A propos de l’encadrement juridique des cookies et des autres formes de tracking sur internet en droit anglais et en droit français , par Chloe deydier

Depuis leur introduction sur internet en 1994, les cookies ont régulièrement soulevé des questions préoccupantes relatives à la violation de la vie privée. Depuis le 24 août 2011, les Etats de l’Union Européenne ont été contraints de transposer dans leur législation la directive “Paquet Télécom” qui impose l’accord de l’internaute pour qu’un cookie soit installé. Cette analyse porte sur la mise en œuvre des lois française et anglaise transposant la directive et sur l’impact des cookies et autres technologies similaires sur la vie privée des internautes afin de mieux mesurer les enjeux de cet encardrement normatif.

Il y a de nombreux moyens permettant d’identifier les usagers de l’internet et de pister leurs habitudes. L’Etude mondiale de 2013 sur le respect de la vie privée sur l’internet et la liberté d’expression cite parmi ces méthodes “l’enregistrement initial des internautes par les fournisseurs d’accès à l’Internet aux cybercafés”, “la numérotation” et “l’identification des appareils Internet qui sont eux-mêmes souvent reliés à des comptes Internet”, les “identificateurs individuels fournis par les navigateurs ou stockés sous forme de cookies”, et enfin les “adresses IP qui sont assignées aux internautes par les protocoles de l’Internet. De nombreux services internet reposant sur une forme d’identification, ces identités peuvent parfois s’avérer nécessaires pour fournir des services sur internet. Cependant, l’enregistrement des internautes sur la toile soulève une problématique importante concernant la confidentialité et la perte d’anonymat sur internet, et ainsi, le respect de la vie privée. Parmi ces mécanismes d’identification, les cookies semblent être les plus connus des internautes et les plus fréquemment utilisés. Les cookies sont de petits fichiers stockés sur l’ordinateur d’un internaute quand il visite un site web et qui permettent de reconnaître un usager lorsqu’il visite les différentes pages du site. Le stockage des cookies dépend de deux paramètres, à savoir la façon dont le site est construit et les options de navigation de l’internaute. Les cookies représentent ainsi une “véritable mine d’or" d’une part pour les éditeurs de site qui en apprennent davantage sur les préférences de leurs visiteurs et d’autre part pour les publicitaires qui utilisent les informations collectées pour définir le profil et les centres d’intérêts de l’internaute afin de lui proposer des publicités ciblées. Face à la perte de contrôle des usagers sur les informations à caractère privé qu’ils sont susceptibles de transmettre, le Parlement européen et le Conseil ont élaboré plusieurs directives visant à protéger de façon spécifique la vie privée sur internet. La directive 1995/46 sur la protection des données personnelles, qui reprend la plupart des dispositions de la loi Informatique et Libertés de 1978, fut complétée par la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.  La directive 2002/58 a été transposée au Royaume-Uni par le Privacy and Electronic Communications Regulations 2003 et en France dans le cadre de la Loi pour la confiance dans l’économie numérique de 2004. Cette directive impose la mise en oeuvre de la clause opt-out concernant les cookies. Le système d’opt-out requiert que l’utilisateur s’oppose expressément au traitement de ses données personnelles à des fins notamment de marketing. La directive 2002/58 fut modifiée par la directive 2009/136 intitulée “Paquet Télécom” qui généralise la pratique de l’opt-in et conduit donc à la modification en droit français l’article 32 II de la loi du 6 janvier 1978, et en droit anglais l’article 5(3) de la loi de 2003 pour y intégrer l’obligation d’obtenir le consentement de l’utilisateur pour le stockage de cookies et autres technologies similaires.

