Avez-vous entendu parler du Règlement e-Privacy ? Tout comme le RGPD, ce nouveau texte harmonisera au niveau européen les règles du jeu sur certains sujets. Il remettra notamment à plat la manière de gérer les cookies sur vos sites web. Mesure d’audience, cookies walls, paramétrage navigateur…
Dans cet article nous faisons le point sur la version à date du règlement ePrivacy et sur son impact sur la gestion des cookies et ce qui changera par rapport au cadre actuel, et ce que cela signifie pour votre site web.
Pourquoi un règlement ePrivacy sur les cookies ?
Lancé en 2017, le projet de Règlement ePrivacy est le pendant du RGPD. Il harmonisera les règles sur des sujets tels que :
- la prospection commerciale ;
- l’utilisation des méta-données ;
- ou encore les cookies.
Etait-ce nécessaire ?
Il existe bien une directive européenne du même nom. Mais chaque État doit la transposer dans sa législation nationale. Et les Parlements ne sont pas toujours d’accord entre eux. Les autorités de régulation non plus, d’ailleurs.
D’un pays à l’autre, les règles peuvent donc varier concernant par exemple :
- l’exemption de consentement ou non pour les cookies de mesure d’audience ;
- l’acceptabilité du cookie wall ;
- la nécessité d’imposer un bouton “Refuser” à côté du bouton “Accepter”.
Dans une optique de construction d’un marché unique du digital, une harmonisation maximale était donc réellement attendue.
Kézako ?
C’est simple. Le RGPD sera le cadre de référence pour tout ce qui concerne le traitement de données personnelles. Mais le Règlement ePrivacy complétera les règles générales du RGPD sur le traitement des données personnelles en fournissant des règles spécifiques régissant les communications électroniques. À ce titre, le règlement ePrivacy primera sur le RGPD dans les situations où les deux lois s’appliquent.
Un règlement ePrivacy, pour quand ?
Longtemps annoncé, souvent repoussé…
Le règlement ePrivacy élève la directive ePrivacy (qui existe depuis 2002) à un niveau supérieur de droit européen afin de l’actualiser, de la clarifier et de la moderniser.
Le calendrier a finalement été accéléré et, en février 2021, le Conseil de l’UE a adopté sa position et convenu d’un projet de texte. Le règlement ePrivacy va maintenant faire l’objet de négociations en trilogue entre le Parlement européen, le Conseil de l’UE et la Commission européenne.
Une fois le processus législatif achevé et le texte adopté, les organismes bénéficieront d’une période transitoire pour le mettre en œuvre. Les efforts à accomplir dépendront en partie de ce que vous aurez déjà fait pour respecter le RGPD.
Consentement : le Règlement ePrivacy autorise le paramétrage par le navigateur
Le Règlement ePrivacy confortera en partie les règles actuelles en renforçant encore la nécessité d’obtenir le consentement avant de collecter et de traiter les données personnelles des utilisateurs. Le dépôt et l’utilisation de cookies (et autres traceurs…) non-essentiels au fonctionnement du site ne sera possible qu’après information et recueil du consentement de l’utilisateur.
Cela concerne par exemple :
- les cookies sociaux, vidéo… ;
- les cookies publicitaires ;
- les cookies de personnalisation du site.
Par exception, les cookies considérés comme essentiels seront exemptés de consentement :
- s’ils servent exclusivement à effectuer ou faciliter une communication électronique ;
- s’ils sont strictement nécessaires à la fourniture d’un service demandé expressément par l’utilisateur.
De quelle manière pouvez-vous recueillir l’accord de l’utilisateur ?
En configurant le navigateur ?
Le RGPD y est ouvert mais les autorités de régulation s’y sont souvent opposées. Selon la CNIL, par exemple, les paramétrages actuellement proposés ne permettent pas d’exprimer un consentement conforme.
Cette position a obligé les propriétaires de sites à déployer une vraie politique de gestion de leurs cookies en :
- intégrant une bannière de cookies permettant de collecter et stocker des consentements et des non consentements.
- revoyant leurs politiques de cookies et autres politiques de confidentialité pour ne plus faire référence au paramétrage via le navigateur. Si l’utilisateur souhaite exprimer un choix, il devra l’effectuer site par site, via la bannière de consentement aux cookies toujours disponible.
Avec le règlement ePrivacy, les éditeurs de navigateurs devront développer et proposer aux utilisateurs finaux des paramétrages conformes au cadre légal. Concrètement, l’utilisateur inscrira dans une liste blanche les cookies qu’il entend autoriser une fois pour toutes. Et bien sûr, il pourra revenir sur sa décision quand il le souhaitera.
Avec le règlement ePrivacy, quid du consentement pour la mesure d’audience ?
Aah, les cookies de mesure d’audience…
La gestion d’un site web requiert généralement l’utilisation de statistiques de fréquentation ou de performance, souvent indispensables à la fourniture du service. L’idée que les cookies déposés dans cet objectif peuvent être exemptés de consentement a fait son chemin. Mais cette exemption n’existe pas dans le cadre du RGPD.
Néanmoins, la CNIL a publié des lignes directrices pour bénéficier de l’exemption de consentement et permettre à un éditeur de site internet de contourner la nécessité d’obtenir le consentement préalable de l’utilisateur avant de déposer des cookies. Elle est applicable en France uniquement. Pour en bénéficier, il faut néanmoins respecter des conditions très strictes (production de données statistiques anonymes ; pas de suivi global de la navigation d’un utilisateur sur plusieurs sites…).
Le règlement ePrivacy conforte cette exemption dès lors que la mesure d’audience sera réalisée :
- par l’éditeur du site concerné ;
- par un tiers agissant pour son compte ou au moins de manière conjointe. L’exemption permettra ainsi d’utiliser un outil de webanalytics.
Vous utilisez votre solution de webanalytics dans un but marketing ou publicitaire ?
Le consentement préalable restera nécessaire pour déposer les cookies. Le traitement de données personnelles en découlant est en effet considéré comme plus sensible.
D’autres cookies seront exemptés de consentement s’ils servent à :
- la sécurité de la communication électronique ou du terminal de l’internaute ;
- prévenir la fraude ;
- détecter des incidents ;
- la mise à jour des logiciels (dans certains cas).
Tous les cookies (même les cookies techniques essentiels à la fourniture d’un service et les cookies analytics exemptés de consentement) restent soumis à une obligation d’information. Elle se concrétise via l’affichage d’un bandeau cookies et une rubrique d’information dédiée à ce sujet dans votre politique de cookie.
Avec le règlement ePrivacy, les cookies walls, c’est oui
Si le RGPD définit les critères d’un consentement valide, le diable en les détails. Les cookies walls, c’est le détail…
Le Règlement ePrivacy les autorise à condition toutefois que cela n’oblige pas l’utilisateur final à accepter les cookies.
En d’autres termes, un site web peut demander à un utilisateur d’accepter les cookies pour consulter son contenu d’information. Mais l’utilisateur doit pouvoir utiliser une voie alternative qui n’impose pas d’accepter les cookies.
Conclusion : prêts pour respecter le règlement ePrivacy ?
Le règlement ePrivacy est une affaire à suivre. Il ne faut pas redouter son adoption. Une politique de cookies respectant les exigences légales actuelles, notamment celles précisées en France par la CNIL, devrait rester largement valable sous l’empire de cette nouvelle norme.
Si vous ne l’avez pas encore fait, l’important est que vous déployez sur votre site une politique de gestion des cookies. Notamment en installant une solution de collecte et de stockage des consentements.