processus récurrent. Ces trois étapes devront être répétées chaque fois qu’une modification importante sera introduite dans la configuration technique et des procédures relatives à votre technologie de tracking (nouveau paramètre dans vos cookies, nouveau cookie ou nouvelle méthode de tracking). Nous nous proposons dans les chapitres suivants de passer en revue et de développer plus en détail chacune de ces trois étapes. 4.1 Réalisation d’un audit des cookies L’audit des cookies vous permet d’avoir une vue d’ensemble transparente des cookies utilisés sur votre site ou par votre service et de leur finalité. Actuellement, l’ICO au Royaume-Uni est le seul affilinet EU Cookie Law Whitepaper FR Page 12 organisme à avoir publié des recommandations détaillées sur la manière de réaliser un tel audit et à proposer un canevas4 (voir ci-après) sur lequel nous nous appuyons. L’audit des cookies est une étape essentielle qui permet de déterminer le contenu et la finalité de chacun des cookies déposés par votre site ou service. Il sert de point de départ pour établir une hiérarchie ou catégorisation des cookies susceptible de simplifier la communication avec vos utilisateurs. • Identifiez quels sont les cookies utilisés sur ou via votre site Internet • Confirmez le ou les objectif(s) de chacun de ces cookies • Confirmez si vous reliez les cookies à d’autres données détenues sur les utilisateurs telles que les noms d’utilisateur • Identifiez quelles sont les données contenues par chaque cookie • Confirmez le type de cookie – cookie de session ou cookie permanent • S’il s’agit d’un cookie permanent, quelle est sa durée de vie ? • S’agit-il d’un cookie propriétaire ou d’un cookie tiers ? Dans le cas d’un cookie tiers, par qui estil déposé ? • Vérifiez soigneusement que votre politique de confidentialité donne des informations exactes et claires sur chaque cookie 4 ICO « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3, p. 16 affilinet EU Cookie Law Whitepaper FR Page 13 Même s’il est indispensable d’avoir un aperçu détaillé de chacun des cookies utilisés (cf. exemple présenté dans notre second livre blanc « Cookies de tracking affilinet – étude approfondie »), il peut s’avérer utile de regrouper les cookies dans des catégories fonctionnelles spécifiques afin de simplifier votre communication avec les utilisateurs. Figure 6 – exemple de catégorisation de cookies proposé par la Chambre de commerce international (ICC) britannique Strictement nécessaires Ces cookies sont généralement des cookies de session essentiels de type propriétaire. Lorsque ce sont des cookies permanents ou tiers, il faut que cela soit justifié. Utilisation type: Jetons pour la mise en œuvre d’espaces sécurisés sur un site Internet Performance Ces cookies peuvent être des cookies propriétaires ou des cookies tiers, des cookies de session ou des cookies permanents. Pour entrer dans cette catégorie, leur utilisation doit se limiter à la performance et à l’amélioration d’un site Internet. Utilisation type: Les cookies de tracking des réseaux d’affiliation (tels que ceux proposés par affilinet) permettent aux éditeurs d’améliorer l’efficacité de leur site en identifiant les contenus générant le plus de ventes pour l’annonceur. Fonctionnel Ces cookies peuvent être des cookies propriétaires ou des cookies tiers, des cookies de session ou des cookies permanents. Ces cookies résultent généralement d’une action effectuée par l’utilisateur, mais peuvent également être mis en œuvre dans le cadre de la prestation d’un service non explicitement demandé par l’utilisateur. Utilisation type: Répondre à une demande de l’utilisateur telle que l’envoi d’un commentaire. Ciblage Les cookies de ciblage sont généralement des cookies tiers et permanents. Ils contiennent normalement une clé unique qui permet (via d’autres intégrations de tiers) de déterminer les habitudes de navigation de l’utilisateur. Grâce à cette clé, l’industrie du ciblage est en mesure de mettre en place des programmes automatiques de publicité ciblée. Utilisation type: Cette approche est souvent associée à la publicité comportementale en ligne (OBA). 