EDSA : directives sur le champ d’application du cookie consent, remarques sur les cookies selon le droit suisse

En date du 14 novembre 2023, le Comité européen de la protection des données (CEPD) a publié ses lignes directrices sur le champ d’application matériel de l’article 5, paragraphe 3, de la directive sur la protection des données. Directive e‑Privacy publié (Lignes directrices 2/2023 sur le champ d’application technique de l’art. 5(3) de la Directive ePrivacy).

L’art. 5, al. 3, dans sa version actuelle, a été modifié par la DIRECTIVE 2009/136/CE et se lit comme suit :

(3. Les États membres veillent à ce que les Stockage d’informations ou de la Accès sur des informations qui ont déjà été Terminal d’un abonné ou d’un utilisateur n’est autorisée que si l’abonné ou l’utilisateur en question, sur la base d’informations claires et complètes, a donné son accord. InformationsLe responsable du traitement est tenu de fournir les informations qu’il reçoit conformément à la directive 95/46/CE, notamment en ce qui concerne les finalités du traitement. Consentement a donné. Cela n’empêche pas le stockage technique ou l’accès lorsque la seule finalité est d’effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques ou lorsque cela est strictement nécessaire pour permettre au prestataire d’un service de la société de l’information de fournir ce service, à la demande expresse de l’abonné ou de l’utilisateur.

Il est incontestable que cette disposition ne couvre pas uniquement les cookies ; c’est pourquoi les politiques en matière de cookies parlent le plus souvent de “technologies similaires”, mais le champ d’application n’est pas clair dans le détail.

L’EDSA tente d’éclairer l’obscurité des technologies correspondantes, avec le souci explicite d’éviter les contournements, donc avec une interprétation délibérément large.

Les éléments constitutifs de l’art. 5 al. 3 ont quatre éléments:

Des “informations” sont enregistrées ou lues ;
il s’agit d’un “terminal” ;
les opérations sont liées à une transmission de télécommunications dans un réseau public (“provision of publicly available electronic communications services in public communications networks”) ;
il y a un “stockage” ou un “accès” à des informations

L’EDSA discute de ces quatre éléments :

“Informations”

Les données personnelles ne sont pas les seules à être couvertes, car il s’agit de la confidentialité des informations et de la protection contre les intrusions, et non de l’autodétermination informationnelle, c’est-à-dire pas d’une utilisation particulière des données ayant un rapport avec la personnalité – c’est ce qui guide les interprétations de l’EDSA, mais sans qu’il ne cherche à déterminer les limites de l’espace protégé en conséquence ;
il suffit que les informations soient lues – et non modifiées -, raison pour laquelle une adresse MAC, par exemple, est également saisie.

“terminal”

Un terminal est tout dispositif qui ne fait pas que transmettre des informations. Qu’un terminal appartienne à un utilisateur, qu’il soit loué ou simplement utilisé, cela ne joue aucun rôle.
De même, il importe peu que l’utilisateur veuille ou ait connaissance du traitement des informations relatives à l’équipement terminal.
Les smartphones, les ordinateurs portables, les voitures connectées, les téléviseurs intelligents et les lunettes intelligentes en sont des exemples.

Transmission par télécommunication

Cette exigence n’est guère restrictive. Cependant, seuls les réseaux publics sont concernés. Une certaine limitation du cercle des utilisateurs, par exemple aux abonnés, ne permet pas encore de sortir du champ d’application.

“Accès” à l’information

Les informations d’une personne morale sont également protégées contre l’accès.
L’accès est également saisi lorsqu’il n’y a pas de stockage ou que celui-ci est effectué par un autre service. L’origine des données lues ne joue aucun rôle non plus. L’article 5, paragraphe 3, s’applique donc à chaque fois que l’on accède activement à des informations.
Les cas d’application sont des instructions du serveur au terminal avec un retour d’informations, comme par exemple lors de la lecture de cookies. Il s’agirait également d’un accès à des informations par le biais d’une API dans un logiciel installé sur le terminal ou d’un script Java par le biais duquel un navigateur fournit des informations, car l’obtention d’informations est ici aussi activement initiée.
Il en va de même lorsqu’un organisme est à l’origine de la transmission d’informations à un autre organisme.

