La Commission européenne a exprimé ses meilleurs vœux pour l’année 2017 aux citoyens européens en dévoilant les lignes directrices de son projet de règlement relatif à la protection de la vie privée et des communications électroniques, également connu sous le nom de règlement ePrivacy. Une initiative qui plait beaucoup moins aux acteurs de l’industrie publicitaire dans la mesure où il est question de la remise en cause du fonctionnement actuel des cookies. L’idée de la Commission européenne est de redonner le contrôle des données à caractère personnel aux utilisateurs.
Il convient tout d’abord d’identifier clairement ce que l’on entend par le terme de cookie sur le web. Selon le Lamy Droit du numérique (édition 2016) un cookie, ou témoin de connexion, correspond à une “appliquette envoyée par un serveur de la toile mondiale à un utilisateur, parfois à l’insu de celui-ci, au cours d’une connexion, afin de caractériser cet utilisateur. Par extension, information que l’appliquette peut enregistrer sur le disque de l’utilisateur et à laquelle le serveur peut accéder ultérieurement”.
En d’autres termes, ce témoin de connexion est un fichier informatique déposé par le navigateur internet sur l’ordinateur d’une personne qui utilise le réseau internet pour naviguer sur le web. Ce fichier exclusivement composé de texte est généré par le serveur du site consulté par l’utilisateur. Ledit fichier est ensuite transmis au navigateur internet afin que ce dernier l’enregistre sur le disque dur de l’ordinateur de l’utilisateur, avec toutes les informations de navigation qu’il contient. Dès lors ce fichier apparaît comme très intéressant pour les annonceurs publicitaires, puisque les cookies leurs permettent de connaitre les pages web visitées par une personne, et de surcroît tous les produits qu’elle a consulté et acheté. Des informations cruciales permettant aux acteurs du secteur publicitaire de connaitre les goûts d’un individu et de lui proposer des publicités ciblées en proposant des produits similaires susceptibles de lui plaire.
La complexité du fonctionnement des cookies
A l’heure actuelle, le fonctionnement des cookies demande le consentement préalable de l’utilisateur qui souhaite accéder à un site web. Cette obligation a été instaurée par la directive européenne 2009/136/CE de 2009, venue modifier la directive 2002/58/CE de 2002 ainsi que la loi française Informatique et Libertés du 6 janvier 1978. Dans les faits, l’obligation se matérialise dans un bandeau informatif destiné à être vu par l’utilisateur, qui doit accepter ou non l’utilisation des cookies avant de consulter le site en question. Cela concerne les cookies liés aux opérations publicitaires tels que ceux utilisés pour le traçage comportemental, tout comme les cookies des réseaux sociaux qui sont générés par des boutons de partage ainsi que les cookies permettant de mesurer l’audience.
Or, ce fonctionnement, qui avait déjà inquiété les acteurs de l’industrie publicitaire à l’époque quant aux difficultés techniques que cela engendrerait, est remis en cause par la Commission européenne. Cette réglementation est jugée inefficace du fait qu’elle apparaît intrusive pour les utilisateurs du web et qu’elle n’est pas toujours respectée par certains sites web. Ainsi, la Commission entend réformer cette obligation sur les cookies en simplifiant le processus tout en renforçant la protection des données des utilisateurs.
Pour ce faire, le projet de règlement envisage une réglementation distincte selon la catégorie de cookie. Il prévoit un système d’opt-in obligatoire pour les cookies tiers, c’est-à-dire que l’utilisateur devra choisir s’il accepte ou refuse ces témoins de connexion avant même d’installer un navigateur ou un logiciel. Ainsi ce qui est visé ici ce sont uniquement les cookies publicitaires. En revanche la Commission européenne précise que cela ne concerne pas les cookies non intrusifs servant à améliorer les recherches d’un utilisateur, ni les cookies statistiques destinés à comptabiliser le nombre de visiteurs sur un site web. Dès lors aucun consentement préalable ne sera requis pour ce genre de cookies dans la mesure où ils sont indispensables à l’expérience de navigation.
Le projet de règlement précise la notion de consentement telle qu’elle est définie par le règlement général sur la protection des données, à savoir que c’est « une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». L’idée est de faire prendre conscience aux utilisateurs de la fonction des cookies et des conséquences qu’ils peuvent engendrer.
Si ledit projet est adopté définitivement, ce choix aura des conséquences importantes en France dans la mesure où la CNIL (Commission Nationale de l’Informatique et des Libertés) interprète de manière assez souple la notion consentement. Actuellement, l’autorité française de contrôle en matière de protection des données personnelles considère que la poursuite de la navigation sur un site web vaut consentement de l’utilisateur sur l’utilisation des cookies.
La primauté du respect de la vie privée pour les institutions européennes
Le message envoyé par la Commission européenne est clair, en choisissant de remplacer la directive par un nouveau règlement elle entend en finir avec les applications disparates de cette obligation par les Etats membres et les obliger à respecter cette nouvelle réglementation sans condition. Le sujet de la protection des données personnelles des citoyens européens lui apparaît primordial dans la mesure où la Commission prévoit d’en finir avec l’harmonisation au bénéfice de la réglementation.
