SlideShare ist ein Scribd-Unternehmen logo

Cookies.eu

M
marcgallardo

Les lois Cookies en Europe et France

1 von 40
Downloaden Sie, um offline zu lesen
La nouvelle recette des cookies à la française Marc Gallardo & Céline Avignon
Introduction •  Une actualité •  Une nécessité •  Des impacts opérationnels 2
Plan 1. Le cadre juridique des cookies en UE 2. Exemples de transposition de la directive en Europe 3. La recette française 4. Les cinq conseils 3
1.Le cadre juridique des cookies en UE 1. Le référentiel légal 2. La directive 2002/58 3. La directive 2002/58 modifiée 2009/136 4
1.1 Le référentiel légal •  Directive 2002/58/CE “vie privée et communications électroniques”: Article 5.3. + Considérants 24 et 25 abrogent la Directive 97/66/CE modifiée par la Directive 2009/136/CE + Considérant 66 •  Directive 95/46/CE “Générale de Protection des données à caractère Personnel” 5
1.2 La directive 2002/58 •  L’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permise qu’à condition que l’abonné ou l’utilisateur soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. •  Information et opt-out 6
1.3 La directive 2002/58 modifiée 2009/136 •  Le stockage d’informations ou l’accès à des informations déjà stockées, dans l’équipement terminal de l’abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou utilisateur ait donné son accord après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. •  Le consentement –  Préalable au moment de placer un Cookie et/ou d’accéder aux informations déjà stockées –  Informé sur la base d’une information claire et complète (finalités du traitement) –  Révocable à n’importe quel moment et sans avoir à justifier la raison 7
1.3 La directive 2002/58 modifiée 2009/136 •  AVIS 2/2010 sur la publicité comportementale en ligne, adopté le 20 juin 2010 par le Groupe de Travail “Article 29” sur la Protection des Données –  Opt-out : Le Groupe considère que ce mécanisme ne convient pas pour obtenir un consentement informé et valable de l’utilisateur: •  Manque de connaissance sur la collecte des données et du fait qu’en ne procédant pas à un opt-out ils acceptent les Cookies; •  Le consentement implique une participation active de la personne concernée tandis que l’opt-out se réfère à une “non-réaction” –  Paramétrage du navigateur : Le Groupe doute que le paramétrage du navigateur soit la manifestation d’un consentement informé, valable et effectif: •  La plupart des navigateurs sont configurés par défaut pour autoriser tous les Cookies •  Manque de connaissance de l’utilisateur “moyen” sur l'existence ou les finalités des Cookies •  Absence d’action (non refus de Cookies) n’est pas une manifestation claire et 8 sans équivoque du consentement informé de l’utilisateur
1.3 La directive 2002/58 modifiée 2009/136 –  L’opt-in •  Les mécanismes opt-in préalables, qui requièrent une action positive sont conformes aux exigences de l’article 5.3. de la Directive 2002/58/CE •  L’acceptation d’un Cookie pourrait être interprétée comme valable non seulement pour l’envoi du Cookie mais aussi pour l’accès ultérieur aux informations de ce Cookie •  Trois types de garanties: i) limiter la portée du consentement, ii) informations supplémentaires, iii) consentement révocable •  Exceptions à la règle du consentement : –  les Cookies qui sont strictement nécessaires pour la fourniture d’un service expressément demandé par l'utilisateur. Exemples: fonction “panier d’achat” ou “check-out” d’un site de commerce électronique. A –  Cookies visant exclusivement à effectuer la transmission d’une communication par un réseau 9
1.3 La directive 2002/58 modifiée 2009/136 –  L’information •  Information suffisante et effective sur la collecte d’informations et sur les finalités du Cookie (Transparence) par la personne qui envoie et lit le Cookie •  Les informations devraient être communiquées de la façon “la plus conviviale possible”: •  Bon moyen: minimum d’informations directement sur l’écran de manière interactive, aisément visibles et compréhensibles, et renvoi pour l’information complète à une autre page du site •  Mauvais moyen: informations “cachées” dans des conditions générales et/ou dans des déclarations de la politique de confidentialité •  Dans le domaine de la publicité comportementale et des Cookies “Tiers”, le Groupe fait appel à la créativité des acteurs dans ce domaine –  Bon moyen: icônes placées autour des publicités et menant vers des informations supplémentaires 10
1.4 La Directive 95/46 •  L’équipement terminal + informations collectées par moyen des Cookies relèvent de la vie privée de l’utilisateur ... •  ... Mais ces informations peuvent être considérées comme des données à caractère personnel •  Quand : collecte adresses IP et d’identifiants uniques (par le Cookie) et autres scénarios possibles qui déclencheraient aussi l’application de la Directive Generale 95/46/CE 11
2 Exemples de transposition de la directive en europe 1. Etat de la transposition 2. Le cas du Royaume Uni 3. Le cas de l’Espagne 4. Les problématiques 12
2.1 Etat de la transposition •  25 mai 2011: date limite de transposition de la directive 2009/136/CE et par conséquent de l’article 5.3. modifié de la Directive 2002/58/CE •  À cette date seul le Danemark, Estonie, Finlande, Irlande, Suède, Malte et le Royaume-Uni avaient transposé la Directive “cookies” •  Le 24 novembre 2011 la Commission Européenne a envoyé un “avis motivé” à 16 États Membres qui n’avaient pas transposé (sauf Lettonie, Lithuanie, Luxembourg et Slovaquie). 13
2.2 Le cas du Royaume Uni •  Période moratoire d’1 an pour la mise en conformité de la nouvelle condition du consentement (jusqu’à 25 mai 2012) •  9 mai 2011: Rapport ICO •  Il accepte une période moratoire •  Approche pragmatique pour se conformer à la Directive “Cookie” •  Le paramétrage du navigateur n’est pas aujourd’hui une forme de recueil du consentement efficace. 14
UK: Exemple opt-in 15
UK: Exemple info 16