4.2 Obligation d’information Actuellement, seuls les instances administratives britanniques, le Bureau du Commissaire à l’information (ICO) et la Chambre de commerce internationale (ICC) sont explicites quant au type affilinet EU Cookie Law Whitepaper FR Page 14 d’informations à fournir. Si la directive elle-même ne précise pas l’ampleur ou la teneur de ces informations, le vingt-cinquième considérant des dispositions générales de la directive 2002/58/CE prévoit que les utilisateurs doivent se voir donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent. Selon le trente-huitième considérant des dispositions générales de la directive 95/46/CE, les personnes concernées doivent pouvoir connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des Figure 7 – moyens permettant de rendre les informations relatives aux cookies plus visibles Le positionnement est essentiel – le simple fait de déplacer le lien du bas de page vers un endroit davantage susceptible d’attirer l’attention est important. Un simple formatage peut suffire – il est notamment possible de modifier la taille du lien vers l’information ou d’utiliser une police différente, l’essentiel étant que le lien vers ces informations si importantes se distingue du texte normal et des autres liens. Ne pas se contenter d’un hyperlien "Politique de confidentialité" et ajouter un lien vers un texte à visée explicative du type "En savoir plus sur le fonctionnement de notre site". Source : ICO « Guidance on the rules on use of cookies and similar technologies » circonstances de cette collecte. En outre, l’article 2, point h), de la directive 95/46/CE précise que le consentement porte sur les données à caractère personnel concernant la personne en question et faisant l’objet d’un traitement. Il serait utile pour la plupart des utilisateurs que vous expliquiez de manière générale le mode de fonctionnement des cookies et les différentes catégories de cookies que vous utilisez sur votre site. Une description des différentes fonctionnalités des cookies analytiques serait davantage susceptible de répondre aux attentes qu’une simple liste des cookies utilisés assortie de références de base à leur fonction. Il peut néanmoins s’avérer judicieux de mettre à disposition sur votre site une vue d’ensemble des cookies utilisés par catégories, ainsi que l’analyse approfondie de chacun des cookies. Nous ne pouvons vous donner de conseils juridiquement contraignants quant à la manière de configurer votre page pour être en conformité car cette responsabilité incombe au régulateur national. L’ICO, au Royaume-Uni, a été le premier à émettre des suggestions de formulations précises à employer afin d’informer au mieux les utilisateurs. Le guide élaboré par l’ICO « Guidance on the rules on use of cookies and similar technologies » est un document affilinet EU Cookie Law Whitepaper FR En bref : Wordpress Le site officiel de Wordpress vous propose un Plug-In que vous pouvez télécharger et installer simplement et qui comporte une barre présentant toutes les informations utiles concernant la législation européenne en matière de cookies. http://wordpress.org/extend/p lugins/eu-cookie-law/ En cas d’insécurité juridique, veuillez faire appel à un juriste local pour un contrôle de conformité officiel. Page 15 qui est mis à jour en permanence afin de vous faire bénéficier des nouveaux éclairages et informations disponibles en la matière5. Si vous êtes une société britannique ou que vous êtes active au Royaume-Uni, nous vous conseillons de lire attentivement ce document avant de vous engager dans une quelconque mise en œuvre de la directive dans sa transposition nationale. Pour les autres pays, le guide de l’ICO n’a pas vocation à servir de méthode ayant force obligatoire. Il se limite à présenter un exemple abouti d’étroite collaboration entre un régulateur et l’ensemble des parties prenantes sur le marché dans l’intérêt de l’utilisateur. 