Ce projet s’inscrit dans la dynamique générale impulsée par la Commission européenne depuis quelques mois déjà, celui de favoriser la liberté des individus et plus précisément de garantir le respect de la vie privée des citoyens au sein de l’Union Européenne. En effet, ce projet de règlement ePrivacy complète le règlement général sur les données personnelles venu donner un cadre législatif pour protéger les personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données, dont l’entrée en vigueur est prévue pour mai 2018. Un projet qui fait également échos à la récente position de la Cour de Justice de l’Union Européenne puisque le 21 décembre 2016, dans son arrêt « Tele2 Sverige », elle a interdit que des Etats membres prévoient dans leur législation nationale l’obligation généralisée et indifférenciée de conserver des données de connexion par les fournisseurs de services de communications électroniques.
Cet ensemble de nouvelles règles a été voulu afin d’offrir aux utilisateurs européens une maîtrise accrue de leurs paramètres informatiques, notamment en leur donnant la possibilité de consentir ou non aux cookies publicitaires ainsi qu’aux autres identifiants permettant de suivre leurs activités sur le web. La Commission européenne a décidé de renforcer les garanties pour le respect de la vie privée malgré les exigences de surveillance et de sécurité qui incombent aux Etat membres. Une décision qui découle du manque d’efficacité de la directive 2002/58/CE, notamment en raison de certaines notions trop imprécises ou sujettes à interprétation. Les règles posées par ladite directive n’ont pas pu être harmonisées au sein des Etats membres de l’Union européenne, créant une complexité de certains mécanismes, notamment celui des cookies.
La remise en cause du modèle publicitaire sur le web
Néanmoins, les différents acteurs du secteur publicitaire ne se réjouissent pas de cette nouvelle réglementation à venir. La plupart d’entre eux estiment que ce projet de règlement n’améliore en rien les règles relatives aux cookies, d’autant plus que le règlement général sur la protection des données n’est pas encore effectif, et craignent une réglementation trop lourde nuisant au modèle économique de l’industrie publicitaire sur le web. Il apparaît que le système de retargeting, système de suggestion de produits consultés préalablement sur un autre site web, risque de ne plus pouvoir fonctionner pleinement. Ce qui constituerait un véritable coup dur pour les publicitaires.
Ainsi, l’ensemble du secteur publicitaire se montre réticent à ce projet de règlement sur ce point, d’autant plus que ledit projet prévoit également d’étendre l’ensemble des règles relatives à la protection des données à caractère personnel aux opérateurs « over the top », plus communément désignés sous l’acronyme OTT. Ce sont des services qui exercent les mêmes fonctions que les opérateurs de télécommunications dits classiques puisqu’ils permettent d’envoyer des messages privés et de passer des appels téléphoniques, à la différence que ces applications ne possèdent pas leur propre réseau et utilisent le réseau internet. Il s’agit des applications telles que Facebook Messenger, WhatsApp ou Skype pour les plus connues.
Une initiative qu’il convient de saluer puisque les services OTT utilisent les données personnelles de leurs utilisateurs, il était nécessaire d’encadrer le traitement qui en est fait afin de garantir le respect de la vie privée des citoyens européens. Désormais, l’exploitation des données à caractère personnel sera conditionnée au consentement préalable des utilisateurs de ces services. Une décision qui a été notamment saluée en France puisque notre pays faisait pression sur la Commission européenne depuis plusieurs mois pour parvenir à un alignement de l’ensemble de ces règles.
Reste à savoir si le projet de règlement de la Commission européenne sera adopté en l’état ou s’il sera modifié avant de connaitre la réaction effective de l’industrie publicitaire face à ces nouvelles contraintes juridiques et techniques. Une industrie qui sera probablement contrainte de penser un nouveau modèle économique pour subsister sur le web de manière aussi performante qu’à l’heure actuelle.
[ANONYME], « La Commission propose de resserrer les règles en matière de respect de la vie privée pour toutes les communications électroniques et actualise les règles relatives à la protection des données », europa.eu, mis en ligne le 10 janvier 2017, consulté le 23 janvier 2017 <http://europa.eu/rapid/press-release_IP-17-16_fr.htm>
PERROTTE (D.), « WhatsApp et Skype rattrapés par Bruxelles », lesechos.fr, mis en ligne le 10 janvier 2017, consulté le 23 janvier 2017, <http://www.lesechos.fr/tech-medias/hightech/0211678191447-whatsapp-et-skype-rattrapes-par-bruxelles-2056016.php#>
JAIMES (N.), « Cookies publicitaires : la Commission européenne fixe les nouvelles règles », journaldunet.com, mis en ligne le 10 janvier 2017, consulté le 23 janvier 2017, <http://www.journaldunet.com/ebusiness/publicite/1190153-cookies-publicitaires-la-commission-europeenne-passe-bel-et-bien-a-l-offensive/>
PÉPIN (G.), « Avec ePrivacy, la Commission européenne veut réformer la protection des métadonnées et cookies », nextinpact.com, mis en ligne le 13 janvier 2017, consulté le 23 janvier 2017, <https://www.nextinpact.com/news/102863-avec-eprivacy-commission-europeenne-veut-reformer-protection-metadonnees-et-cookies.htm>
AVIGNON (C.), « Vie privée : la future recette européenne des cookies », alain-bensoussan.com, mis en ligne le 16 janvier 2017, consulté le 23 janvier 2017, <https://www.alain-bensoussan.com/avocats/vie-privee-recette-europeenne-cookies/2017/01/16/>