2.3 Le cas de l’Espagne •  Projet de loi pour incorporer la Directive Cookie via modification art. 22.2 LSSI •  Transposition littérale de l’article 5.3 et considérant 66 (paramétrage), sauf Code de Conduite qui prévoit anciennes conditions (information + opt-out) •  Amendements du Parti Populaire •  Autorité compétente : AEPD •  Infraction mineure (jusqu’à 30.000€) ou grave (de 30.000 à 150.000 €) 17
2.4 Les problématiques •  Risque d’asymétries entre Etats membres lors de l’application de la règle du consentement •  Expérience plus défavorable pour les internautes sur le même site •  Challenge pour les entreprises opérant des sites multinationaux •  Impact négatif sur l’économie digitale de l’UE 18
3.La recette française du cookie 1. Décryptage de l’article 2. Un cookoi 3. Un cookqui 4. Un cookinfo 5. Un cookin 19
3.1 Décryptage de l’article •  Art 32 II actuel •  Art 32 II ancien II.-Tout abonné ou utilisateur d'un service de communications II.-Toute personne utilisatrice des réseaux de électroniques doit être informé de manière claire et complète, communications électroniques doit être informée de manière sauf s'il l'a été au préalable, par le responsable du traitement ou claire et complète par le responsable du traitement ou son son représentant : représentant : - de la finalité de toute action tendant à accéder, par voie de -de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans transmission électronique, à des informations stockées dans son équipement terminal de communications électroniques, ou à son équipement terminal de connexion, ou à inscrire, par la inscrire des informations dans cet équipement; même voie, des informations dans son équipement terminal - des moyens dont il dispose pour s'y opposer. de connexion ; -des moyens dont elle dispose pour s'y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l'accès aux Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de informations stockées dans l'équipement terminal de l'utilisateur l'utilisateur ou l'inscription d'informations dans l'équipement ou l'inscription d'informations dans l'équipement terminal de terminal de l'utilisateur : l'utilisateur : -soit a pour finalité exclusive de permettre ou faciliter la soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; communication par voie électronique ; -soit est strictement nécessaire à la fourniture d'un service de soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de communication en ligne à la demande expresse de l'utilisateur. l'utilisateur. 20
3.2 Un cookquoi •  Juridiquement •  La notion de cookie n’est pas mentionnée dans le texte •  Informations déjà stockées ou installées dans l’équipement terminal de communications : conception large de la notion de cookie •  Directive 2002/58 : données de connexion •  Techniquement •  Les cookies (ou http cookies, web cookies, browser cookies) sont des données utilisées par un serveur web pour envoyer des informations d’état au navigateur d’un utilisateur, et pour ce navigateur de renvoyer des informations d’état au serveur web d’origine. •  Origine: 1994: Lou Montelli intègre la technologie Cookie dans le navigateur Netscape pour la première fois 12.02.1996: Premier article sur les Cookies dans les média (Financial Times) à cause des possibles intrusions dans la vie privée des Cookies21 utilisés à des fins publicitaires
3.2 Un cookquoi •  Les différents types de cookies : •  Cookie de session : Ce type de cookie ne dure que pour la durée de navigation de l’internaute sur un serveur web donné. Le navigateur supprime normalement ce cookie dès que l’internaute quitte le site internet. •  Cookie persistant : Ce cookie reste stocké sur l’équipement terminal de l’utilisateur et a une durée de conservation assez longue : il permet notamment au serveur web de connaître la première date de connexion et/ou les suivantes ce qui permet de suivre l’historique de connexion de l’utilisateur. Cela constitue souvent une information de valeur et explique pourquoi ils sont également appelés tracking cookies ou in-memory cookies. •  Cookie sécurisé : Ils sont uniquement utilisés lorsqu’un navigateur se connecte par HTTPS à un serveur, ce qui assure que le cookie est toujours crypté lorsqu’il est transmis du client au serveur. Cela permet de lutter notamment contre le vol de cookie. •  Flash cookies : Utilisés pour rétablir des cookies traditionnels qui ont été supprimés ou effacés. •  Third-party Cookies : Normalement, un cookie est transmis avec l’adresse du domaine hôte qui s’affiche dans la barre d’adresse (si un navigateur va sur le site alain-bensoussan.com, le cookie de session aura comme domaine hôte alain-bensoussan.com). Un third-party cookie contient un domaine hôte distinct de la page internet visitée, c’est-à-dire que cette page présentera du contenu en provenance d’autres serveurs web, tel que des publicités. 22
3.3 Un cookqui •  Abonné et utilisateur : les titulaires des droits •  Personne qui dispose d’un abonnement à un service de communications électroniques ou qui utilise un service de communications électroniques •  Le responsable du traitement : le titulaire de l’obligation •  La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement •  Champ d’application matériel de la directive 2002/58 •  absence de qualification des informations stockées dans l’équipement terminal •  donc s’applique même aux cookies qui ne peuvent pas être qualifiés de données à caractère personnel 23
3.3 Un cookqui • Le groupe de l’article 29 indique que ce qui doit être préservé c’est la vie privée et non pas les données à caractère personnel • La Cnil considère que pour cette raison, l’article 32 II s’applique y compris aux cookies qui ne sont pas directement ou indirectement identifiants •  Difficultés : •  La directive 2002/58 modifiée s’applique selon son article 3 au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public […] •  Dans la loi informatique et libertés qui s’applique uniquement selon l’article 2: « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers […] ». 24
3.3 Un cookqui •  Donc devinette : parmi ces données qui est l’intrus? Adresse postale Empreinte digitale Informations installées ou stockées sur l’équipement Numéro de terminal de Adresse IP l’utilisateur téléphone Numéro de sécurité sociale 25
