J'avais annoncé le 16 février qu'il restait 112 jours avant l'optin cookie. Au 4 avril, il reste donc 21 jours pour valider ou non cette option. Bien sûr, depuis, les acteurs impactés par cette loi se sont manifestés. L'IAB exerce un lobbying européen puissant, le SNCD et l'UFMD font feu de tout bois et les négociations vont bon train avec le ministère de M. Besson.
Pour mieux comprendre les enjeux, je vous propose d'examiner le texte original qui provoque de tels débats et ouvre de tels champs d'interprétation.
Il s'agit de la directive européenne suivante (la télécharger en entier).
"DIRECTIVE 2009/136/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n°2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs".
Toute la matière touchant aux cookies est située dans le "considérant 66" de la directive, qui traite du sujet du cookie.
Je vous propose de décrypter le texte ensemble.
(66) Il se peut que des tiers souhaitent stocker des informations sur l’équipement d’un utilisateur, ou obtenir l’accès à des informations déjà stockées, à des fins diverses, qu’elles soient légitimes (certains types de cookies, par exemple) ou qu’elles impliquent une intrusion non autorisée dans la sphère privée (logiciels espions ou virus, par exemple).
- Le contexte est clairement posé, on parle bien de cookies.
Il est donc extrêmement important que les utilisateurs disposent d’informations claires et complètes lorsqu’ils entreprennent une démarche susceptible de déboucher sur un stockage ou un accès de ce type.
- De nombreux sites disposent de pages d'information sur l'usage des cookies, la nature des données recueillies et la politique de confidentialité. Rien de bien nouveau.
Les méthodes retenues pour fournir des informations et offrir le droit de refus devraient être les plus conviviales possibles.
- Le degré et la définition 'des méthodes conviviales" n'étant pas précisés, toutes les interprétations sont possibles.
Les dérogations à l’obligation de fournir des informations et de donner le droit de refus devraient être limitées aux situations dans lesquelles le stockage technique ou l’accès est strictement nécessaire afin d’autoriser légitimement l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur.
Le cookie étant au coeur des services de fidélisation, d'accès à des services en ligne et de gestion du panier pour les sites marchands, le texte prévoit donc des situations où l'usage est "strictement nécessaire". Bien sûr, le terme strictement nécessaire est sujet à interprétation.
Enfin, on notera que "l'obligation de... donner le droit de refus" apparaît au début du paragraphe, alors qu'il était absent jusqu'alors.
Lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la
directive 95/46/CE, l’accord de l’utilisateur en ce qui concerne le traitement peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application.
Dans sa grande sagesse, le parlement européen laisse une grande marge d'interprétation :
- soit l'optin est porté par le navigateur
- soit celui-ci doit être demandé par 'obligation de donner le droit de refus', en d'autres termes le droit d'opposition.
Et enfin, "La mise en oeuvre de ces exigences devrait être rendue plus efficace en renforçant les pouvoirs conférés aux autorités nationales compétentes en la matière."
Soit précisément la CNIL en France, qui avec ce dernier paragraphe, se positionne comme autorité compétente.
On voit bien se dessiner la rapport de force qui se joue actuellement entre la CNIL, l'état et les associations professionnelles autour de ce texte, dont les axes d'interprétation sont grands.
Si l'on se penche sur nos voisins du Royaume Uni, la situation d'interprétation du texte est aussi en cours, comme le précise cet article de la BBC. Toutefois, l'article précise que l'ICO, organisme chargé de gérer ce dossier, constate que les possibilités des navigateurs ne seraient pas assez sophistiquées par rapport aux demandes de la communauté européenne.
Heureusement que ce sont des navigateurs anglais et que les nôtres sont différents ;-) !!
A suivre
Commentaires