4.3 L’obtention du consentement dans la pratique Dans la pratique, il n’existe à l’heure actuelle qu’une seule méthode considérée comme suffisante dans la plupart des États membres pour obtenir le consentement : celle qui passe par les pop-ups ou les présites. Dans le cas où cette méthode est utilisée, les cookies ne peuvent être installés que lorsque le consentement a été donné activement. Celui-ci peut être considéré comme le plus petit dénominateur commun. Dans leur mise en œuvre de la directive au niveau national, un certain nombre d’États membres, dont l’Espagne, la France et les Pays-Bas, s’attendent cependant explicitement à ce que les futures configurations de navigateur deviennent un moyen viable d’obtenir le consentement. Nous nous limiterons par conséquent à aborder ces deux alternatives dans la mesure où elles présentent une portée paneuropéenne quant à leur validité. Consentement via pop-ups et méthodes similaires En bref : le cas de l‘Allemagne Bien que la directive n’ait pas encore été transposée en droit allemand, son interprétation et sa nécessité font l’objet de divergences de vues L’opposition a tenté de transposer la directive début 2012 sans succès. Le gouvernement actuel considère que le règlement relatif à la protection des données (DPR) est suffisant et n’envisage pas nécessairement de mettre en œuvre la directive au niveau national. Le commissaire allemand à la protection des données est cependant d’avis que la directive est directement applicable en Allemagne même sans transposition. Les pop-ups et autres méthodes peuvent tous être utilisés pour demander directement à un utilisateur s’il accepte que vous stockiez des données sur son ordinateur. S’il a reçu les informations nécessaires et clique sur "accepter", vous avez son consentement. Afin de prouver que vous avez obtenu son consentement, vous devrez déposer un cookie sur l’appareil de l’utilisateur contenant l’information selon laquelle ce dernier a donné son accord. L’exécution de ces cookies n’étant décrite par aucun régulateur, il convient de l’assimiler aux processus visant à offrir la meilleure expérience utilisateur possible. En recourant à cette technique, vous pouvez garantir votre conformité en n’activant aucun cookie sans l’accord exprès de la personne. Certains utilisateurs peuvent toutefois ignorer les options proposées et poursuivre leur navigation à travers le site. Si vous êtes actif au Royaume-Uni, vous pouvez décider dans un cas comme celui-ci de déposer un cookie et de déduire le consentement de l’utilisateur du fait qu’il a été parfaitement informé et a indiqué activement qu’il était à l’aise avec les cookies en continuant à utiliser le site Internet6. Il est important de noter que cette option n’est pas conforme dans la plupart des pays de l’UE mentionnés dans le présent document, à l’exception du Royaume-Uni, dans la mesure où elle 5 http://www.ico.gov.uk/for_organisations/privacy_and_electronic_communications/the_guide/cookies.aspx 6 ICO « Guidance on the rules on use of cookies and similar technologies », p. 19 affilinet EU Cookie Law Whitepaper FR Page 16 Figure 8 – autres moyens de rendre les informations relatives aux cookies plus visibles En plus d’un nouveau type d’entête permanent, nous vous suggérons de recourir à un pop-up dynamique (par ex. JavaScript) s’affichant chaque fois qu’une personne visite votre site pour la première fois. Dans un premier temps, ce pop-up est utilisé à des fins d’information du client (il ne suffit dans aucun pays à vous mettre en conformité). Dans un second temps, ce même pop-up est susceptible de proposer d’accepter ou de refuser l’utilisation des cookies. Source : ICO « Guidance on the rules on use of cookies and similar technologies », affilinet repose sur le concept de consentement "implicite" tel qu’abordé précédemment. Si vous choisissez cette option, nous vous recommandons d’afficher un message rappelant à l’utilisateur que vous continuez à installer des cookies tant qu’il ne signifie pas son refus. Pour que cette solution soit conforme dans tous les pays (France, Espagne, Pays-Bas, Autriche), vous devez soit superposer ce pop-up sur votre site, de manière à ce que l’utilisateur soit obligé de cliquer sur "Opt In" ou "Opt Out" pour pouvoir continuer, soit utiliser une page de