“Stockage” d’informations

Cela signifie que les informations sont stockées sur un support de données physique qui fait fonctionnellement partie du terminal, par exemple dans la mémoire vive ou dans un cache, ou encore sur une mémoire externe mais connectée. En règle générale, cela ne se fait pas directement, mais par le biais d’un logiciel sur le terminal qui génère des informations, mais cela peut également être fait par l’utilisateur lui-même ou par un autre service, tant que le stockage n’est qu’activement initié.
La taille de l’information et la durée de son stockage n’ont aucune importance.

Cas d’utilisation

Parmi les “cas d’utilisation”, l’EDSA discute entre autres de ce qui suit :

La lecture d’adresses MAC ou IP ;
fingerprinting sur la base d’informations telles que les informations d’en-tête HTTP ;
Pixel tracking ou tracking par lien, c’est-à-dire dans les deux cas l’appel d’une URL codée par le client de messagerie ou le navigateur avec une transmission d’informations correspondante sur un serveur. La transmission du pixel ou du lien codé entraîne une lecture active d’informations :

A condition que ces pixels ou URL suivis aient été distribués via un réseau public de communication, il est clair qu’ils constituent un stockage sur l’équipement terminal de l’utilisateur du réseau de communication, au moins par le biais du mécanisme de cache du logiciel côté client. En conséquence, l’article 5(3) de la Directive 95/46/CE est applicable ;
une demande d’informations via une API, pour autant que des informations soient ensuite transmises via un réseau ;
un suivi uniquement par le biais d’une adresse IP, dans la mesure où cette information est lue par le terminal – par exemple par un routeur -, même dans le cas d’une adresse IP dynamique, qui est également générée par le serveur via DHCP, par exemple ;
la lecture d’informations à partir d’un appareil IdO connecté, si celui-ci transmet des informations via un réseau public (par exemple via WiFi ou une carte SIM), mais pas si les informations sont transmises par une connexion non publique (connexion point à point) ;
la lecture d’un identifiant unique, par exemple une valeur de hachage basée sur les données de l’utilisateur ou sur un login.

En revanche, l’accès à des informations exclusivement dans le terminal lui-même n’est pas couvert, par exemple l’accès à la caméra par une application dans un téléphone mobile ou l’accès à des cookies ou à d’autres données stockées localement par le navigateur.

Un regard sur la Suisse

La Suisse connaît une disposition apparentée à l’art. 45c LTC (“traitement sur des appareils tiers”) :

Le traitement des données sur des appareils étrangers par transmission par télécommunication n’est autorisée que : […].
b. lorsque les utilisateurs sont informés du traitement et de sa finalité informe et être informés du fait qu’ils ne peuvent pas traiter refuser peuvent.

Cette disposition exige en principe une information sur le traitement et sa finalité ainsi que sur le droit d’opposition, et ce lorsque des données sont traitées “sur des appareils appartenant à des tiers”. Son champ d’application n’est toutefois pas très clair. Le texte, par exemple, ne parle que du traitement sur l’appareil d’un tiers. Le message indique toutefois que la lecture d’informations est également couverte (“Le traitement de données au sens de l’article 45c comprend le stockage, l’accès et tout autre traitement”).

La doctrine soutient ensuite que l’art. 45c LTC ne couvre que le traitement des données personnelles. Le message relatif à l’art. 45c LTC suggère toutefois en soi une interprétation plus large, d’autant plus qu’il ne cite pas seulement la sphère privée comme objectif de protection (et même ici : L’art. 13 Cst. concerne également le traitement de données non personnelles), mais aussi la protection contre l’accès aux appareils, et entend expressément s’inspirer de l’art. 5, al. 3 (mais dans la version initiale de la directive, qui prévoyait un droit d’opposition, mais pas une exigence de consentement).

