Les bandeaux cookies sont de plus en plus fréquents sur les sites internet, un passage leur est consacré dans la politique de confidentialité. Parfois même, une politique leur est exclusivement consacrée.
Mais qu'est-ce qu'un cookie? Aussi appelé « fichier témoin », « témoin de connexion » ou tout simplement « témoin », il s'agit d'un petit ensemble de données numériques sous forme de fichier texte, envoyé par un site web et stocké localement sur l'appareil (ordinateur, tablette, mobile) de l'utilisateur par le biais du navigateur web de ce dernier pendant qu'il navigue sur Internet, souvent à son insu.
Les cookies remplissent des fonctions souvent essentielles. Par exemple, les cookies d'authentification[1] permettent de savoir si l'utilisateur est connecté, et avec quel compte[2]. Sans un tel mécanisme, le site ne saurait pas, par exemple, s'il doit exiger que l'utilisateur s'authentifie en se connectant. Les cookies de suivi, quant à eux, en particulier les cookies tiers, c'est-à-dire appartenant à un domaine différent de celui indiqué dans la barre d'adresse[3], à la différence des cookies nominatifs correspondant au domaine mentionné dans la barre d'adresse, font l'objet d'une utilisation en croissance exponentielle. Ce type de cookie apparaît lorsque des pages web présentent du contenu provenant de sites tiers, comme des bannières publicitaires, et permet de suivre l'historique de la navigation de l'utilisateur afin de lui proposer des publicités pertinentes, adaptées à son profil.
Mais s'agit-il pour autant de renseignements personnels?
1. État des lieux au Canada
(a) Notion de « renseignement personnel »
S'il n'existe aucune disposition législative au Canada faisant directement référence aux cookies, le cookie ne pourrait-il pas être considéré comme un « renseignement personnel » aux termes des lois canadiennes relatives aux renseignements personnels, lesquelles trouveraient donc à s'appliquer? Autrement dit, un cookie peut-il constituer un « renseignement concernant un individu identifiable »[4], ou existe-t-il « une possibilité sérieuse qu'un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris seul ou en combinaison avec d'autres renseignements disponibles »[5]? Bien que la jurisprudence canadienne commande en principe une interprétation large de la notion de renseignement personnel[6], elle demeure à ce jour muette, tant au niveau de l'interprétation des lois provinciales que de la loi fédérale, sur la qualification des cookies en tant que renseignements personnels.
Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a, en 2011, statué sur cette question concernant les cookies de suivi. En effet, il a reconnu que la publicité comportementale en ligne et la personnalisation des publicités selon l'activité de navigation de l'individu, ce qui comprend notamment les habitudes d'achat, les « paniers » d'items enregistrés sur les plateformes de vente en ligne et l'historique des recherches, implique la collecte de ces renseignements par les tierces parties réceptrices des cookies de suivi. Ainsi, « compte tenu de la portée et de l'envergure des renseignements recueillis, des moyens puissants qui permettent de regrouper et d'analyser des données disparates et le caractère personnalisé de l'activité, il est raisonnable de penser qu'il y aura souvent une forte possibilité que les renseignements puissent être liés à une personne »[7].
En d'autres termes, les renseignements collectés et transcrits dans les cookies, dans le cadre du suivi et du ciblage en ligne dans le but d'offrir des publicités personnalisées, « seront habituellement considérés comme des renseignements personnels »[8] au sens de la Loi sur la protection des renseignements personnels et les documents électroniques[9] (« LPRPDE »).
(b) Consentement
Rappelons que la LPRPDE, à l'instar des autres lois provinciales en la matière, exige généralement le consentement à la collecte, à l'utilisation et à la divulgation des renseignements personnels. Ce consentement peut être exprimé de façon explicite ou implicite, selon le cas d'espèce et certains facteurs tels que la sensibilité des renseignements en jeu.
Dans le cas spécifique de l'utilisation de cookies de suivi dans le cadre dela publicité comportementale en ligne, le Commissariat considère que le consentement implicite est valable lorsque certaines conditions sont réunies. Notamment, les internautes doivent être informés, au moment de la collecte ou avant celle-ci, des objectifs de la pratique d'une manière claire et compréhensible et des différentes parties impliquées dans la publicité comportementale en ligne. Les internautes doivent également pouvoir y renoncer, laquelle renonciation doit être durable dans le temps. Enfin, les renseignements personnels concernés ne doivent pas être sensibles, sans quoi le consentement explicite sera requis, et doivent être détruits ou anonymisés (de façon permanente et irréversible) dès que possible[10].
Ainsi, parce que les « cookies zombies »[11], les « supercookies »[12] et les cookies de tiers n'offrent aucune possibilité de contrôle de la part de l'internaute, et donc aucune possibilité pour l'individu de consentir ou de retirer son consentement, le Commissariat considère que ce suivi ne devrait pas être entrepris parce qu'il ne peut être fait en conformité avec la LPRPDE.
En d'autres termes, les cookies permettant d'identifier un individu sont considérés comme des renseignements personnels et donc, soumis aux lois canadiennes relatives à la vie privée. Mais la situation est-elle réellement différente en Europe?
