La France a transposé « le Paquet Télécom » (directive 2009/136 du 25  novembre 2009) par ordonnance 2011-1012 du 24 août 2011 publiée au journal  officiel le 26 août 2011. Hervé Gadabou, avocat associé chez Courtois Lebel, explique comment cette ordonnance du 24 août 2011 modifie notamment certaines dispositions de la loi n°78- 17 du 6 janvier 1978 Informatiques, Fichiers et Libertés.

Les cookies : l'acceptation préalable de l'utilisateur

L'ordonnance du 24 août 2011 relative aux communications électroniques modifie l'article 32 II de la Loi n°78-17 du 6 janvier 1978. Cet article impose de nouvelles contraintes aux responsables de traitement de données personnelles, s'agissant des cookies.

Désormais, l'utilisation de cookies doit être préalablement soumise à l'acceptation de l'utilisateur (système dit de l'« opt in »). En d'autres termes, les opérateurs internet responsables de traitement de données personnelles doivent obtenir le consentement des internautes, après leur avoir donné des informations « claires et complètes » (finalité des cookies et description des moyens pour s'y opposer), avant d'implanter des cookies dans leurs systèmes.

Pour rappel, jusqu'à la publication de l'ordonnance du 24 août 2011, les utilisateurs pouvaient s'y opposer, mais postérieurement à l'installation dudit cookie (système dit de l' « opt out »).

Les exceptions à l'obligation d'obtenir l'accord préalable de l'intéressé, déjà présentes dans l'ancien article 32, sont maintenues pour :

• Les cookies qui ont pour « finalité exclusive de permettre ou faciliter la communication par voie électronique » et

• Les cookies qui sont « strictement nécessaires à la fourniture d'un service expressément demandé par l'internaute ».

Les moyens techniques permettant de satisfaire à ces obligations restent à déterminer. En effet, le texte précise seulement que l'accord « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

L'opérateur doit en tout état de cause modifier les conditions d'utilisation de son site pour remplir son devoir d'information, en intégrant les nouvelles dispositions imposées par l'ordonnance. Ces modifications devront être portées à l'attention de l'internaute et expressément acceptées par ce dernier (et non tacitement), et ce avant même « toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».

Il conviendra de suivre l'évolution des recommandations techniques, conseils et mentions d'informations types publiées par la CNIL, laquelle ne semble pas encore avoir mis à jour son site internet.

L'obligation de notification

L'article 38 de l'ordonnance du 24 août 2011 intègre un article 34 bis dans la Loi n°78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de données personnelles (Data Security Breach).

• Qui est concerné ?

L'obligation de notification concerne les données traitées dans le cadre de la « fourniture de services de communications électroniques ouverts au public», ce incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ».

Pour rappel, on entend par « services de communications électroniques » les prestations consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique.