Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

NOR : CNIL2026187X
JORF n°0240 du 2 octobre 2020
Texte n° 85

Version initiale

Article 1


Sur le champ d'application des lignes directrices.
Les lignes directrices concernent toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l'équipement terminal de l'abonné ou de l'utilisateur d'un service de communications électroniques ou à inscrire des informations dans celui-ci.
L'article 1er de la directive 2008/63/CE du 20 juin 2008 susvisée définit l'équipement terminal comme « tout équipement qui est connecté directement ou indirectement à l'interface d'un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations ; dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique ; une connexion est indirecte si un appareil est interposé entre l'équipement terminal et l'interface du réseau public ».
Cette définition englobe de nombreux dispositifs couramment utilisés, tels qu'une tablette, un ordiphone (« smartphone »), un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public.
Les présentes lignes directrices concernent tous les équipements terminaux visés par cette définition, quels que soient les systèmes d'exploitation ou les logiciels applicatifs (tels que les navigateurs web) utilisés.
Elles portent, en particulier, sur l'utilisation des cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d'autres technologies telles que les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d'empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. Pour l'application des présentes lignes directrices, le mot « traceur » désigne l'ensemble des dispositifs susceptibles d'être visés par l'article 82 de la loi.
Les présentes lignes directrices concernent enfin les opérations précitées de lecture et écriture de toute information stockée ou consultée dans un équipement terminal au sens prédéfini, qu'il s'agisse ou non de données à caractère personnel au sens du RGPD. Les dispositions du paragraphe 3 de l'article 5 de la directive « ePrivacy » et, par conséquent, de l'article 82 de la loi « Informatique et Libertés », sont en effet applicables à de telles opérations indépendamment du fait que les données concernées soient à caractère personnel ou non.
La Commission rappelle que tout traitement portant sur les données produites ou collectées via un traceur, dès lors que celles-ci relèvent de la catégorie des données à caractère personnel - parfois directement identifiantes (par exemple, une adresse électronique) et souvent indirectement identifiantes (par exemple, l'identifiant unique associé à un cookie, une adresse IP, un identifiant du terminal ou d'un composant du terminal de l'utilisateur, le résultat du calcul d'empreinte dans le cas d'une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d'exploitation) - doit respecter les dispositions du RGPD et les dispositions pertinentes de la loi « Informatique et Libertés ». Ces traitements ne sont pas concernés par les présentes lignes directrices.

Retourner en haut de la page