2. État des lieux en Europe
(a) La qualification des cookies en données personnelles
En Europe, la situation est quelque peu différente car un texte a vocation à s'appliquer aux cookies, via la notion de stockage d'informations : il s'agit de la directive e-Privacy[13]. Elle prévoit notamment que le dépôt de cookies ne peut se faire sans l'information préalable ni le consentement de l'utilisateur[14]. Toutefois, cette directive ne précise pas si le cookie est une donnée personnelle.
Pour en avoir cœur net, il convient de se tourner vers le RGPD[15] qui prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes»[16].
En d'autres termes, pris isolément, un cookie ne serait pas, en tant que tel, une donnée personnelle. Mais combiné avec d'autres éléments, il en deviendrait une. Finalement, ce n'est pas autre chose que la définition de la donnée personnelle de l'article 4(1) du RGPD selon lequel « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Cette position a été confirmée récemment par la Cour de justice de l'Union européenne[17]:
« 45. […] les cookies qui sont susceptibles d'être placés sur l'équipement terminal d'un utilisateur qui participe au jeu promotionnel organisé par Planet49 comportent un numéro qui est attribué aux données d'enregistrement de cet utilisateur, lequel doit inscrire son nom et son adresse dans le formulaire de participation à ce jeu. La juridiction de renvoi ajoute que l'association de ce numéro et de ces données personnalise les données stockées par les cookies lorsque l'utilisateur recourt à l'Internet, si bien que la collecte de ces données au moyen de cookies relève d'un traitement de données à caractère personnel ».
« 67. Comme il a été relevé au point 45 du présent arrêt, il ressort de la décision de renvoi que le placement des cookies en cause au principal participe d'un traitement de données à caractère personnel ».
Il en résulte que si le cookie n'est pas une donnée personnelle, seule la directive e-Privacy s'appliquera. En revanche, si le cookie est une donnée personnelle, la directive e-privacy et le RGPD trouveront à s'appliquer. Cela ne pose pas de problème dès lors que la directive e-Privacy[18] fait déjà de nombreux renvois au prédecesseur du RGPD, la directive 95/46[19]. En effet, les dispositions de la directive e-Privacy et celles du RGPD sur le consentement «ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679 »[20].
(b) Conséquences en terme de consentement et d'information préalable
Il en résulte que pour déposer des cookies sur le terminal d'un utilisateur, il conviendra d'obtenir son consentement préalable. Dans ce cas, le consentement constituera la base juridique du traitement en question[21] et devra « répondre à toutes les exigences du consentement telles que prévues par l'article 5, paragraphe 3, de la directive. 4(11) et 7 du RGPD » [22], à savoir que « le consentement doit être libre, spécifique et informé et constitue une indication non ambiguë des souhaits de la personne concernée. […]. Ce consentement doit être fourni séparément, à des fins spécifiques […]. Le consentement doit être aussi facile à retirer qu'il est donné. Il doit en être de même lorsque le consentement est nécessaire pour se conformer à la directive "vie privée et communications électroniques"»[23].
Dans ces circonstances, une case précochée sera donc considérée comme illégale concernant le dépôt de cookies. En effet, pour démontrer du consentement de l'utilisateur, il faut un comportement actif de sa part. Or, il est « pratiquement impossible de déterminer de manière objective si l'utilisateur d'un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n'ait pas lu l'information accompagnant la case cochée par défaut, voire qu'il n'ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu'il visite »[24].
De même, la pratique du scrolling ne vaut pas non plus consentement actif de l'utilisateur : « le fait pour un utilisateur d'activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l'utilisateur a valablement donné son consentement au placement de cookies »[25]. En d'autres termes, la poursuite de la navigation ne vaut plus, en Europe, consentement valide au dépôt de cookies, à l’instar des « cookie walls » et du fait que la fourniture du service repose sur le fait que la personne concernée clique sur le bouton « Accepter les cookies ». Cette position a été confirmée par les récentes lignes directrices du Comité européen de la protection des données sur le consentement.[26]
L'idée derrière cette décision est qu'il y ait autant de consentements que de finalités distinctes en vertu du RGPD (le consentement doit être spécifique)… Et c'est impossible de s'assurer de cela avec une case précochée ou un scrolling. Cette position a encore été réitérée par l'avocat général Szpunar, dans ses conclusions sur l'affaire Orange Romania[27].
Si le consentement doit résulter d'un comportement actif de l'utilisateur, encore faut-il que ce dernier soit parfaitement informé. Cette information doit notamment contenir la durée de traitement dès lors que « l'information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l'exigence d'un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l'utilisateur sur les sites des partenaires publicitaires de l'organisateur du jeu promotionnel »[28].
Cette information doit également indiquer si des tiers peuvent avoir accès aux cookies puisqu'il « s'agit d'une information comprise dans les informations mentionnées à l'article 10, sous c), de la directive 95/46, ainsi qu'à l'article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données »[29].
A n'en pas douter, l'information relative aux cookies devra être précisée. Il est d'ores et déjà possible de voir certains sites internet contenant un bandeau cookies avec un lien vers la liste des partenaires.