L’annonce récente de la fondation Mozilla de bloquer par défaut dans sa nouvelle version les cookies des intermédiaires constitue l’occasion parfaite pour à la fois faire un bilan sur les législations françaises et anglaises concernant le blocage de cookies et autres technologies similaires ainsi qu’évaluer la légalité des autres technologies de suivi sur internet. La décision de la fondation Mozilla, la volonté de Free de filtrer les publicités puis son renoncement à la suite d’une intervention de la Ministre déléguée à l’Economie numérique Fleur Pellerin, et les réactions suscitées témoignent de l’actualité du sujet et de ses enjeux non seulement pour la protection des personnes privées mais aussi pour les opérateurs économiques.

Bien que le développement des cookies soit susceptible de porter atteinte à la vie privée des internautes, ils demeurent une source de revenu essentielle pour les prestataires sur internet. Les différences observables dans les transpositions respectives de la directive 2009/136 en droit interne et en droit anglais a entraîné l’adoption de sanctions sensiblement différentes. Enfin, il convient de souligner que d’autres outils que les cookies menacent la vie privée de l’internaute, et que le droit semble avoir des difficultés à réguler ce cyber-monde. La vigilence de l’internaute demeure ainsi sa protection la plus efficace face aux atteintes en ligne à sa vie privée.

 

L’évaluation de l’impact des cookies sur la vie privée et la protection des données personnelles

La protection de la vie privée a toujours été l’un des enjeux du développement des technologies informatiques, telle que le montre la loi française Informatique et Libertés qui date de 1978. La protection de la vie privée des internautes est devenue particulièrement critique depuis le succès des réseaux sociaux. Contrairement à la France qui dispose d’un arsenal de lois protégeant la vie privée venant se superposer à la loi de 1978, le Royaume-Uni ne disposait d’aucune loi garantissant la protection de la vie privée avant l’adoption du Human Rights Act de 1998.  

Le développement d’internet a entraîné le développement simultané de nombreux outils créés pour suivre les internautes en ligne, à savoir les cookies et Web bugs. Les cookies et publicités ciblées furent développés afin d’assurer la rentabilité des prestations offertes gratuitement sur internet, et sans lesquelles le réseau ne se serait pas autant développé. Cependant, les cookies représentent un danger pour la protection de la vie privée dans la mesure où les éditeurs web ont en leur pouvoir la possibilité de revendre les informations collectées sur les internautes aux agences de publicité, qui peuvent alors dresser un véritable profil de l’utilisateur en fonction de ses préférences de connexion, des sites qu’il visite et du temps passé sur ces derniers. Par ailleurs, les informations ainsi collectées permettent d’avoir une idée précise du profil d’un individu, de ses opinions, orientations et goûts, ce qui permet de faciliter le “retargeting” ou publicité ciblée. De plus, dès que l’identité d’un internaute est connue d’une société figurant dans un fichier cookies, les autres sociétés pourront connaître l’identité de celui-ci à chaque fois qu’il visitera leur site internet. Cependant, bien que cela puisse paraître anodin et limité à une augmentation potentielle de la publicité ciblée pour l’utilisateur concerné, les conséquences réelles pourraient s’avérer bien plus dangereuses… En effet, en plus des nombreuses informations relatives aux intérêts personnels de l’internaute, les individus qui font des recherches en ligne sur des domaines controversés comme l’avortement, la pilule contraceptive, la peine de mort ou autre pourraient faire l’objet d’harcèlement de groupes d’intérêts. Cette éventualité aurait de sinistres répercussions étant donné la grande diversité d’informations disponibles sur internet. De plus, cela détournerait une des fonctions essentielles d’internet que représente la recherche libre, gratuite et rapide d’informations. Ces menaces deviennent d’autant plus sérieuses avec la possibilité de combiner les différentes technologies entre elles. Par exemple, les bases de données de reconnaissance faciale (telles que facebook) pourraient être combinées avec des caméras CCTV, ce qui permettrait un espionnage sans précédent des utilisateurs. De même, en combinant l’ensemble des données collectées par la totalité des cookies présents sur l’ordinateur d’une personne, un profil complet pourrait être établi, et il serait possible de connaître alors tous les sites sur lesquels l’utilisateur se connecte. Ainsi, en faisant correspondre l’identification d’un cookie à un profil utilisateur, l’historique de l’internaute serait accessible par le serveur web. De ce fait, bien que les cookies étaient originellement conçus pour faire gagner du temps aux internautes en permettant à leur ordinateur de retenir leur login et mot de passe de connexion, il semble que leur utilisation ait amplement changé. Il semble donc nécessaire que des lois viennent protéger les utilisateurs de telles intrusions dans leurs données personnelles.