destination qui se charge avant que l’utilisateur ne puisse accéder à votre page Internet. Il vous faudra suivre cette procédure pour chaque utilisateur n’ayant pas encore donné son consentement à l’utilisation de cookies par votre site. Il peut être judicieux dans ce cas de tester soigneusement plusieurs flux utilisateur potentiels dans le cadre d’un test A/B selon la procédure d’acceptation établie afin de trouver le moins intrusif et le plus convivial pour vos clients (Directive 2009/136/CE considérant (66)) et le moins préjudiciable à votre activité. Consentement via les paramètres du navigateur Cette méthode de consentement, qui utilise les paramètres réels des navigateurs actuels, a été suggérée par la Commission elle-même au soixante-sixième considérant des dispositions gén érales de la directive 2009/136/CE. L’Union européenne indique ici que : En bref : le cas de la France Le régulateur a transposé la directive européenne en droit national en août 2011, autorisant l’utilisation des paramètres du navigateur comme un moyen légitime d’obtenir le consentement. Toutefois, l’agence nationale de protection des données (CNIL) a clairement indiqué qu’elle ne considérait pas les paramètres du navigateur comme un moyen d’obtenir le consentement et qu’une page dédiée ou des bannières avant l’ouverture de la page étaient à privilégier pour recueillir le consentement des utilisateurs. « Lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la directive 95/46/CE, l’accord de l’utilisateur en ce qui concerne le traitement peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application ». affilinet EU Cookie Law Whitepaper FR Page 17 Tous les régulateurs nationaux ou agences nationales de protection des données ayant à ce jour transposé la directive en droit national ont cependant jugé les paramètres des navigateurs actuels comme étant insuffisants pour agir en qualité de mandataire afin de recueillir le consentement de l’utilisateur final. Actuellement, les régulateurs locaux estiment que la manière dont les navigateurs devraient être modifiés pour jouer le rôle de dispositif de conformité n’est pas claire. Dans le cadre de la préparation à une utilisation future des navigateurs en vue d’obtenir le consentement, vous devez vous assurer que votre appareil réagirait à l’en-tête "ne pas pister" du standard W3C. La décision de réagir à tout en-tête non conforme au standard W3C (par ex. le nouvel en-tête potentiel de Microsoft dans sa prochaine version d’Internet Explorer) vous revient, mais pourrait ne faire qu’ajouter à la confusion. Autres moyens potentiels d’obtenir le consentement Comme indiqué dans le guide publié par l’ICO « Guidance on the rules on use of cookies and similar techniques », il existe plusieurs moyens d’obtenir le consentement, que ce soit par le biais des conditions générales d’utilisation, des "paramètres des préférences" ou des "paramètres des fonctions". Ces différentes formes nécessitant cependant toutes le En bref le cas des consentement explicite de l’utilisateur, vous devez lui spécifier au Pays-Bas moyen d’un pop-up ou d’un site spécifique que vous comptez La loi la plus récente et la installer des cookies et dans quel but. Dans la pratique, ce sera plus pertinente puisqu’elle se donc toujours un site ou un pop-up spécifique qui informera réfère étroitement à la l’utilisateur, indépendamment de la directive est la nouvelle loi finalité des cookies ou de l’endroit où néerlandaise de protection En bref :CivicUK.com vous précisez ce à quoi vous des données qui entrera en aimeriez que l’utilisateur donne son vigueur en 2013. En plus des Avant d’essayer de trouver consentement. exigences de la directive, vous-même une solution cette loi demande aux Il ne suffit en aucun cas de modifier technique, nous vous sociétés qui déposent des vos conditions d’utilisation ou les recommandons, si vous cookies ou pistent les informations relatives à la protection n’utilisez pas wordpress, de utilisateurs d’une autre de la vie privée sur votre site sans rechercher des solutions manière de : en informer l’utilisateur et obtenir indépendantes déjà