L’intégrité du consentement et les cookies

Dans le but d’améliorer la relation entre le client et le site prestataire et « de pallier certaines faiblesses du protocole http », les cookies ont été inventés et déployés par la société NETSCAPE dans les années 90. Ils ont fait l’objet d’une normalisation mondiale en 1994, normalisation qui s’impose à tous les éditeurs de logiciel de navigation. Ainsi, la France[1] en a fait son cheval de bataille[2]. Actuellement, ce sont sept directives de 2002, communément appelées Paquet Telecom, qui constituent le cadre règlementaire européen initial applicable aux réseaux et services de communication électronique. Parmi celles-ci, on compte la Directive du Parlement Européen et du Conseil du 12 juillet 2002 vie privée et communications électroniques[3].

Les fichiers cookies ou encore « témoins de connexion »[4], sont des fichiers textes contenant uniquement les informations qui y ont été déposées par leurs émetteurs et ne sont lisibles que par ces derniers. Il faut distinguer deux objectifs, en effet alors que certains cookies ont simplement une finalité technique, nécessaire à l’ergonomie de la navigation, d’autre comme les cookies « traceurs » ont un objectif de profilage, outils au service de la publicité. Il devient ainsi un véritable « instrument monétaire de l’internet », unique lien entre l’internaute et son profil ainsi constitué par les opérateurs ayant collecté ses données. Donc nous avons deux (2) types de cookies, les cookies « on site » c’est-à-dire les fichiers de navigation implantés et gérés par l’éditeur du site et les cookies « off site » ou « tiers » qui sont quant à eux implantés et géré par un tiers à l’éditeur du site, principalement des opérateurs et régies publicitaire. La régulation des cookies trouve son fondement dans le respect de la vie privée et l’instrument de cette régulation est le navigateur.

A quoi servent les cookies ?

Ce sont en principe des traceurs ou que nous pouvons simplement appeler « localisateurs » ou « système de surveillance ».

Certains types de cookies peuvent être utilisés pour le bon fonctionnement du site ou pour collecter des données personnelles afin de suivre le comportement de l’utilisateur et servir à des finalités publicitaires.

Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal (site visité) , généralement gérés par des tiers qui ont été interrogés par le site visité et non par l’internaute lui-même : ces cookies peuvent aussi être nécessaires au bon fonctionnement du site mais ils servent majoritairement à permettre au tiers de voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui notamment à des fins publicitaires.

Ce qui suscite notre curiosité est qu’à chaque ouverture d’une page internet, vous devez les accepter ou les refuser.

Ce consentement de l’internaute est-il valable ou intègre ?

Le doute est permis par rapport au format ou caractère de l’écriture du message de notification, par rapport au contexte ou circonstance de l’expression de ce consentement, au aussi par rapport à au type d’internaute sur la toile.

Le RGPD régit le traitement des données personnelles. Applicable depuis 2018, il impose notamment que les cookies doivent faire l’objet d’un consentement « libre, spécifique, éclairé et univoque ».

En droit général, le consentement peut se définir comme l’acceptation par une partie de la proposition faite par l’autre partie dans la création d’un acte juridique. L’échange des consentements entre les parties entraîne donc un accord de volonté qui les lie entre elles. Ce qu’il faut savoir, c’est que le consentement doit respecter certaines conditions pour être valable. Il doit être intègre, c’est-à-dire il doit pas être donné par erreur, ni par violence ou ni par dol. En doit du numérique, ou en droit de l’internet, consentir au traitement de ses données personnelles doit obligatoire respecter les règles générales droit en matière de consentement. Ainsi, que ce soit dans la directive européenne adoptée en 2002, comme dans le RGPD, il y est précisé que le consentement préalable de l’utilisateur est nécessaire pour avoir accès à ses informations ainsi que pour pouvoir les stocker.

Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue.

Elle doit être visible, mise en évidence et complète.

Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.

Elle doit permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.

Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

Toutefois, ces conditions ne semblent pas être toujours respectées sur la toile. Parfois, tout internaute pourrait se confronter à ces notifications de l’acceptation des cookies. Des notifications, à notre sens qui ne respectent pas du tout les droits des utilisateurs internet dans la mesure où l’on remarque parfois des messages sur lesquels la partie « continuer sans accepter les cookies » est rédigée en très petits caractères par rapport à l’option « accepter les cookies », une chose tout à fait illégale[5], car l’utilisateur se retrouvant parfois, par manque de vigilance, dans l’obligation d’accepter les cookies pour accéder à l’information qu’il recherche.

A côté de ceci, la longueur du message d’explication du but poursuivi par les cookies et des conséquences de leur acceptation ne parait pas respecter les droits des internautes qui n’ont que rarement le temps de lire cette notification qui peut toujours paraitre anodine. Les fournisseurs des services internet ont-ils pensé aux gens qui ne savent pas lire ? Tout le monde a-t-il la facilité de comprendre cette explication ? Ces questions devraient surtout attirer leur attention pour réfléchir à ce moyen d’information concernant les conséquences d’acceptation des cookies, car tous les être humains sont égaux en droit, devant le droit à l’information surtout quand il s’agit de l’utilisation de leurs données personnelles liées à leur vie privée. Dès lors, l’on peut dire le consentement donné pendant l’acceptation des cookies est évidemment vicié car il est tout à fait erroné.

Enfin, le traitement des données personnelles étant lié à la vie privée des personnes, un droit humain fondamental, les parties prenantes (responsables de traitements, sous-traitants) doivent analyser leurs rôles et responsabilités dans la mise en œuvre de ces techniques de traçage afin de déterminer leurs obligations respectives.

Sources


[1] Avec la création d’une commission Nationale de l’Informatique et de Liberté (CNIL)

[2] http://fr.jurispedia.org

[3] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), [[Journal officiel (eu)|]] n° L 201 du 31/07/2002 p. 0037 – 0047

[4] Ont été dénommés ainsi par la CNIL

[5] Aux termes du considérant 42 du RGPD, qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».