Cookies

En modifiant l’article 5(3) de la directive 2002/58/CE par l’adoption de la directive 2009/136/CE, le législateur européen a posé le principe :

  • d’un consentement préalable de l’utilisateur avant le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées.
  • sauf, si ces actions sont strictement nécessaires pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

L’article 32-II de la loi du 6 janvier 1978, modifié par l’ordonnance n°2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE reprend ce principe.

En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement.

Le cas des cookies de solutions de mesures d’audience (analytics)

Pour être exemptés de demande de consentement, les cookies de mesure d’audience doivent respecter les conditions suivantes :

  • une information doit être donnée aux utilisateurs qui doivent pouvoir s’opposer au traitement (cette opposition doit pouvoir se faire depuis n’importe quel terminal) ;
  • les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple) ;
  • le traceur déposé ne doit servir qu’à la production de statistiques anonymes et ne doit pas permettre le suivi de la navigation sur différents sites. Il ne doit pas être conservé au-delà de 13 mois et ne doit pas être prorogé lors des nouvelles visites ;
  • les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois ;
  • l’utilisation de l’adresse IP pour géolocaliser l’usager ne doit pas permettre de déterminer sa rue : seuls les deux premiers octets des adresses IPv4 peuvent être conservés et éventuellement utilisés pour de la géo localisation (pour IPv6 seuls les 6 premiers octets peuvent être conservés).

Aujourd’hui, peu d’outils permettent de respecter ces différentes conditions.

Les solutions d’analytics qui ne respectant pas les conditions ci-dessus doivent faire l’objet du recueil du consentement préalable des utilisateurs.

[Source : CNIL.fr ]