L’implémentation de cookies d’analyse et de statistiques de fréquentation des sites internet est-elle soumise au consentement de l’utilisateur ?
L’ordonnance du 24 août 2011 transposant en France, les directives européennes relatives au traitement des données à caractère personnel et de la protection de la vie privée, prévoit une obligation de recueil du consentement de l’internaute s’agissant du stockage d’informations ou de l’accès à des informations déjà stockées dans son équipement terminal. Cette ordonnance est venue modifier l’article 32 II de la loi Informatique et libertés.
Une interprétation stricte du texte conduit à considérer que l’implémentation de cookies d’analyse et de statistiques de fréquentation des sites internet est soumise à l’obligation de recueil du consentement de l’utilisateur. La Cnil a d’abord préconisé une application stricte du nouvel article 32 II de la loi Informatique et libertés, pour les cookies d’analyse et de statistiques de fréquentation des sites internet.
Cependant, après la publication le 10 avril 2012, de l’Union française du marketing direct (UFMD) d’un guide des bonnes pratiques concernant l’usage des cookies publicitaires, la Cnil a adapté sa position aux pratiques relevées sur l’Internet. Désormais, la Cnil considère que ces cookies peuvent « être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées » en raison de leur finalité et du risque limité qu’ils font encourir à la vie privée.
Néanmoins, la Cnil prévoit que l’adresse IP utilisée à des fins de géolocalisation doit être limitée à l’identification de la ville de l’internaute et être supprimée ou anonymisée « pour éviter toute autre utilisation de cette donnée personnelle ou tout autre recoupement avec d’autres informations personnelles ».
A l’occasion d’un avis du 7 juin 2012 (1) portant sur l’exemption de consentement pour les cookies, le Groupe de l’article 29 (2) se positionne sur la question des cookies d’analyse et de statistiques de fréquentation des sites. Les autorités européennes de protection des données ont analysé les exemptions à l’exigence de consentement et traité le cas des cookies qui, sous certaines conditions, peuvent être placés sans le consentement de l’internaute.
Le Groupe de l’article 29 explique que bien qu’ils ne relèvent pas de l’exemption conformément au critère de la directive, ils ne sont pas susceptibles de créer un risque pour la confidentialité lorsqu’ils sont strictement limités à une utilisation par « la première partie » (éditeur du site) et lorsqu’ils sont utilisés par des sites web qui offrent déjà des informations claires à ce sujet ainsi que des garanties de confidentialité suffisantes.
Le Groupe de l’article 29 précise que ces garanties de confidentialité devraient inclure un mécanisme convivial d’opt-out de toute collecte de données et un mécanisme d’anonymisation complet appliquées aux données d’identifications recueillies telles que les adresses IP.
Enfin, le Groupe de l’article 29 propose l’intégration d’un troisième critère d’exemption au sein de la directive 2002/58/CE, pour les cookies qui sont strictement limités à la première partie anonymisées et agrégées à des fins statistiques.