3.3 Un cookqui •  Les cookies sont les premières données qui peuvent ne pas être des données à caractère personnel mais qui relèvent de la loi informatique et libertés COOKIES = OJNI dans la loi informatique et libertés ? Cookie 26
3.3 Un cookqui •  Un responsable de traitement de données à caractère non personnel peut être soumis à la loi informatique et libertés en tous cas à son article 32 II. •  Pour éviter cela il conviendrait de considérer que l’article 32 II s’applique uniquement aux cookies permettant une identification directe ou indirecte. •  Ce n’est pas la solution retenue par la Cnil 27
3.3 Un cookqui •  Champ d’application matériel de la directive 95/46 : les données à caractère personnel •  donc si le cookie est une donnée à caractère personnel alors toutes les dispositions de la loi informatique et libertés (Directive 95/46) s’appliquent en plus de l’article 32II (directive 2002/58) en vertu du principe selon lequel la loi spéciale prime sur la loi générale Cookie non Cookie donnée donnée à à caractère caractère personnel personnel 32 II 32 II Toutes les dispositions loi i et l 28
3.4 Un cookinfo •  Le moment de la cookinfo •  préalablement à l’installation ou à l’accès aux informations •  Les caractéristiques de la cookinfo •  de manière claire et complète •  L’étendue de la cookinfo •  la finalité de toute action tendant à accéder ou à inscrire des informations dans l’équipement •  les moyens de s’y opposer •  Comment faire la cookinfo : selon les cas •  sur le site lors du recueil du consentement •  dans les CG •  dans la notice légale 29
3.4 Un cookinfo •  Est ce que tous les cookies sont soumis à la cookinfo ? •  Difficulté d’interprétation : •  « Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur [….] •  exception pour l’obligation de consentement et d’information •  exception uniquement pour l’obligation de consentement •  renforcement de l’information et de la transparence •  Position de la Cnil : elle recommande d’effectuer l’information quelle que soit la nature des cookies •  Donc deux recettes du cookie •  recette light du cookie : information •  recette normale : information et consentement 30
3.5 Un cookin •  Le passage à l’opt-in •  Accord/consentement •  Traduction de « consent » de la directive 2002/58 en anglais en « accord » en français •  Aucune conséquence juridique •  Le consentement doit répondre aux caractéristiques du consentement défini par la directive 95/46 •  Libre, éclairé et exprès •  La validité du consentement recueilli par les paramètres appropriés du dispositif de connexion ou de tout autre dispositif placé le contrôle de l’utilisateur ou abonné •  Nécessité que cette possibilité soit techniquement possible et effective 31
3.5 Un cookin •  Le Test Qui connaît la procédure pour refuser/sélectionner les cookies ? 32
3.5 Un cookin •  Les caractéristiques pour que les navigateurs puissent constituer un consentement •  Paramétrage par défaut sur le refus •  Acceptation des cookies selon finalité •  Refus des flash cookies qui permettent de faire réapparaître des cookies supprimés •  Information claire, complète et visible •  Conclusion : en l’état actuel des caractéristiques des navigateurs, s’il est possible de paramétrer et de gérer les cookies, les éditeurs doivent encore améliorer l’information et les paramétrages afin que les navigateurs puissent constituer une technique valable de recueil du consentement •  Le groupe de l’article 29 les a instamment priés de prendre des mesures urgentes •  La Cnil considère que les navigateurs ne répondent pas à eux seuls aux exigences de l’article 32II 33
3.5 Un cookin •  Dispositif placé sous le contrôle de l’utilisateur ou de l’abonné •  Une solution : les plates-formes d’opt-in •  Des solutions existent mais fonctionnent sur le principe de l’opt- out •  Le groupe de l’article 29 considère dans son avis sur la publicité comportementale en ligne qu’en principe ces mécanismes ne permettent pas un consentement explicite •  Solution: modifier le fonctionnement de cette plate-forme •  Les autres méthodes de recueil de consentement •  Case à cocher … •  La fréquence de recueil du consentement : une fois suffit •  Conservation du choix grâce à un cookie 34
3.5 Un cookin •  Les cookies exclus : •  soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; •  soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur •  Des exclusions qui s’interprètent restrictivement •  Finalité exclusive •  Strictement nécessaire •  Mais plus larges que la directive 2002/58 : « permettre ou faciliter la communication » versus « visant exclusivement à effectuer la transmission » •  Exemple : •  les cookies flash pour la lecture d’une video •  les cookies de sécurité •  Les sanctions : de la contravention au délit •  R 625-10 du code pénal : contravention 5ème classe •  Délit de collecte déloyale 35
4. Les cinq conseils •  Audit de la politique de cookies •  Analyse et classification des cookies •  Renforcement de l’information sur les cookies •  Définition d’une nouvelle politique de cookies •  Déploiement de cette politique 36
Prochaine rencontre 14 décembre 2011 « Les arrêts-tendances de l’internet » Ce petit-déjeuner débat, animé par Eric Barbry, directeur du pôle Communications électroniques et droit du cabinet, et Jean-Jacques Gomez, ancien conseiller à la Cour de cassation, aujourd’hui avocat au sein du cabinet, sera l’occasion de dresser le bilan de l’année 2011, et d’anticiper ce qui pourrait advenir en 2012 Pour recevoir les lettres Juristendances, abonnez-vous sur notre site internet : www.alain-bensoussan.com 37
Contact et information "   Céline Avignon L.D. : 33 1 41 33 35 30 Mob. : 33 6 13 28 96 8 celine-avignon@alain-bensoussan.com "   Marc Gallardo L.D. : 34 9 32 65 58 42 marc.gallardo@alliantabogados.com Lexing est une marque déposée par Alain Bensoussan Selas 38
Crédits photos •  Conception et réalisation du support •  Alain Bensoussan avocats © 2011 •  Crédits •  Drapeau de l'Union Européenne©Frederic- Fotolia.com •  gavel on white background©webdata-Fotolia.com 39
40