 

Les implications de la transposition de la directive 2009/136 en droit interne et au Royaume-Uni : comparaison des deux systèmes de protection des internautes

La directive européenne de 2002 n’imposait qu’une information générale relative à l’installation de cookies sur l’ordinateur des internautes, information qui se retrouvait le plus souvent dans les conditions générales d’utilisation des sites internet. En France, la directive européenne 2009/136 vint modifier l’article 32 II de la loi Informatique et Libertés et imposer une information claire et complète de l’utilisateur ou abonné concernant la finalité “de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement”. L’utilisateur doit également être informé des moyens dont il dispose pour s’opposer aux cookies. Son accord peut soit résulter de paramètres appropriés “de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle”. Ainsi, depuis la transposition de la directive, l’utilisateur doit être prévenu de l’installation d’un cookie sur son navigateur, être informé de la destination de ces cookies, et pouvoir l’accepter ou la refuser. En cas de non-respect de la loi, la CNIL (Commission Nationale Informatique et Libertés) prononcera des sanctions financières pouvant s’élever à 300 000 euros et faire cesser l’activité en question. Au Royaume-Uni, la directive européenne 2009/136 fut intégrée au droit interne par la modification de la loi Privacy and Electronic Communication (PECR). Le système anglais est bien plus sévère que le système français dans la mesure où les éditeurs anglais doivent appliquer le système d’opt-in pour les cookies, imposant aux éditeurs de sites de demander le consentement express de l’utilisateur. Ce système crée une certaine lourdeur sur l’expérience de navigation. A chaque fois que l’internaute ouvre un site internet, une demande d’installation des cookies est envoyée à l’utilisateur, demande que l’utilisateur a la liberté d’autoriser ou de refuser. En cas de non-respect de la loi, c’est l’ICO (Information Commissioner’s Office) qui a le pouvoir d’imposer des sanctions financières aux éditeurs anglais pouvant aller jusqu’à 500 000 Livres. Le système anglais empêche ainsi la publicité comportementale qui représente pourtant la contrepartie de la gratuité de la majorité des sites internet. Concernant les sanctions, la CNIL se montre bien plus clémente et compréhensive que l’ICO, soulignant que l’objectif de la directive est avant tout “la persuasion et la prise de conscience des internautes et des professionnels quant aux enjeux cruciaux du respect de la vie privée sur le web”.


Cependant, en droit français comme en droit anglais, la loi ne vise pas les cookies nécessaires à la navigation sur internet mais seulement ceux qui récoltent des données personnelles. Ainsi, une différenciation est à faire entre les cookies intermédiaires post-clic, également appelés les 1st party cookies, attachés directement aux sites visités par les internautes et nécessaires à la navigation sur le site internet, et les cookies post-impression, également appelés 3rd party cookies, qui n’ont aucun lien avec les sites visités. L’ICO a confirmé vouloir se concentrer sur les cookies les plus intrusifs c’est à dire dès lors qu’il y a un impact clair sur la vie privée des internautes. Le tracking est essentiel sur internet pour cibler les annonces publicitaires publiées sur les sites internet. Les éditeurs de site anglais financés par les publicités ont été particulièrement affectés par la transposition de la directive européenne. Ainsi, en pratique, la dernière version de Mozilla qui ne bloquera que les cookies tiers produits par les bannières de publicité et autres widgets ne fera que respecter les dispositions de la directive de 2009. Mozilla justifie cet ajustement en invoquant “l’inquiétude grandissante des utilisateurs envers les traques de leurs données personnelles”, assurant que son but n’est pas de “tuer la publicité sur internet mais bien de respecter au maximum la vie privée de ses utilisateurs”.