Notifier à l’autorité explicitement son consentement. existantes. néerlandaise de protection Utilisez toujours un pop-up ou un site Vous pouvez trouver l’une des données qu’elles traitent spécifique qui est mis en évidence des solutions les plus des données à caractère sur le flux utilisateur (par exemple avancées sur le site personnel avant que l’utilisateur ne commence CivicUK.com. Veiller à ce que des mesures à interagir avec votre site) en vue adéquates soient en place en d’obtenir son consentement. http://www.civicuk.com/cooki matière de sécurité afin de e-law/index Toute modification du cadre sécuriser les données. Même si vous devez dans réglementaire doit également être tous les cas consulter votre reflétée dans vos conditions Offrir aux utilisateurs la juriste pour savoir si cette générales d’utilisation. Veillez donc possibilité de vérifier et de solution est appropriée dans non seulement à sensibiliser les modifier les données les votre cas, le cadre proposé utilisateurs aux cookies et à obtenir concernant par CivicUK constitue un bon leur consentement, mais également exemple de solution à adapter vos conditions générales de indépendante et gratuite. manière appropriée. affilinet EU Cookie Law Whitepaper FR Page 18 4.4 Modification ou révocation du consentement Aucune référence concrète n’est faite dans la directive à la manière de révoquer son consentement ou de l’obtenir à nouveau dans le cas où vous auriez changé de solution de tracking. L’ICO, au Royaume-Uni, vous conseille7 toutefois de : • donner une information transparente à l’utilisateur sur la manière dont il peut révoquer son consentement ; • proposer à l’utilisateur une nouvelle demande de consentement chaque fois que vous apportez des modifications concernant l’utilisation des cookies et de toute autre technologie de tracking Pour les autres pays, nous ne disposons pas encore d’indications sur la manière de procéder dans ces cas-là. Nous pouvons seulement présumer qu’ils établissent des normes similaires à celles-ci. 4.5 Alternatives aux cookies La directive « vie privée et communications électroniques » a généralement été associée aux cookies en tant que technologie de tracking très spécifique, alors que la formulation actuelle de la législation fait référence à tout type de méthode permettant de « […] stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur […] » (Source : Article 5, paragraphe 3, de la directive 2002/58/CE). Dans sa formulation, la législation vise donc les technologies de tracking qui reposent sur l’installation de données sur l’équipement terminal. Même si cela porte à croire que cela vous laisse la possibilité d’utiliser des technologies alternatives de tracking, cela n’est malheureusement pas le cas. L’interprétation n’est pas axée sur les cookies mais sur toute technologie utilisée dans le but d’enregistrer les actions effectuées en ligne8. Cela englobe donc les technologies utilisant d’autres inputs pour pouvoir analyser les visites sur un site (par ex. les technologies à empreinte digitale). À l’instar de l’orientation fournie par le régulateur britannique, de récentes discussions aux Pays-Bas et en Allemagne ont pointé vers une interprétation très semblable du point de vue du régulateur. En substance, même si vous recourez à d’autres technologies de tracking, il vous est fortement recommandé de procéder avec autant de transparence vis-à-vis de vos utilisateurs que pour les cookies. 4.6 Cookies et données à caractère personnel Les responsabilités en matière de protection de la vie privée et de sécurité sont d’autant plus importantes que les cookies sont liés à des données à caractère personnel. Bien que le marketing à la performance ne semble pas concerné par cette affirmation, les annonceurs et éditeurs se consacrant à des activités plus intrusives telles que l’OBA à des fins de ciblage en ligne devraient se montrer vigilants. Veuillez garder à l’esprit que tous les États membres de l’UE requièrent différents niveaux de protection de données et que ceux-ci sont susceptibles d’être modifiés. En janvier 2012, la Commission européenne a présenté la