Empfohlen

Cookies U.E./España/Reino Unido
Cookies U.E./España/Reino UnidoCookies U.E./España/Reino Unido
Cookies U.E./España/Reino Unidomarcgallardo
 
Cookies & do not track b. docquir
Cookies & do not track b. docquirCookies & do not track b. docquir
Cookies & do not track b. docquirbenjamindocquir
 
Les cookies et la lois
Les cookies et la loisLes cookies et la lois
Les cookies et la loisIngrid Rennoir
 
Formation E-publicité : mettre en place une campagne display
Formation E-publicité : mettre en place une campagne displayFormation E-publicité : mettre en place une campagne display
Formation E-publicité : mettre en place une campagne displayMaxime SAADA
 
PUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEME
PUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEMEPUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEME
PUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEMED2b Consulting
 
Publicité sur internet - Formats Publicitaires et Indices de Performance
Publicité sur internet - Formats Publicitaires et Indices de PerformancePublicité sur internet - Formats Publicitaires et Indices de Performance
Publicité sur internet - Formats Publicitaires et Indices de PerformanceD2b Consulting
 
GEMO 2016 : un digital de plus en plus cannibale ?
GEMO 2016 : un digital de plus en plus cannibale ?GEMO 2016 : un digital de plus en plus cannibale ?
GEMO 2016 : un digital de plus en plus cannibale ?PwC France
 
Conférence sur l’achat programmatique - Salon Emarketing 2014
Conférence sur l’achat programmatique - Salon Emarketing 2014Conférence sur l’achat programmatique - Salon Emarketing 2014
Conférence sur l’achat programmatique - Salon Emarketing 2014Digitall Makers
 

Empfohlen

Cookies U.E./España/Reino Unido
Cookies U.E./España/Reino UnidoCookies U.E./España/Reino Unido
Cookies U.E./España/Reino Unidomarcgallardo
 
Cookies & do not track b. docquir
Cookies & do not track b. docquirCookies & do not track b. docquir
Cookies & do not track b. docquirbenjamindocquir
 
Les cookies et la lois
Les cookies et la loisLes cookies et la lois
Les cookies et la loisIngrid Rennoir
 
Formation E-publicité : mettre en place une campagne display
Formation E-publicité : mettre en place une campagne displayFormation E-publicité : mettre en place une campagne display
Formation E-publicité : mettre en place une campagne displayMaxime SAADA
 
PUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEME
PUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEMEPUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEME
PUBLICITE SUR INTERNET : LE DISPLAY EN 2015 - ECOSYSTEMED2b Consulting
 
Publicité sur internet - Formats Publicitaires et Indices de Performance
Publicité sur internet - Formats Publicitaires et Indices de PerformancePublicité sur internet - Formats Publicitaires et Indices de Performance
Publicité sur internet - Formats Publicitaires et Indices de PerformanceD2b Consulting
 
GEMO 2016 : un digital de plus en plus cannibale ?
GEMO 2016 : un digital de plus en plus cannibale ?GEMO 2016 : un digital de plus en plus cannibale ?
GEMO 2016 : un digital de plus en plus cannibale ?PwC France
 
Conférence sur l’achat programmatique - Salon Emarketing 2014
Conférence sur l’achat programmatique - Salon Emarketing 2014Conférence sur l’achat programmatique - Salon Emarketing 2014
Conférence sur l’achat programmatique - Salon Emarketing 2014Digitall Makers
 
Dday Legal, Romain Robert
Dday Legal, Romain Robert Dday Legal, Romain Robert
Dday Legal, Romain Robert BDMA1
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalEdatis
 
RGPD : cookies et autres traceurs en ligne - CNIL
RGPD : cookies et autres traceurs en ligne - CNILRGPD : cookies et autres traceurs en ligne - CNIL
RGPD : cookies et autres traceurs en ligne - CNILFrenchTechCentral
 
Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes CGI FINANCE
 
Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Infopole1
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourrieljfderico
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
RGPD
RGPDRGPD
RGPDBenoît Chantre
 
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILCompteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILSociété Tripalio
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent ToubianaPetit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent ToubianaCommanders Act
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internetmariejura
 
OBF et RGPD
OBF et RGPDOBF et RGPD
OBF et RGPDSaarni Learning Oy
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursNiji
 
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheCharte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheFadhila BRAHIMI
 
Idcc 2205 accord deconnexion
Idcc 2205 accord deconnexionIdcc 2205 accord deconnexion
Idcc 2205 accord deconnexionSociété Tripalio
 
Internet of Things
Internet of Things Internet of Things
Internet of Things marcgallardo
 
Privacy in the Age of Big Data
Privacy in the Age of Big DataPrivacy in the Age of Big Data
Privacy in the Age of Big Datamarcgallardo
 

Weitere ähnliche Inhalte

Ähnlich wie Cookies.eu

Dday Legal, Romain Robert
Dday Legal, Romain Robert Dday Legal, Romain Robert
Dday Legal, Romain Robert BDMA1
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...Lexing - Belgium
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalEdatis
 
RGPD : cookies et autres traceurs en ligne - CNIL
RGPD : cookies et autres traceurs en ligne - CNILRGPD : cookies et autres traceurs en ligne - CNIL
RGPD : cookies et autres traceurs en ligne - CNILFrenchTechCentral
 
Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes CGI FINANCE
 
Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Infopole1
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourrieljfderico
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILCompteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILSociété Tripalio
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB FranceRomain Fonnier
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...Lexing - Belgium
 
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent ToubianaPetit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent ToubianaCommanders Act
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Pierre Ammeloot
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internetmariejura
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursNiji
 
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheCharte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheFadhila BRAHIMI
 

Ähnlich wie Cookies.eu (20)

Dday Legal, Romain Robert
Dday Legal, Romain Robert Dday Legal, Romain Robert
Dday Legal, Romain Robert
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
earlegal#10 - Cookies - Comment ne pas commettre de faux pas - 14 octobre 202...
 