 

La mise en œuvre réelle des législations française et anglaise : évaluation de la capacité du droit à réguler la question

En droit français, les modifications apportées par l’ordonnance dite « Paquet Telecom » publiée le 24 août 2011 consistent principalement au fait que l’information doive être préalable au dépôt du cookie, et que le consentement de l’internaute doive être demandé. Le droit d’opposition de l’internaute à l’utilisation d’un cookie déjà installé demeure, de même que l’obligation d’informer l’internaute quant aux fonctions dudit cookie. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui a, depuis le 6 août 2004, le pouvoir de prononcer des sanctions « allant de l’avertissement à une amende maximale de 300 000 € à l’encontre des responsables de traitement ne respectant pas la loi ».  Cependant, en l’espèce, lorsque l’on examine les sanctions prononcées par la CNIL depuis l’entrée en vigueur de la Directive Paquet Télécom, ces dernières consistent davantage à des mises en demeure et avertissements qu’à de réelles sanctions pécuniaires. Ainsi, la CNIL déclare avoir effectué quatre centre cinquante-huit contrôles durant l’année 2012 qui ont conduit au prononcé d’une cinquantaine de sanctions, à savoir 43 mises en demeure, 9 avertissements, 4 sanctions financières et 2 relaxes. Ainsi, les éditeurs de sites internet ne semblent pas être réellement exposés à des sanctions concrètes. Certains expliquent ce fait par un excès de clémence de la part de l’institution, tandis que d’autres par l’efficacité de la phase de l’instruction.

En comparaison, l’autorité anglaise (ICO) paraît bien plus sévère. Au bilan de l’ICO de l’année 2012 figurent 25 amendes, 3 mises en demeure, et prononcé 31 avertissements. En mars 2013, la publication par l’ICO de sa première amende pour violation grave de la loi de 2003 relative à la protection de la vie privée et des communications électroniques (Privacy and Electronic Communications Regulations), à savoir une amende 90.000 £ à l’encontre de la Société DM-Design dont le siège se situe à Glasgow, témoigne de l’efficacité des procédures engagées par l’ICO.    

Cependant, au vu du nombre infini de sites internet, les sanctions prononcées par les autorités française et anglaise restent peu nombreuses. De plus, les cookies ne sont qu’un des multiples éléments permettant l’identification des internautes. Le droit a ainsi dû se pencher sur ces autres pratiques qui portent atteinte à la vie privée des internautes.

 

Etude de l’impact des autres technologies de suivi ou de tracking sur la vie privée

 

Toutes les applications téléchargeables dans les magasins d’application pour les smartphones sont soumises aux obligations imposées par la directive, et tout particulièrement les codes de suivi, intégrés aux téléphones, qui permettent l’accès aux données du smartphone d’un utilisateur.