***
Ce tour d'horizon des approches canadienne et européenne en matière de protection de la vie privée quant à l'encadrement de l'utilisation des cookies nous permet de remarquer certaines ressemblances et divergences entre les deux. Alors qu'il semble y avoir consensus sur la qualification éventuelle des cookies en tant que « renseignements personnels » ou « données à caractère personnel », les effets juridiques découlant de cette qualification diffèrent. Bien qu'au Canada, sous réserve des spécificités des lois provinciales lorsqu'applicables, le consentement implicite soit valable mais à plusieurs conditions, le consentement actif est de mise en Europe. Alors que la LPRPDE sera réformée dans l'année à venir, il sera intéressant de voir comment le législateur canadien balancera ces inconvénients et, notamment, s'il adoptera l'approche européenne.
[1] Commissariat à la protection de la vie privée du Canada, Les témoins et le suivi sur le Web, mai 2011
[2] Commissariat à la protection de la vie privée du Canada, Foire aux questions sur les témoins, mai 2011
[3] Supra, note 1.
[4] Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5, art. 2(1).
[5] Gordon c. Canada (Ministre de la Santé), 2008 CF 258, par. 33.
[6] À cet effet, voir notamment : Canada (Commissaire à l'information) c. Canada (Bureau canadien d'enquête sur les accident de transport et de la sécurité des transports), 2006 CAF 157, par. 34.
[7] Commissariat à la protection de la vie privée du Canada, Lignes directrices sur la protection de la vie privée et la publicité comportementale en ligne, Décembre 2011
[8] Id.
[9] Supra, note 4.
[10] Supra, note 7.
[11] Un cookie zombie est un cookie qui est automatiquement recréé après avoir été supprimé. Pour ce faire, le contenu du cookie est stocké à plusieurs endroits, tels que l'objet partagé Flash Local, le stockage Web HTML5 et d'autres endroits côté client et même côté serveur.
[12] Un supercookie est un cookie ayant pour origine un domaine de premier niveau (tel que .com) ou un suffixe public (tel que .co.uk). Les cookies ordinaires, en revanche, ont une origine d'un nom de domaine spécifique, comme par exemple .com. Les supercookies peuvent constituer un problème de sécurité potentiel et sont donc souvent bloqués par les navigateurs web. S'il est débloqué par le navigateur, un attaquant qui contrôle un site web malveillant peut créer un supercookie et potentiellement perturber ou se faire passer pour un utilisateur légitime pour un autre site web qui partage le même domaine de premier niveau ou suffixe public que le site web malveillant.
[13] Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques). A noter que cette directive est en cours de modification et deviendra un règlement (Proposition de Règlement du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques») COM/2017/010 final- 2017/03 (COD)).
[14] Directive e-Privacy, art. 5(3) : « 5. (3). Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur ».
[16] RGPD, consid. 30.
[17] CJUE, 1er octobre 2019, aff. C‑673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contre Planet49 GmbH (ci-après "Planet 49").
[18] Ainsi que le projet de règlement e-Privacy précité: « La présente proposition constitue une lex specialis par rapport au RGPD, qu'elle précisera et complétera en ce qui concerne les données de communications électroniques qui peuvent être considérées comme des données à caractère personnel. Toutes les matières relatives au traitement de ces données, qui ne sont pas spécifiquement couvertes par la proposition, le sont par le RGPD. L'harmonisation avec le RGPD a entraîné l'abrogation de certaines dispositions comme les obligations en matière de sécurité figurant à l'article 4 de la directive «vie privée et communications électroniques» (exposé des motifs, point 1.2).
[19] Voir, par exemple, directive e-Privacy, consid. 17 « Aux fins de la présente directive, le consentement d'un utilisateur ou d'un abonné, que ce dernier soit une personne physique ou morale, devrait avoir le même sens que le consentement de la personne concernée tel que défini et précisé davantage par la directive 95/46/CE. Le consentement peut être donné selon toute modalité appropriée permettant à l'utilisateur d'indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu'il visite un site Internet ».
[20] CJUE, 1er octobre 2019, Planet 49, par. 71. Voir également CEPD, Guidelines 05/2020 on consent under Regulation 2016/679, 4 mai 2020, par. 6 (PDF - en anglais seulement)
[21] CEPD Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications Version 1.0 Adopted on 28 January 2020, par. 15 (PDF - en anglais seulement)
[22] Planet 49, par. 15
[23] Ibid., par. 46 and 47.
[24] CJUE, 1er octobre 2019, Planet 49, par. 55.
[25] Ibid., par. 59.
[26] CEPD, Guidelines 05/2020 on consent under Regulation 2016/679, 4 mai 2020, Exemple 16. (PDF - en anglais seulement)
[27] Conclusions de l'avocat Général M. Maciej Szpunar, 4 mars 2020, Affaire C‑61/19, Orange România SA c. Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), par. 44 et 45.
[28] CJUE, 1er octobre 2019, Planet 49, par. 78.
[29] Ibid., par. 80. Voir également par. 81.