Comment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legalComment prospecter en respectant le cadre legal
Comment prospecter en respectant le cadre legal
 
RGPD : cookies et autres traceurs en ligne - CNIL
RGPD : cookies et autres traceurs en ligne - CNILRGPD : cookies et autres traceurs en ligne - CNIL
RGPD : cookies et autres traceurs en ligne - CNIL
 
Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes Institut Digital CGI FInance - Recueillir le consentement des internautes
Institut Digital CGI FInance - Recueillir le consentement des internautes
 
Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !Présentation - Infopole fait sa rentrée !
Présentation - Infopole fait sa rentrée !
 
2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel2012 10 03 De Rico Loi anti-pourriel
2012 10 03 De Rico Loi anti-pourriel
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
RGPD
RGPDRGPD
RGPD
 
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNILCompteurs Linky : mise en demeure de Direct Energie par la CNIL
Compteurs Linky : mise en demeure de Direct Energie par la CNIL
 
Guide RGPD - IAB France
Guide RGPD - IAB FranceGuide RGPD - IAB France
Guide RGPD - IAB France
 
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
RGPD : 5 ans après, quel bilan ? L’APD de plus en plus sévère : zoom sur les ...
 
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent ToubianaPetit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
Petit Déjeuner Privacy - Présentation de la CNIL par Vicent Toubiana
 
Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018Présentation RGPD/GDPR 2018
Présentation RGPD/GDPR 2018
 
Webschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit InternetWebschool du Jura - Le Droit Internet
Webschool du Jura - Le Droit Internet
 
OBF et RGPD
OBF et RGPDOBF et RGPD
OBF et RGPD
 
Les impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateursLes impacts du RGPD sur les parcours utilisateurs
Les impacts du RGPD sur les parcours utilisateurs
 
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-rechercheCharte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
Charte droit-a-l-oubli-dans-les-sites-collaboratifs-et-les-moteurs-de-recherche
 
Idcc 2205 accord deconnexion
Idcc 2205 accord deconnexionIdcc 2205 accord deconnexion
Idcc 2205 accord deconnexion
 

Mehr von marcgallardo

Internet of Things
Internet of Things Internet of Things
Internet of Things marcgallardo
 
Privacy in the Age of Big Data
Privacy in the Age of Big DataPrivacy in the Age of Big Data
Privacy in the Age of Big Datamarcgallardo
 
Some IT law issues in Spain
Some IT law issues in SpainSome IT law issues in Spain
Some IT law issues in Spainmarcgallardo
 
La protección de la reputación online en España
La protección de la reputación online en EspañaLa protección de la reputación online en España
La protección de la reputación online en Españamarcgallardo
 
Cadre Juridique des Cookies dans l'UE
Cadre Juridique des Cookies dans l'UECadre Juridique des Cookies dans l'UE
Cadre Juridique des Cookies dans l'UEmarcgallardo
 
e-réputation en Espagne
e-réputation en Espagnee-réputation en Espagne
e-réputation en Espagnemarcgallardo
 

Mehr von marcgallardo (9)

Internet of Things
Internet of Things Internet of Things
Internet of Things
 
Privacy in the Age of Big Data
Privacy in the Age of Big DataPrivacy in the Age of Big Data
Privacy in the Age of Big Data
 
Some IT law issues in Spain
Some IT law issues in SpainSome IT law issues in Spain
Some IT law issues in Spain
 
La protección de la reputación online en España
La protección de la reputación online en EspañaLa protección de la reputación online en España
La protección de la reputación online en España
 
Privacy on SNS
Privacy on SNSPrivacy on SNS
Privacy on SNS
 
Privacy on SNS II
Privacy on SNS IIPrivacy on SNS II
Privacy on SNS II
 
Privacy on SNS
Privacy on SNSPrivacy on SNS
Privacy on SNS
 
Cadre Juridique des Cookies dans l'UE
Cadre Juridique des Cookies dans l'UECadre Juridique des Cookies dans l'UE
Cadre Juridique des Cookies dans l'UE
 
e-réputation en Espagne
e-réputation en Espagnee-réputation en Espagne
e-réputation en Espagne
 

