Cookies et vie privée : le Conseil UE adopte une position commune

Publié le par - 2480 vues

Un cookie est un fichier informatique au format texte enregistré sur l’ordinateur d’un Internaute par un serveur Web lors de la consultation d’un site Internet. Ce cookie permet au serveur Web de conserver sur l’ordinateur de l’Internaute des données auxquelles il pourra accéder lorsque des visites de ce site Internet seront effectuées à partir de…

Un cookie est un fichier informatique au format texte enregistré sur l’ordinateur d’un Internaute par un serveur Web lors de la consultation d’un site Internet. Ce cookie permet au serveur Web de conserver sur l’ordinateur de l’Internaute des données auxquelles il pourra accéder lorsque des visites de ce site Internet seront effectuées à partir de la machine sur laquelle le cookie a été enregistré. En principe, seul le serveur Web qui a émis le cookie peut y accéder en vue de consulter son contenu ou de le modifier.

Un cookie contient obligatoirement la dénomination du type d’information enregistrée ainsi que l’information relative à l’Internaute qui correspond à cette variable. Il peut également contenir la date d’expiration du cookie, le nom de domaine du serveur Web qui l’a émis, le chemin du répertoire de ce nom de domaine à partir duquel le serveur Web pourra lire et modifier le cookie, et la mention « secure » qui implique que toute consultation ou modification du cookie ne peut être réalisée par le serveur Web que si la connexion entre l’ordinateur de l’Internaute et ce serveur Web est sécurisée.

On distingue les cookies de session et les cookies rémanents. Les cookies de session ne contiennent pas de date d’expiration et sont automatiquement détruits lorsque l’Internaute ferme la session ouverte sur le site Internet. Ils sont généralement créés pour des raisons techniques et n’ont pas pour objectif d’instaurer un lien permanent entre la machine de l’Internaute et le site Internet consulté. Par contre, les cookies rémanents contiennent une date d’expiration fixée par leur auteur et sont destinés à permettre au serveur Web d’accéder aux informations qu’il contient jusqu’à l’échéance de ce terme.

Les cookies peuvent contenir des informations fournies par l’Internaute lors de ses visites (date de naissance, achats dans une épicerie virtuelle, …). Ils peuvent aussi enregistrer des données à l’insu de l’Internaute comme les caractéristiques de la machine qu’il utilise (processeur, système d’exploitation, logiciels, …), les dernières pages Web qu’il a visitées ou un Identifiant Global Universel. Ces cookies pouvant se révéler très indiscrets, il apparaît indispensable de définir le cadre juridique qui les entoure afin qu’ils ne vident pas le droit au respect de la vie privée de l’Internaute de son contenu.

La question de savoir si les informations enregistrées dans les cookies sont des données à caractère personnel au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel est depuis longtemps controversée. En vertu de l’article 1 de la présente loi telle qu’elle a été modifiée par la loi du 11 décembre 1998 transposant la directive européenne 95/46/CE, est une donnée à caractère personnel toute information concernant une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Certains auteurs considèrent qu’une interprétation raisonnable de cette loi conduit à considérer que les cookies ne relèvent pas toujours de son champ d’application. Ils se fondent notamment sur le fait qu’un cookie seul ne peut permettre au responsable de son traitement de lier l’information qu’il contient à une personne physique.

Effectivement, les données contenues dans un cookie enregistré sur un ordinateur sont communiquées au serveur Web quelle que soit la personne physique qui contrôle cet ordinateur, et l’analogie entre un ordinateur et une personne physique ne peut pas toujours vérifiée (cybercafés, ordinateurs familiaux, …).

Depuis l’adoption de la directive européenne 95/46/CE, notre législateur semble envisager le problème différemment. La lecture des travaux préparatoires de la loi du 11 décembre 1998 précitée révèle la volonté du législateur d’élargir le champ d’application de la loi du 8 décembre 1992 à toute information qui, même indirectement, peut être liée à une personne physique.

La Commission pour la protection de la vie privée va plus loin. Elle considère que cette loi doit s’appliquer au profil constitué par l’ensemble des données relatives à un Internaute auxquelles les serveurs Web peuvent accéder (adresse IP, cookies, mémoire cache, …), quand bien même ce profil ne contiendrait pas l’identité de l’Internaute en question ( Avis d’initiative relatif à la protection de la vie privée dans le cadre du commerce électronique du 22 novembre 2000)

Cette dérive ne paraît pas critiquable. En effet, un expert en sécurité est parvenu à prouver que, par le biais d’un croisement de bases de données, les cookies rémanents pouvaient être « recoupés » avec des données nominatives de telle sorte que ces données nominatives soient associées au profil – anonyme – défini dans les cookies sans le consentement de l’Internaute sur l’ordinateur duquel ces cookies sont enregistrés ( voir : DoubleClick c. All actions, US District Court, Southern District of New-York, 28 mars 2001, File 00 Civ. 0641).

En outre, certains spécialistes dans le piratage des systèmes informatiques affirment qu’il est possible d’accéder au contenu de cookies à partir d’un autre domaine que celui du serveur Web qui l’a émis.

Depuis l’adoption de la position commune du Conseil européen dans le cadre de la procédure d’adoption de la directive sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, cette controverse semble un peu surannée ( Position commune du Conseil européen du 22 janvier 2002 ).

Effectivement, le législateur européen considère que les sites Internet doivent informer les Internautes de manière claire et précise sur les objectifs des cookies qu’ils envisagent de créer et laisser la possibilité aux Internautes de refuser l’enregistrement de ces cookies sur leur ordinateur. Le Conseil européen semble ainsi vouloir consacrer un véritable droit à l’information et au refus des cookies.

Cette position adoptée par Conseil européen suscite de vives critiques de la part des milieux intéressés qui s’insurgent contre les lourdes conséquences techniques et financières que la mise en œuvre d’une telle disposition pourrait entraîner.

Ils déplorent l’inadéquation de cette solution à la fluidité de la navigation sur Internet en invoquant notamment les possibilités qu’offrent déjà les principaux navigateurs Internet pour avertir l’Internaute de l’enregistrement d’un cookie sur l’ordinateur qu’il utilise et lui permettre de l’interdire.

Cependant, s’il est vrai que le paramétrage des navigateurs permet d’atteindre l’objectif visé par le législateur européen, celui-ci n’en demeure pas moins fastidieux – voire inaccessible – pour un utilisateur néophyte. On comprend dès lors la solution imaginée par le Conseil européen.

En outre, force est de constater que, dans les formulaires Web destinés à recueillir des informations sur les Internautes, une case à cocher supplémentaire laissant le choix à ces Internautes d’accepter ou non l’enregistrement de ces données dans un cookie n’est pas un obstacle à la fluidité de la navigation. C’est d’ailleurs ce système qui a été choisi par les auteurs du site « Droit & Nouvelles Technologies ».

On peut se réjouir de l’intervention du législateur européen qui vise à mettre en garde l’Internaute de la création d’un cookie sur son ordinateur dont le contenu pourrait être associé à son identité. Cependant, il faut s’inquiéter de ce que ce même législateur n’ait pas envisagé le problème de la lisibilité des cookies.

En effet, toutes les données enregistrées dans les cookies devraient l’être de manière intelligible de telle sorte que l’Internaute puisse, par le biais de son traitement de texte ou d’un logiciel spécialisé, vérifier ce que le site Internet qu’il consulte peut savoir sur lui. Or, actuellement, le contenu d’un cookie est généralement incompréhensible pour son destinataire et ce dernier n’est pas à même de juger s’il est opportun que le serveur Web auquel il se connecte dispose de ces informations.

Pour certains, le débat sur les cookies n’a jamais eu lieu d’être. Ces auteurs ne prennent pas en compte le fait que, si les cookies – indispensables à la personnalisation des sites Internet – s’avèrent généralement inoffensifs, ils peuvent aussi se transformer en armes redoutables de violation du droit au respect de la vie privée.

A une époque où le droit au respect de la vie privée prend un essor considérable dans les domaines les plus divers, il ne faut pas oublier que, Internet étant un monde qui n’a d’autres limites que celles de ceux qui le composent, c’est à notre système juridique qu’il appartient de dicter les règles du jeu pour garantir l’existence des droits fondamentaux du citoyen sur Internet.

Travail réalisé dans le cadre du cours de droit des personnes et de la famille à l’Université de Liège – Professeur Y.-H. Leleu

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK