Si ce cadre juridique n’est pas véritablement nouveau, sa mise en œuvre opérationnelle l’est. De fait, nous commençons à voir apparaître des bandeaux d’autorisation préalable à la collecte d’informations via les « traceurs » d’internet. Qui n’a pas remarqué celui tout récemment posté par Facebook ?
Désormais, la volonté affichée des professionnels du secteur est de passer d’un système de « Data Privacy » à celui de « Data Quality ». C’est-à-dire qu’il ne suffit plus de sécuriser la collecte de données personnelles. Il faut aussi garantir la qualité et la pertinence des données à chaque niveau d'exploitation afin qu’un équilibre entre intrusion dans la vie privée et service rendu au consommateur puisse s’établir. C’est en se sens que l’on parle de « Clean data » ou donnée propre, qui n’est collectée qu’avec le consentement éclairé de l’intéressé.
Pour les professionnels, la « Data Quality » peut se résumer par quatre actions : collecter, analyser, exploiter et partager les données pertinentes.
Il faut réussir à recueillir les données personnelles à la carte en customisant le traitement des informations. Il est certain que la volonté d'accepter la collecte de données évolue dans le temps, en fonction de sa relation client avec le site ou la marque demandeuse. Les marques qui s'en sortent le mieux et arrivent à collecter un maximum d’informations sont celles qui informent vraiment leurs clients et leurs garantissent que cette collecte permet d'améliorer leurs services.
Cadre juridique applicable :
Selon la Commission nationale de l'informatique et des libertés (CNIL), en modifiant l'article 5(3) de la directive 2002/58/CE par l'adoption de la directive 2009/136/CE, « le législateur européen a posé le principe :
- d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées.
- sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. »
L'article 32-II de la loi informatique et libertés du 6 janvier 1978, modifié par l'ordonnance du 24 août 2011 qui a transposé la directive européenne reprend ce principe. En application de ces mesures, les traceurs (cookies, fingerprinting, applications mobiles…) ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement, rappelle la CNIL dans sa recommandation de décembre 2013 relative aux cookies et aux autres traceurs.
Compte tenu de la diversité des technologies utilisées et du nombre d’acteurs en présence, la CNIL a organisé pendant plusieurs mois une concertation avec les principaux professionnels concernés. Luc Mornat, directeur commercial d'AT Internet, qui fait aujourd'hui partie du carré des leaders du secteur, confirme cette concertation débutée avant la formulation de la recommandation de la CNIL.
Terminologie :
Si comme la plupart des gens les cookies ne vous évoquent rien d’autre que des pâtisseries, la CNIL a créé pour vous des petites vidéos tutorielles très sympathiques (tutoriel-tout-savoir-sur-les-cookies_tech). En fait, sont concernés les traceurs déposés et lus lorsqu’on surfe sur internet, qu’on ouvre un mail, qu’on installe ou utilise un logiciel ou une application mobile et ce, quel que soit le type de terminal utilisé connectée à internet (ordinateur, smartphone, tablette, liseuse numérique, console de jeux vidéos).
A ce titre, le terme de cookies recouvre par exemple :
- les cookies http (Protocole de Transfert HyperTexte)
- les cookies « flash »
- le résultat du calcul « d'empreinte digitale numérique » dans le cas du fingerprinting (calcul d'un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage : logiciels et extensions installées, fuseau horaire, police d'écriture, taille et résolution d'écran…)
- les pixels invisibles ou web bugs
- tout autre identifiant généré par un logiciel ou un système d'exploitation
Comment recueillir valablement notre consentement ?
Tant que l’internaute n'a pas donné son consentement, les cookies ne peuvent être déposés ou lus sur son terminal. L’opérateur ou le site internet doit donc requérir son consentement à chaque fois qu'une nouvelle finalité vient s'ajouter aux finalités initialement prévues.
Le consentement est une manifestation de volonté, libre, spécifique et informée. Il est donc évident que la validité du consentement est liée à la qualité de l'information reçue. Ce consentement est valable 13 mois maximum.
La CNIL souligne ainsi que l’information doit être visible, mise en évidence et complète. Elle doit aussi être rédigée en des termes simples et compréhensibles pour tout utilisateur et leur permettre d'être parfaitement informés des différentes finalités des cookies.
Pour cela, la forme classique retenue est celle du bandeau d’information préalable. Voici le modèle à utiliser pour des cookies publicitaires et de mesure d’audience présenté par la CNIL.
« En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de [ Cookies ou autres traceurs ] pour vous proposer [Par exemple, des publicités ciblées adaptés à vos centres d’intérêts]et [ Par exemple, réaliser des statistiques de visites].
Pour en savoir plus et paramétrer les traceurs »
Si celui de Facebook est plutôt traditionnel, celui de Converse est beaucoup plus original (voir illustrations). Dans ce domaine, privilégier l'humour peut être très efficace.
Nous pouvons dès à présent choisir quel type d’informations peuvent être collectées ou non à notre sujet et protéger notre vie privée. Pour nous aider, certains logiciels gratuits comme Ccleaner permettent de nettoyer nos ordinateurs, et des tutoriels variés nous montrent comment limiter nos traces sur la toile (tutoriel-cnil-4-limiter-ses-traces-sur-internet_tech).
Enfin, la CNIL met à disposition de tous « Cookieviz », un outil de visualisation qui identifie en temps réel les cookies qui transmettent des informations vous concernant à d'autres sites.