Dès que des données personnelles sont traitées, la législation sur la protection des données s’applique. Voici quelques indications à ce sujet :

La notion de données personnelles correspond toujours au Décision de Logistep. Une donnée n’est personnelle que si elle peut être raisonnablement attribuée à une personne physique. En règle générale, un cookie ID, une adresse Mac, etc. ne constituent pas une donnée personnelle pour l’exploitant. Il en irait autrement s’il utilisait ces données d’une manière permettant une identification, par exemple dans le cadre d’une procédure pénale impliquant le fournisseur d’accès à Internet ou en relation avec un login d’utilisateur.
En principe, le consentement n’est pas nécessaire. L’art. 45c LTC ne prévoit qu’un droit d’opposition et, comme chacun sait, le droit de la protection des données n’exige pas de consentement tant que les principes de traitement sont respectés.
Les principes de la législation sur la protection des données exigent la transparence. A cela s’ajoute le devoir d’information selon l’article 19 LPD.
Ni l’art. 45c LTC ni la législation sur la protection des données n’exigent une bannière de cookie. Il suffit d’informer dans une déclaration de confidentialité ou une notice sur les cookies.
Si une bannière de cookie est utilisée, elle n’a pas besoin d’être conçue d’une certaine manière, tant qu’elle n’est pas trompeuse.. En principe, un bouton “OK”, un bouton “Accepter”, un bouton “Configurer” ou une combinaison de ces boutons sont autorisés. Celui qui utilise un bouton “Accepter” et un bouton “Configurer”, mais pas de bouton “Refuser”, ne se comporte pas de manière particulièrement conviviale, mais ne viole pas le droit suisse. Une telle conception ne devrait pas non plus enfreindre le principe de la bonne foi, pour autant qu’il s’applique (ce qui suppose un traitement de données personnelles). Un comportement peu convivial n’est pas contraire à la loyauté ; le seuil de l’atteinte n’est pas si bas et il n’existe pas non plus de relation particulière avec l’utilisateur d’un site web qui pourrait exiger un critère plus élevé.
Celui qui décide de travailler avec un consentement peut le. En Suisse, il n’est pas nécessaire de faciliter techniquement la révocation du consentement (ni l’opposition selon l’art. 45c LTC). Par conséquent, il n’y a pas d’obligation de proposer en permanence un menu opt-out ou autre. Celui qui travaille avec des consentements doit toutefois respecter le principe de Privacy by Default. Selon la conception des possibilités de paramétrage, il peut en résulter l’obligation de désactiver par défaut les cookies concernés par un consentement.
Le but est un critère de référence pour l’évaluation de la proportionnalité. Le responsable fixe librement la finalité, conformément au principe de l’autonomie privée, dans le cadre du droit impératif.. Dans le domaine privé, il n’existe pas de finalité légale, en dehors des traitements obligatoires, donc pas de “iustum pretium” du traitement des données. Le droit de la protection des données exige seulement que le responsable ne sorte pas du cadre de la finalité qu’il s’est lui-même fixée. En conséquence, on ne peut pas dire que l’exploitation d’un site web ou d’une application ne nécessite objectivement pas de cookies et que leur utilisation serait donc disproportionnée, car “l’exploitation du site web” décrit une finalité, dont la détermination incombe toutefois au responsable et non au législateur, à une autorité ou à un “homme raisonnable”.

EDSA : direc­ti­ves sur le champ d’ap­pli­ca­ti­on du coo­kie con­sent, remar­ques sur les coo­kies selon le droit suisse

Contenu

“Infor­ma­ti­ons”

“ter­mi­nal”

Trans­mis­si­on par télécommunication