Les CNIL européennes, regroupées au sein du G29, ont à nouveau réclamé un changement de pratique chez les publicitaires. Elles demandent que le consentement de l'utilisateur soit systématiquement demandé à chaque fois qu'un cookie est placé sur l'ordinateur. Un consentement que la France interprète largement, par le biais des réglages du navigateur web.

Les internautes doivent donner leur accord préalablement à toute installation de cookies sur les ordinateurs. C’est l’avis qu’a réaffirmé mercredi le groupe de travail Article 29 (G29), qui rassemble les autorités de contrôle en charge de la protection des données. Dans un communiqué de presse (.pdf), le G29 rappelle que les acteurs de la publicité en ligne devraient obtenir le consentement des utilisateurs avant de placer des témoins de connexion.

Rencontrant les représentants de l’Internet Avertising Bureau (IAB) pour l’Europe, une association regroupant les acteurs de la publicité sur le net, et de l’EASA, le G29 a rappelé en particulier les dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (2002/58/CE) et en particulier sont article 5.

Les CNIL européennes veulent l’accord de l’internaute

« L’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni […], d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données« .

L’année dernière, le G29 avait déjà publié un document dans lequel les publicitaires étaient invités à obtenir l’autorisation express des internautes avant de proposer des publicités ciblées en fonction de l’historique de navigation. À l’époque, ils avaient déjà plaidé pour un opt in afin que l’utilisateur décider lui-même s’il souhaite participer à ce type de personnalisation.

Pour les CNIL européennes, à l’heure actuelle et dans la majorité des cas les publicitaires légitime ce processus en se basant sur l’inaction ou le silence de l’utilisateur. Cela ne devrait pas procéder ainsi, pour le G29. Seules les déclarations ou les actions, et non le silence ou l’inaction, constituent un consentement valide. Accord que l’utilisateur peut déjà donner… sans pour autant le savoir lui-même.

La France a une interprétation large de l’accord de l’internaute

Dans le cadre de la transposition du Paquet télécom, qui est obligatoire pour les Etats membres, l’ordonnance expose explicitement que les paramètres du navigateur web suffisent à présumer l’accord préalable de l’utilisateur. L’obligation était de faire que les cookies soient stockés après l’autorisation de l’internaute, mais la manière dont l’autorisation est exprimée reste à la discrétion des pays.

Certains pays réclament une autorisation claire et explicite, ce qui peut rapidement être une contrainte pour l’utilisateur comme pour les services vu le nombre de cookies, d’autres, comme la France, estiment que le simple paramétrage du navigateur web suffit à prouver l’accord. Ceux qui ne sont pas d’accord n’ont qu’à le dire dans les options du navigateur ce qui ne sert à rien puisque la loi n’a alors plus aucun effet.

« Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » est-il indiqué à l’article 37 de l’ordonnance 2011-1012 du 24 août 2011 relative aux communications électroniques.

Partager sur les réseaux sociaux

Articles liés