notion de refonte complète des règles adoptées en 1995 en matière de protection des données afin de renforcer le droit au respect de la vie privée en ligne et de dynamiser l’économie numérique en Europe. La mise en œuvre complète de ces modifications 7 ICO « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3, p. 25 8 Par ex. ICO, « Guidance on the rules on use of cookies and similar technologies », mai 2012, v3, p. 25 affilinet EU Cookie Law Whitepaper FR Page 19 devrait prendre entre 2 et 3 ans. La différence entre ce règlement et les directives est qu’il est directement applicable dans tous les pays de l’UE et ne nécessite pas d’être transposé. Actuellement, les frontières entre le nouveau règlement relatif à la protection des données (DPR) et la directive « vie privée et communications électroniques » sont encore floues et il reste à voir quelle sera la portée du nouveau DPR. Nous vous tiendrons également au courant de ces évolutions. Pour plus d’informations, merci de bien vouloir suivre mon fil Twitter (@chrishauth) et de vous rendre sur le site d’affilinet (www.affili.net). affilinet EU Cookie Law Whitepaper FR Page 20 5. Application et sanctions Tous les États membres de l’UE ayant transposé la directive en droit national ont également mis en place des processus afin d’aider les entreprises à se mettre en conformité. En cas de nonconformité volontaire, ils appliqueront leurs dispositions particulières et imposeront des sanctions. À ce jour (août 2012), les principaux pays d’Europe occidentale, à l’exception de l’Allemagne, la Belgique, le Portugal et l’Italie, ont pris des mesures en vue d’adopter la nouvelle législation. Les pays les plus avancés du point de vue de l’application sont actuellement le Royaume-Uni et les Pays-Bas. Figure 9 sanctions : Royaume-Uni versus Pays-Bas (exemple) Royaume-Uni Pays-Bas Le Bureau du Commissaire à l’information (ICO) est responsable de l’application de la transposition britannique de la directive « vie privée et communications électroniques ». Il a clairement indiqué qu’il ne souhaitait pas devoir prendre de mesures ni imposer de sanctions car il se rendait compte de l’importance de l’économie numérique pour le pays ! Au Pays-Bas, la directive a été transposée par la loi néerlandaise sur les télécommunications. L’application de la directive incombe en premier lieu à l’Autorité indépendante des postes et télécommunications (OPTA). Ceci étant, cette approche réfléchie ne signifie en aucun cas que la loi peut être ignorée. Grandes entreprises et particuliers doivent se montrer particulièrement vigilants. Lorsqu’une partie ne respecte pas ses obligations, l’ICO dispose d’un éventail de possibilités pour agir le cas échéant. Ces mesures vont de l’acceptation d’un engagement (qui engage une organisation à accomplir une action déterminée) à la réception d’un avis de sanction pécuniaire (qui exige d’une organisation le paiement d’une amende pouvant aller jusqu’à 500 000 livres.) Il peut être recouru à ces mesures dans les cas les plus graves et si certains critères sont remplis. Par exemple, dans le cas d’une infraction susceptible de causer un préjudice substantiel ou une profonde détresse chez l’utilisateur final. Autres pays s’inspirant de l’approche britannique : France L’OPTA (comme l’ICO au Royaume-Uni) a le pouvoir d’appliquer des amendes conséquentes mais espère guider les entreprises nationales sur une voie qui leur permette de se mettre en conformité sans impacter fortement la bonne marche de leurs affaires. L’OPTA a indiqué clairement qu’elle ciblera les activités qui menacent le plus la vie privée des consommateurs, sans préciser toutefois ce que "menacer le plus" signifie. L’Autorité néerlandaise de protection des données (CBP) peut également être impliquée dans la seconde phase de la mise en œuvre de la directive aux Pays-Bas, notamment lorsque des cookies sont utilisés pour collecter, combiner ou analyser des informations concernant le comportement de navigation en ligne de l’utilisateur. La CBP a également le pouvoir d’appliquer des sanctions, quoiqu’à un moindre niveau. Autres pays s’inspirant