L’année 2001 et la protection des données
ainsi préalablement stockées dans le terminal (la lecture d’un « cookie » précédemment stocké), n’est autorisée que si l’internaute a été préalablement informé de manière « claire et complète » des finalités du « cookie » et des moyens de s’y opposer.
Elles interdisent par ailleurs de subordonner l’accès à un service Web à l’acceptation
des « cookies », et ménagent des dérogations lorsque le « cookie » a pour seule finalité d’assurer la sécurité d’une connexion, ainsi par exemple, l’accès à une messagerie distante.
Ces dispositions consacrent la doctrine développée par la CNIL qui n’avait
pas estimé utile de suggérer qu’elles soient consacrées au niveau législatif. L’amendement initialement présenté s’inspirait de très près d’un amendement que le Parlement européen avait adopté à l’occasion de la révision de la directive relative à la
protection des données personnelles en matière de télécommunications. L’amendement discuté devant le Parlement européen avait pour objet d’interdire que des informations puissent être stockées dans l’équipement terminal, d’un abonné, ainsi que
tout accès à des informations stockées dans ce terminal sans le consentement préalable de la personne concernée. Cette disposition visait à interdire les logiciels
espions et ne pouvait, à ce titre, qu’être approuvée. Cependant elle conduisait également à soumettre au consentement préalable de l’internaute l’usage des « cookies ».
Dans sa généralité, une telle disposition ne paraissait pas adaptée, ce qui a conduit
la CNIL à diffuser un communiqué de presse le 7 décembre 2001 sur cette question.
S’il est vrai, en effet, que certains usages de cette technologie, notamment
aux États-Unis, ont pu susciter de légitimes inquiétudes il y a quelques années, la
réaction des internautes et des autorités de protection des données ont largement permis de les apaiser. Ainsi, les navigateurs les plus répandus permettent, grâce à un
paramétrage très simple à mettre en œuvre, d’être systématiquement informé de
l’envoi d’un « cookie » et de s’y opposer. Ils permettent également de refuser systématiquement tout « cookie ». Enfin, à la différence des données personnelles enregistrées sur le serveur d’un tiers, les « cookies » qui ne peuvent être lus que par son
émetteur peuvent être effacés par l’internaute de son disque dur. La rubrique « Vos
traces sur Internet » sur www.cnil.fr donne les précisions utiles à cet égard.
La CNIL a rappelé que la plupart des « cookies » jouent le rôle de simples
« témoins de connexion » destinés à faciliter la navigation sur un site Web ou à sécuriser l’accès (à sa messagerie électronique par exemple) sans avoir à ressaisir des
informations identifiantes, et qu’elle recommandait depuis juillet 1998 que le site
émetteur informe les internautes de la finalité des « cookies », de leur durée de validité s’ils ne sont pas effacés par l’internaute à l’issue de la session, et des conséquences de la désactivation de ces procédés. Elle indiquait qu’une information claire et
complète sur ces points était seule de nature à apaiser les inquiétudes trop souvent
encore entretenues par un regrettable défaut de transparence.
En définitive, la Commission considère comme satisfaisante la rédaction
d’équilibre finalement retenue, à ce stade de la procédure parlementaire, par
l’Assemblée nationale.
34
e
CNIL 22 rapport d'activité 2001