Cookies.eu

  • 1. La nouvelle recette des cookies à la française Marc Gallardo & Céline Avignon
  • 2. Introduction •  Une actualité •  Une nécessité •  Des impacts opérationnels 2
  • 3. Plan 1. Le cadre juridique des cookies en UE 2. Exemples de transposition de la directive en Europe 3. La recette française 4. Les cinq conseils 3
  • 4. 1.Le cadre juridique des cookies en UE 1. Le référentiel légal 2. La directive 2002/58 3. La directive 2002/58 modifiée 2009/136 4
  • 5. 1.1 Le référentiel légal •  Directive 2002/58/CE “vie privée et communications électroniques”: Article 5.3. + Considérants 24 et 25 abrogent la Directive 97/66/CE modifiée par la Directive 2009/136/CE + Considérant 66 •  Directive 95/46/CE “Générale de Protection des données à caractère Personnel” 5
  • 6. 1.2 La directive 2002/58 •  L’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permise qu’à condition que l’abonné ou l’utilisateur soit muni, dans le respect de la directive 95/46/CE, d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. •  Information et opt-out 6
  • 7. 1.3 La directive 2002/58 modifiée 2009/136 •  Le stockage d’informations ou l’accès à des informations déjà stockées, dans l’équipement terminal de l’abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou utilisateur ait donné son accord après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. •  Le consentement –  Préalable au moment de placer un Cookie et/ou d’accéder aux informations déjà stockées –  Informé sur la base d’une information claire et complète (finalités du traitement) –  Révocable à n’importe quel moment et sans avoir à justifier la raison 7
  • 8. 1.3 La directive 2002/58 modifiée 2009/136 •  AVIS 2/2010 sur la publicité comportementale en ligne, adopté le 20 juin 2010 par le Groupe de Travail “Article 29” sur la Protection des Données –  Opt-out : Le Groupe considère que ce mécanisme ne convient pas pour obtenir un consentement informé et valable de l’utilisateur: •  Manque de connaissance sur la collecte des données et du fait qu’en ne procédant pas à un opt-out ils acceptent les Cookies; •  Le consentement implique une participation active de la personne concernée tandis que l’opt-out se réfère à une “non-réaction” –  Paramétrage du navigateur : Le Groupe doute que le paramétrage du navigateur soit la manifestation d’un consentement informé, valable et effectif: •  La plupart des navigateurs sont configurés par défaut pour autoriser tous les Cookies •  Manque de connaissance de l’utilisateur “moyen” sur l'existence ou les finalités des Cookies •  Absence d’action (non refus de Cookies) n’est pas une manifestation claire et 8 sans équivoque du consentement informé de l’utilisateur
  • 9. 1.3 La directive 2002/58 modifiée 2009/136 –  L’opt-in •  Les mécanismes opt-in préalables, qui requièrent une action positive sont conformes aux exigences de l’article 5.3. de la Directive 2002/58/CE •  L’acceptation d’un Cookie pourrait être interprétée comme valable non seulement pour l’envoi du Cookie mais aussi pour l’accès ultérieur aux informations de ce Cookie •  Trois types de garanties: i) limiter la portée du consentement, ii) informations supplémentaires, iii) consentement révocable •  Exceptions à la règle du consentement : –  les Cookies qui sont strictement nécessaires pour la fourniture d’un service expressément demandé par l'utilisateur. Exemples: fonction “panier d’achat” ou “check-out” d’un site de commerce électronique. A –  Cookies visant exclusivement à effectuer la transmission d’une communication par un réseau 9
  • 10. 1.3 La directive 2002/58 modifiée 2009/136 –  L’information •  Information suffisante et effective sur la collecte d’informations et sur les finalités du Cookie (Transparence) par la personne qui envoie et lit le Cookie •  Les informations devraient être communiquées de la façon “la plus conviviale possible”: •  Bon moyen: minimum d’informations directement sur l’écran de manière interactive, aisément visibles et compréhensibles, et renvoi pour l’information complète à une autre page du site •  Mauvais moyen: informations “cachées” dans des conditions générales et/ou dans des déclarations de la politique de confidentialité •  Dans le domaine de la publicité comportementale et des Cookies “Tiers”, le Groupe fait appel à la créativité des acteurs dans ce domaine –  Bon moyen: icônes placées autour des publicités et menant vers des informations supplémentaires 10
  • 11. 1.4 La Directive 95/46 •  L’équipement terminal + informations collectées par moyen des Cookies relèvent de la vie privée de l’utilisateur ... •  ... Mais ces informations peuvent être considérées comme des données à caractère personnel •  Quand : collecte adresses IP et d’identifiants uniques (par le Cookie) et autres scénarios possibles qui déclencheraient aussi l’application de la Directive Generale 95/46/CE 11
  • 12. 2 Exemples de transposition de la directive en europe 1. Etat de la transposition 2. Le cas du Royaume Uni 3. Le cas de l’Espagne 4. Les problématiques 12
  • 13. 2.1 Etat de la transposition •  25 mai 2011: date limite de transposition de la directive 2009/136/CE et par conséquent de l’article 5.3. modifié de la Directive 2002/58/CE •  À cette date seul le Danemark, Estonie, Finlande, Irlande, Suède, Malte et le Royaume-Uni avaient transposé la Directive “cookies” •  Le 24 novembre 2011 la Commission Européenne a envoyé un “avis motivé” à 16 États Membres qui n’avaient pas transposé (sauf Lettonie, Lithuanie, Luxembourg et Slovaquie). 13
  • 14. 2.2 Le cas du Royaume Uni •  Période moratoire d’1 an pour la mise en conformité de la nouvelle condition du consentement (jusqu’à 25 mai 2012) •  9 mai 2011: Rapport ICO •  Il accepte une période moratoire •  Approche pragmatique pour se conformer à la Directive “Cookie” •  Le paramétrage du navigateur n’est pas aujourd’hui une forme de recueil du consentement efficace. 14
  • 17. 2.3 Le cas de l’Espagne •  Projet de loi pour incorporer la Directive Cookie via modification art. 22.2 LSSI •  Transposition littérale de l’article 5.3 et considérant 66 (paramétrage), sauf Code de Conduite qui prévoit anciennes conditions (information + opt-out) •  Amendements du Parti Populaire •  Autorité compétente : AEPD •  Infraction mineure (jusqu’à 30.000€) ou grave (de 30.000 à 150.000 €) 17