de l’approche néerlandaise : Espagne (potentiellement, pas encore) Source : ICO, SOLV, affilinet affilinet EU Cookie Law Whitepaper FR Page 21 En dehors de ces pays, les applications diffèrent d’un pays à l’autre. En Espagne, bien que la loi relative aux services en ligne ait été modifiée conformément à la directive européenne « vie privée et communications électroniques », la question des sanctions et de l’application est restée en suspens et devra être réglée au cours des prochains mois. En France, le régulateur ne partage pas le même point de vue que le législateur en ce qui concerne les navigateurs actuels, dont les paramètres sont selon lui insuffisants pour obtenir de l’utilisateur un consentement explicite. En dehors du Royaume-Uni et des Pays-Bas, l’application et les sanctions sont plus floues. En Espagne, il n’existe actuellement pas de cadre pour mettre en conformité les mesures nécessaires ou pour les applications et sanctions en découlant. La législation tend cependant vers un modèle plus strict comme celui des Pays-Bas. La France quant à elle penche actuellement vers une mise en œuvre similaire à celle du Royaume-Uni d’un point de vue législatif. Toutefois, son autorité nationale de protection des données a évidemment une préférence pour le modèle néerlandais. Pour être en conformité dans votre pays, il est nécessaire que vous consultiez un juriste spécialisé dans le domaine de la protection des données et de la règlementation en matière de vie privée. Le bureau local de l’IAB peut vous adresser à un tel spécialiste. 6. Synthèse Certaines mises en œuvre actuelles peuvent potentiellement nuire à l’industrie en ligne. La mise en œuvre néerlandaise est la plus agressive et son régime de l’opt-in explicite constitue un véritable défi au niveau technique et logistique. Le fait de devoir collecter encore plus de données concernant l’utilisateur en installant des cookies pour garder en mémoire le choix ou non du régime de l’opt-in par l’utilisateur n’est qu’un exemple parmi d’autres qui témoigne des lacunes de cette législation. Du point de vue de l’industrie, certains modèles d’activité pourraient devenir non viables, ce qui pourrait notamment être le cas de l’industrie publicitaire en ligne si nous continuons sur cette voie. Noircir le tableau en abordant la question des cookies est contre-productif. La directive « vie privée et communications électroniques » suscite davantage de confusion et de trouble, échouant ainsi à atteindre son objectif initial, à savoir harmoniser les lois relatives à la protection de la vie privée des différents États membres. Pour une industrie de dimension internationale telle que l’industrie en ligne, rien n’était plus préjudiciable. En tant qu’acteur du secteur, notre objectif est désormais d’éduquer ouvertement et en toute transparence l’utilisateur final sur les tenants et les aboutissants de notre activité de tracking, - sur ce que l’on entend par "pister" quelqu’un -, ainsi qu’en témoignent la publication de notre livre blanc « Les cookies de tracking affilinet – étude approfondie » et nos discours de sensibilisation auprès du public lors de salons ou d’événements clients. Nous nous attacherons à poursuivre cette stratégie sur nos sites Internet et sur nos canaux de médias sociaux. En tant qu’industrie, nous devons jouer un rôle actif dans le débat sur la protection de la vie privée et des données dans l’univers en ligne. affilinet EU Cookie Law Whitepaper FR Page 22 7. Foire aux questions (FAQ) Cette FAQ se base sur la FAQ publiée par l’ICO à laquelle est intégrée une dimension internationale. Questions Réponses Les régulateurs des différents marchés fourniront-ils des orientations plus spécifiques sur ce que je devrai faire à l’avenir ? À ce jour, seuls le Royaume-Uni et les Pays-Bas ont publié des orientations spécifiques relatives aux considérants de la directive et à la manière de se mettre en conformité. Tous les États qui ont transposé ou qui sont sur le point de transposer la directive en droit national leur emboîteront le pas et publieront des orientations précises concernant la mise en œuvre