La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données caractère personnel et à la libre circulation de ces données ;
Vu la directive 2002/58/CE du 12 juillet 2002 concernant traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2009/136/CE du 25 novembre 2009 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11 et 32-II ;
Vu l'ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Bernard Peyrat, commissaire, en son rapport, et M. Jean-Alexandre Silvy, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le développement considérable des services de communication en ligne pose avec une plus grande acuité la question du traçage des personnes qui y ont recours. En effet, lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les utilisateurs de ces services sont de plus en plus suivis par différents acteurs (éditeurs de service, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différentes technologies, dont la plus répandue est aujourd'hui celle des cookies.
En modifiant l'article 5-3 de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, le législateur européen a posé le principe selon lequel le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées ne devaient être mis en œuvre qu'avec le consentement préalable de l'utilisateur, sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.
Ainsi, l'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n° 2011-1012 du 24 août 2011 qui a transposé la directive 2009/136/CE, dispose désormais que « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
― de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
― des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
― soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
― soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ».
Compte tenu de la diversité des technologies utilisées et du nombre d'acteurs en présence, la CNIL a organisé pendant plusieurs mois une concertation avec les principaux professionnels concernés. A l'issue de ces travaux, elle souhaite, par la présente recommandation, rappeler les principes qu'il conviendrait de respecter pour permettre l'utilisation de ce type de dispositifs dans les conditions fixées par l'article 32-II précité.
La présidente,
I. Falque-Pierrotin