Les cookies ne sont qu’une infime partie des technologies de suivi (ou tracking) en ligne. La directive européenne de 2009 ne contient qu’une partie relative aux cookies. Par ailleurs, 40% des technologies de suivi ne sont pas liées à des cookies.  Le tracking des usagers sur internet poursuit une logique de profit, bénéficiant aux publicitaires qui peuvent cibler la publicité offerte aux internautes, si bien que “les réactions outragées de l’industrie de la publicité sur l’Internet aux récentes lois de lutte contre le suivi adoptées dans différentes régions du monde ne sont qu’un exemple de ces intérêts commerciaux”. D’autres menaces que les cookies pèsent sur la protection des usagers, à savoir les publiciels, logiciels malveillants et les virus. Ceux-ci permettent de collecter des informations personnelles sur les individus à leur insu et de les réutiliser en détournant leurs fonds ou en s’emparant de leurs comptes internet. Une autre pratique des hackers consiste à placer un logiciel espion prenant la forme d’un virus sur un fichier téléchargeable en ligne. Une fois téléchargé, le hacker aura accès à l’ensemble des informations présentes sur l’ordinateur de l’internaute, pourra même contrôler son ordinateur et activer la webcam de l’ordinateur à souhait. Cette pratique est une des plus grandes fiertés des hackers, qui, satisfaits du pouvoir qu’ils ont sur un usager, le dénomment leur “esclave”, ce qui dénote clairement le vice de cette pratique qui porte atteinte à tous les aspects de la vie privée d’un individu. Cependant, l’achat et la vente de ces technologies sont parfaitement légales dans beaucoup de régions du monde, ce qui laisse les victimes de ces pratiques impuissantes face à ces méthodes. Les publiciels sont des logiciels dissimulés sous la forme d’anti-virus ou autre technologies “utiles” pour l’internaute, et qui, sans le consentement de l’usager, espionnent le comportement de l’internaute sur l’ordinateur et font apparaître sur son écran des publicités. Dans certaines régions du monde, les forces de police font également appel à ce genre de logiciel espion prenant la forme d’un cheval de troie pour recueillir des informations sur des ordinateurs à distance. Cependant, les ordinateurs ne sont pas les seuls à être concernés par ce genre de pratique : “la multiplicité des méthodes de communication et le manque de clarté des procédures de sécurité font des nouveaux appareils Internet des proies évidentes pour les logiciels malveillants et les publiciels”. En France, l’espionnage est illicite et réprimé par la loi. Selon l’article 226-1 du code pénal, il est interdit, sous peine de 45.000 euros d’amende et un an d’emprisonnement, de capter, enregistrer ou transmettre “des paroles prononcées à titre privé ou confidentiel“. Il n’existe pas de législation similaire au Royaume-Uni de même que dans la majorité des pays européens. Ainsi, dans la mesure où internet est un cyber-espace sans frontière, il paraît très difficile et coûteux pour la France de contrecarrer les pratiques de logiciels espions d’autres pays qui n’ont pas mis en place une législation similaire, et la condamnation des hackers étrangers semble impossible.

Les applications mobiles collectent également des informations à l’insu de l’utilisateur. La CNIL s’est récemment penchée sur les données récoltées sans consentement par les applications de téléphones mobiles. Elle a mené à bien une expérimentation au cours de laquelle 189 applications furent testées et a constaté que parmi celles-ci, 58 applications accèdent en permanence à la géolocalisation de l’appareil, et ce, sans que cela soit nécessaire au fonctionnement de l’application. 30 applications accédaient au nom de l’appareil et 15 applications au carnet d’adresse. Selon Isabelle Falque-Pierrotin, présidente de la commission, l’utilisateur devrait pouvoir choisir la nature et l’étendue des données qu’il souhaite partager avec l’application téléchargée. Elle explique ainsi qu’"il faudrait vraiment pouvoir recueillir le plein consentement de l'utilisateur. Pour l'instant, une personne qui veut télécharger une application n'a pas vraiment le choix, soit elle donne son plein consentement, soit elle ne choisit pas l'application. C'est à prendre ou à laisser". Les développeurs d’application devraient davantage être sensibilisés aux notions et implications de la protection de la vie privée.

Dans la mesure où une bonne partie des éditeurs web comptent sur ces recettes publicitaires pour leur financement, et pour garantir une gratuité d’accès aux internautes, il semble difficile de trouver des moyens d’éviter l’identification des internautes et le suivi en ligne pour conserver leur confidentialité sans mettre en péril la pérennité de l’Internet que connaît l’usager actuel. 

 

La navigation en mode privé : une solution assurant une protection effective de la vie privée en ligne ?

 

En février 2012, le gouvernement Obama avait révélé son intention d’intégrer dans une Loi relative au respect de la vie privée sur internet une obligation pour que tous les moteurs de recherche sur internet mettent en oeuvre une technologie empêchant tout tracking facile d’utilisation.