opérationnelle. Les PaysBas fourniront également des orientations plus précises que dans leur dernière FAQ (cf. rubrique "Informations complémentaires"). Si les paramètres du navigateur sont en principe considérés comme un moyen valable d’obtenir le consentement, puis-je attendre que les options de configuration du navigateur soient modifiées pour les utiliser ? Selon l’ICO, vous ne devriez pas attendre. Dans tous les pays nous attendons des informations complémentaires sur la mise en œuvre de cette méthode et attendons de savoir si une simple explication à l’utilisateur sur la façon d’utiliser les paramètres du navigateur pour ajuster ses paramètres de protection de la vie privée sera suffisante. Que se passera-t-il si je ne fais rien maintenant ? La directive a été transposée en droit national au Royaume-Uni et aux Pays-Bas, ainsi qu’en France, en Autriche et en Espagne. Vous avez donc l’obligation légale de vous conformer à la réglementation nationale. Tôt ou tard, la directive sera transposée dans tous les États membres de l’UE (quoiqu’à des degrés divers). Seul le régulateur britannique a à ce jour adopté une attitude positive vis-à-vis des besoins opérationnels des entreprises et exprimé sa volonté d’en tenir compte dans la mesure du possible dans ses recommandations de mise en œuvre. Cela n’a cependant pas été le cas dans les autres pays. Indépendamment des problèmes et de la confusion engendrés par la situation actuelle, vous êtes dans l’obligation de trouver une solution pour vous mettre en conformité avec la réglementation en vigueur. La loi s’applique-t-elle de la même manière pour les appareils portables et les tablettes ? Oui, ces exigences s’appliquent à tous les cookies déposés, quel que soit le type d’appareil (portable, tablette, console, TV, etc.) Puis-je copier les différentes solutions émises par le régulateur ? Dès lors que le régulateur national émet une recommandation, vous devez bien entendu tenter de la suivre. S’il publie également des solutions concernant une mise en œuvre technique ou qu’il en déploie une lui-même, vous pouvez également vous en servir. Assurez-vous dans chaque cas d’adapter chaque solution à vos processus client en ligne. affilinet EU Cookie Law Whitepaper FR Page 23 Si nous n’utilisons des cookies qu’à des fins d’analyse, sommes-nous tenus d’appliquer la directive ? Oui, la directive s’applique quel que soit le type de cookies. Les cookies analytiques n’ont à ce jour été considérés comme "strictement nécessaires" par aucun régulateur. Tant que ce ne sera pas le cas, vous devrez les traiter comme n’importe quel autre cookie n’entrant pas dans la catégorie des cookies strictement nécessaires. 8. Informations complémentaires Documents affilinet Livre blanc affilinet - « Les cookies de tracking affilinet – étude approfondie » L’approche britannique The revised ePrivacy Directive: What is it & what should you be doing to comply? The Consumer Transparency Framework (guide à l’intention des éditeurs pour faciliter la mise en conformité) The IAB Performance Marketing Explained Website (intéressant à consulter) Launch of the ICC UK Cookie Guide (une interprétation de la loi pour faciliter la mise en conformité) L’approche néerlandaise A helpful White paper published by SOLV advocates (passe au crible le statu quo aux Pays-Bas) The FAQ from OPTA on the cookie regulation (première information officielle de l’OPTA) Nous contacter Si vous avez des questions, n’hésitez pas à nous contacter à l’adresse suivante : [email protected] À propos de l’auteur Chris R. Hauth Directeur de la stratégie et du développement [email protected] A rejoint affilinet afin de mettre sur pied son équipe « stratégie », après avoir travaillé au sein du nouveau département Activités et innovations de Telefónica. Chris R. Hauth a débuté sa carrière en tant que consultant senior chez Solon Management Consulting, à Munich et AltmanVilandrie, à Boston. Chez affilinet, il est responsable de la gestion de l’ensemble des initiatives stratégiques, des fusions et acquisitions et du lobbying en Europe. affilinet EU Cookie Law Whitepaper FR Page 24