  • 18. 2.4 Les problématiques •  Risque d’asymétries entre Etats membres lors de l’application de la règle du consentement •  Expérience plus défavorable pour les internautes sur le même site •  Challenge pour les entreprises opérant des sites multinationaux •  Impact négatif sur l’économie digitale de l’UE 18
  • 19. 3.La recette française du cookie 1. Décryptage de l’article 2. Un cookoi 3. Un cookqui 4. Un cookinfo 5. Un cookin 19
  • 20. 3.1 Décryptage de l’article •  Art 32 II actuel •  Art 32 II ancien II.-Tout abonné ou utilisateur d'un service de communications II.-Toute personne utilisatrice des réseaux de électroniques doit être informé de manière claire et complète, communications électroniques doit être informée de manière sauf s'il l'a été au préalable, par le responsable du traitement ou claire et complète par le responsable du traitement ou son son représentant : représentant : - de la finalité de toute action tendant à accéder, par voie de -de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans transmission électronique, à des informations stockées dans son équipement terminal de communications électroniques, ou à son équipement terminal de connexion, ou à inscrire, par la inscrire des informations dans cet équipement; même voie, des informations dans son équipement terminal - des moyens dont il dispose pour s'y opposer. de connexion ; -des moyens dont elle dispose pour s'y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l'accès aux Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de informations stockées dans l'équipement terminal de l'utilisateur l'utilisateur ou l'inscription d'informations dans l'équipement ou l'inscription d'informations dans l'équipement terminal de terminal de l'utilisateur : l'utilisateur : -soit a pour finalité exclusive de permettre ou faciliter la soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; communication par voie électronique ; -soit est strictement nécessaire à la fourniture d'un service de soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de communication en ligne à la demande expresse de l'utilisateur. l'utilisateur. 20
  • 21. 3.2 Un cookquoi •  Juridiquement •  La notion de cookie n’est pas mentionnée dans le texte •  Informations déjà stockées ou installées dans l’équipement terminal de communications : conception large de la notion de cookie •  Directive 2002/58 : données de connexion •  Techniquement •  Les cookies (ou http cookies, web cookies, browser cookies) sont des données utilisées par un serveur web pour envoyer des informations d’état au navigateur d’un utilisateur, et pour ce navigateur de renvoyer des informations d’état au serveur web d’origine. •  Origine: 1994: Lou Montelli intègre la technologie Cookie dans le navigateur Netscape pour la première fois 12.02.1996: Premier article sur les Cookies dans les média (Financial Times) à cause des possibles intrusions dans la vie privée des Cookies21 utilisés à des fins publicitaires
  • 22. 3.2 Un cookquoi •  Les différents types de cookies : •  Cookie de session : Ce type de cookie ne dure que pour la durée de navigation de l’internaute sur un serveur web donné. Le navigateur supprime normalement ce cookie dès que l’internaute quitte le site internet. •  Cookie persistant : Ce cookie reste stocké sur l’équipement terminal de l’utilisateur et a une durée de conservation assez longue : il permet notamment au serveur web de connaître la première date de connexion et/ou les suivantes ce qui permet de suivre l’historique de connexion de l’utilisateur. Cela constitue souvent une information de valeur et explique pourquoi ils sont également appelés tracking cookies ou in-memory cookies. •  Cookie sécurisé : Ils sont uniquement utilisés lorsqu’un navigateur se connecte par HTTPS à un serveur, ce qui assure que le cookie est toujours crypté lorsqu’il est transmis du client au serveur. Cela permet de lutter notamment contre le vol de cookie. •  Flash cookies : Utilisés pour rétablir des cookies traditionnels qui ont été supprimés ou effacés. •  Third-party Cookies : Normalement, un cookie est transmis avec l’adresse du domaine hôte qui s’affiche dans la barre d’adresse (si un navigateur va sur le site alain-bensoussan.com, le cookie de session aura comme domaine hôte alain-bensoussan.com). Un third-party cookie contient un domaine hôte distinct de la page internet visitée, c’est-à-dire que cette page présentera du contenu en provenance d’autres serveurs web, tel que des publicités. 22
  • 23. 3.3 Un cookqui •  Abonné et utilisateur : les titulaires des droits •  Personne qui dispose d’un abonnement à un service de communications électroniques ou qui utilise un service de communications électroniques •  Le responsable du traitement : le titulaire de l’obligation •  La personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement •  Champ d’application matériel de la directive 2002/58 •  absence de qualification des informations stockées dans l’équipement terminal •  donc s’applique même aux cookies qui ne peuvent pas être qualifiés de données à caractère personnel 23
  • 24. 3.3 Un cookqui • Le groupe de l’article 29 indique que ce qui doit être préservé c’est la vie privée et non pas les données à caractère personnel • La Cnil considère que pour cette raison, l’article 32 II s’applique y compris aux cookies qui ne sont pas directement ou indirectement identifiants •  Difficultés : •  La directive 2002/58 modifiée s’applique selon son article 3 au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public […] •  Dans la loi informatique et libertés qui s’applique uniquement selon l’article 2: « aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers […] ». 24
  • 25. 3.3 Un cookqui •  Donc devinette : parmi ces données qui est l’intrus? Adresse postale Empreinte digitale Informations installées ou stockées sur l’équipement Numéro de terminal de Adresse IP l’utilisateur téléphone Numéro de sécurité sociale 25