Le système de navigation en mode privé, également appelé le “do not track”, fut initialement intégré à Safari en 2005 puis fut implémenté dans les autres systèmes de navigation tels que Firefox, Internet Explorer et Google Chrome. La version actuelle de Safari affiche sur l’écran de l’utilisateur le message suivant dès l’activation du mode privé : “Safari peut garder votre historique de navigation confidentiel. Dès l’activation de l’option de navigation privée, Safari ne consigne ni les pages que vous visitez, ni l’historique de vos recherches, ni vos informations de remplissage automatique”. En mode navigation privée, le navigateur ne conserve aucun historique, aucun téléchargement, aucune trace de l’activité de l’utilisateur sur internet, mais ne masque pas l’identité de l’utilisateur sur le Web (adresse IP). De plus, l’intégralité des cookies enregistrés au cours de la session en mode navigateur privé est supprimée à la fermeture de ladite session. Ainsi, le mode navigateur privé semble rendre à l’utilisateur un semblant d’anonymat et de confidentialité sur internet, mais n’empêche pas le téléchargement malencontreux de logiciels espions. L’internaute prudent naviguera automatiquement sur internet en mode privé, au prix du sacrifice de la facilité et rapidité de navigation favorisée par les cookies, qui étaient à la base prévus pour retenir identifiants et mots de passe de l’utilisateur. Ainsi, la prise de conscience par les internautes des risques présents sur l’internet, leur vigilence et leur capacité d’adaptation aux outils de consultation semble en pratique plus efficace que le droit pour réguler les cookies.

 

Bibliographie indicative:

 

Directives européennes

Directive 1995/46

Directive 2002/58

Directive 2009/136 “Paquet Télécom”

 

Législations

Loi Informatique et Libertés, 1978

Loi pour la Confiance dans l’Economie Numérique, 2004

Privacy and Electronic Communications Regulations, 2003

 

Articles de doctrine

Albanesius Chloe, U.K. cookie tracking law goes into effect, PC Mag, 29 mai 2012 - http://www.pcmag.com/article2/0,2817,2404979,00.asp

Bellouezzane Sarah, La CNIL et l’Inria se penchent sur les applications qui nous espionnent, Le Monde, avril 2013

Eichelberger Lori, The cookie controversy : cookies and internet privacy, CCl features - http://www.cookiecentral.com/ccstory/cc3.htm

Gayat Pascal, Blocage des cookies: quels enjeux pour le marketing à la performance ?, Journal Du Net, 29 mars 2013 - http://www.journaldunet.com/ebusiness/expert/53814/blocage-des-cookies--quels-enjeux-pour-le-marketing-a-la-performance.shtml

Jaimes Nicolas, La loi vise les cookies utilisés pour le ciblage, Journal Du Net, 14 mars 2012 - http://www.journaldunet.com/ebusiness/publicite/loi-cookies-france/les-cookies-concernes.shtml

Jaimes Nicolas, Le marché de l'e-pub va-t-il se casser les dents sur les cookies ? - Où en sont les autres pays ?, Journal du Net, 14 mars 2012 - http://www.journaldunet.com/ebusiness/publicite/loi-cookies-france/le-reste-de-l-europe.shtml

La dure loi des cookies, ne restez pas dans l’illégalité ,31 mai 2012- http://www.affiliationcharme.com/juridique/2012/cnil-cookies-obligations-sites-internet-5045/

Pelletier Arnaud, Smartphones : quand votre vie privée n’a plus de secret, un avenir inquiétant…, www.arnaudpelletier.com, octobre 2012

 

Whittaker Zack, What Britons need to know about U.K. ‘cookie law’, CNET, 27 mai 2012 - http://news.cnet.com/8301-1023_3-57442294-93/what-britons-need-to-know-about-u.k-cookie-law/