  • 26. 3.3 Un cookqui •  Les cookies sont les premières données qui peuvent ne pas être des données à caractère personnel mais qui relèvent de la loi informatique et libertés COOKIES = OJNI dans la loi informatique et libertés ? Cookie 26
  • 27. 3.3 Un cookqui •  Un responsable de traitement de données à caractère non personnel peut être soumis à la loi informatique et libertés en tous cas à son article 32 II. •  Pour éviter cela il conviendrait de considérer que l’article 32 II s’applique uniquement aux cookies permettant une identification directe ou indirecte. •  Ce n’est pas la solution retenue par la Cnil 27
  • 28. 3.3 Un cookqui •  Champ d’application matériel de la directive 95/46 : les données à caractère personnel •  donc si le cookie est une donnée à caractère personnel alors toutes les dispositions de la loi informatique et libertés (Directive 95/46) s’appliquent en plus de l’article 32II (directive 2002/58) en vertu du principe selon lequel la loi spéciale prime sur la loi générale Cookie non Cookie donnée donnée à à caractère caractère personnel personnel 32 II 32 II Toutes les dispositions loi i et l 28
  • 29. 3.4 Un cookinfo •  Le moment de la cookinfo •  préalablement à l’installation ou à l’accès aux informations •  Les caractéristiques de la cookinfo •  de manière claire et complète •  L’étendue de la cookinfo •  la finalité de toute action tendant à accéder ou à inscrire des informations dans l’équipement •  les moyens de s’y opposer •  Comment faire la cookinfo : selon les cas •  sur le site lors du recueil du consentement •  dans les CG •  dans la notice légale 29
  • 30. 3.4 Un cookinfo •  Est ce que tous les cookies sont soumis à la cookinfo ? •  Difficulté d’interprétation : •  « Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur [….] •  exception pour l’obligation de consentement et d’information •  exception uniquement pour l’obligation de consentement •  renforcement de l’information et de la transparence •  Position de la Cnil : elle recommande d’effectuer l’information quelle que soit la nature des cookies •  Donc deux recettes du cookie •  recette light du cookie : information •  recette normale : information et consentement 30
  • 31. 3.5 Un cookin •  Le passage à l’opt-in •  Accord/consentement •  Traduction de « consent » de la directive 2002/58 en anglais en « accord » en français •  Aucune conséquence juridique •  Le consentement doit répondre aux caractéristiques du consentement défini par la directive 95/46 •  Libre, éclairé et exprès •  La validité du consentement recueilli par les paramètres appropriés du dispositif de connexion ou de tout autre dispositif placé le contrôle de l’utilisateur ou abonné •  Nécessité que cette possibilité soit techniquement possible et effective 31
  • 32. 3.5 Un cookin •  Le Test Qui connaît la procédure pour refuser/sélectionner les cookies ? 32
  • 33. 3.5 Un cookin •  Les caractéristiques pour que les navigateurs puissent constituer un consentement •  Paramétrage par défaut sur le refus •  Acceptation des cookies selon finalité •  Refus des flash cookies qui permettent de faire réapparaître des cookies supprimés •  Information claire, complète et visible •  Conclusion : en l’état actuel des caractéristiques des navigateurs, s’il est possible de paramétrer et de gérer les cookies, les éditeurs doivent encore améliorer l’information et les paramétrages afin que les navigateurs puissent constituer une technique valable de recueil du consentement •  Le groupe de l’article 29 les a instamment priés de prendre des mesures urgentes •  La Cnil considère que les navigateurs ne répondent pas à eux seuls aux exigences de l’article 32II 33
  • 34. 3.5 Un cookin •  Dispositif placé sous le contrôle de l’utilisateur ou de l’abonné •  Une solution : les plates-formes d’opt-in •  Des solutions existent mais fonctionnent sur le principe de l’opt- out •  Le groupe de l’article 29 considère dans son avis sur la publicité comportementale en ligne qu’en principe ces mécanismes ne permettent pas un consentement explicite •  Solution: modifier le fonctionnement de cette plate-forme •  Les autres méthodes de recueil de consentement •  Case à cocher … •  La fréquence de recueil du consentement : une fois suffit •  Conservation du choix grâce à un cookie 34
  • 35. 3.5 Un cookin •  Les cookies exclus : •  soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; •  soit est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur •  Des exclusions qui s’interprètent restrictivement •  Finalité exclusive •  Strictement nécessaire •  Mais plus larges que la directive 2002/58 : « permettre ou faciliter la communication » versus « visant exclusivement à effectuer la transmission » •  Exemple : •  les cookies flash pour la lecture d’une video •  les cookies de sécurité •  Les sanctions : de la contravention au délit •  R 625-10 du code pénal : contravention 5ème classe •  Délit de collecte déloyale 35
  • 36. 4. Les cinq conseils •  Audit de la politique de cookies •  Analyse et classification des cookies •  Renforcement de l’information sur les cookies •  Définition d’une nouvelle politique de cookies •  Déploiement de cette politique 36
  • 37. Prochaine rencontre 14 décembre 2011 « Les arrêts-tendances de l’internet » Ce petit-déjeuner débat, animé par Eric Barbry, directeur du pôle Communications électroniques et droit du cabinet, et Jean-Jacques Gomez, ancien conseiller à la Cour de cassation, aujourd’hui avocat au sein du cabinet, sera l’occasion de dresser le bilan de l’année 2011, et d’anticiper ce qui pourrait advenir en 2012 Pour recevoir les lettres Juristendances, abonnez-vous sur notre site internet : www.alain-bensoussan.com 37
  • 38. Contact et information "   Céline Avignon L.D. : 33 1 41 33 35 30 Mob. : 33 6 13 28 96 8 celine-avignon@alain-bensoussan.com "   Marc Gallardo L.D. : 34 9 32 65 58 42 marc.gallardo@alliantabogados.com Lexing est une marque déposée par Alain Bensoussan Selas 38
  • 39. Crédits photos •  Conception et réalisation du support •  Alain Bensoussan avocats © 2011 •  Crédits •  Drapeau de l'Union Européenne©Frederic- Fotolia.com •  gavel on white background©webdata-Fotolia.com 39
  • 40. 40