RGPD et ePrivacy : comprendre les piliers de la protection des données
Le paysage du marketing digital est profondément marqué par la notion de privacy. Pour naviguer sereinement dans cet environnement, il est crucial de maîtriser le cadre juridique qui le régit. Au cœur de ce dispositif se trouvent deux textes majeurs : le RGPD et la directive ePrivacy. Mais quelles sont leurs différences et comment s’articulent-ils ? Pour y voir plus clair, nous avons interrogé Fabrice Perst, avocat spécialisé au sein du cabinet Harley Avocat.
Avant de plonger dans les distinctions, Fabrice Perst nous invite à une mise au point terminologique essentielle. Il précise qu’il est plus juste de parler de « projet de règlement ePrivacy », car les institutions européennes sont encore en train de revoir le texte. « En attendant, le texte qui est encore applicable, c’est la directive ePrivacy. »
Malgré cette nuance, il confirme que « le RGPD et la directive ePrivacy ce sont les les deux principaux piliers du cadre juridique concernant la protection de la vie privée et des données personnelles des citoyens de l’Union européenne. » La clé pour les comprendre réside dans leur périmètre d’application distinct.
Le RGPD : le gardien des données à caractère personnel
Le Règlement Général sur la Protection des Données (RGPD) a un champ d’application bien défini. Comme l’explique Fabrice Perst, il « se focalise sur la protection des données à caractère personnel des personnes physiques et qui permet la libre circulation de ces données au sein de l’Union européenne. »
La conséquence directe est simple : « le RGPD, il ne va pas s’appliquer lorsque aucune donnée à caractère personnel d’une personne physique n’est traitée. » Pour illustrer son propos, il donne des exemples très concrets :
- Le traitement du numéro de téléphone d’un service client automatisé n’est pas une donnée personnelle et n’est donc pas régi par le RGPD.
- De même, « le traitement de l’adresse IP d’un photocopieur numérique dans une entreprise, ça relève pas du du RGPD. »
La directive ePrivacy : la protectrice de la vie privée dans les communications électroniques
De l’autre côté, la directive ePrivacy, souvent appelée « directive vie privée et communications électroniques », a un objectif différent. Elle « concerne le respect de la vie privée concernant les services de communication électronique accessible au public. » L’accent est mis sur la confidentialité des communications, qu’elles contiennent ou non des données personnelles.
Là encore, un exemple permet de cerner son périmètre. La directive « ne va pas s’appliquer à un intranet qui ne serait accessible qu’aux employés et qu’ils utilisent à des fins professionnelles parce que l’intranet, ce n’est pas un service de communication électronique qui est accessible au public. »
En résumé, Fabrice Perst nous donne une règle simple pour s’orienter : « le RGPD, il a un champ d’application générale alors que la directive ePrivacy, elle a un champ d’application un peu plus restreint et un peu plus spécialisé. »
Le millefeuille juridique de la privacy en Europe
Le RGPD et la directive ePrivacy ne sont que la partie visible de l’iceberg. L’écosystème réglementaire est bien plus complexe, un véritable « millefeuille » selon les termes de Fabrice Perst. Il liste plusieurs autres sources de droit que tout marketeur doit avoir à l’esprit :
- Les décisions de la Commission européenne.
- Les avis du Comité européen de protection des données (CEPD), qui a succédé au G29.
- Les décisions des autorités de contrôle nationales, comme la CNIL en France, mais aussi ses homologues dans chaque État membre.
- Les lois nationales de transposition.
Ce dernier point est particulièrement important. En effet, une directive comme ePrivacy n’est pas d’application directe. « Elle suppose une transposition en droit national pour chaque État membre. » La conséquence pour les professionnels du marketing est majeure : « cette transposition, elle ne va pas toujours être uniforme au sein de l’Union européenne. On va avoir des des règles qui pourront différer d’un état à l’autre. » Un marketeur menant une campagne paneuropéenne doit donc être vigilant, car « une règle ne sera pas nécessairement exactement la même en France, en Allemagne ou ou en Espagne. »
À l’inverse, le RGPD a été conçu comme « un outil d’applicabilité directe dans tous les états membres » afin de créer un cadre harmonisé. Cependant, même ce texte laisse quelques marges de manœuvre aux États. Fabrice Perst illustre cela avec l’âge du consentement du mineur. Le RGPD fixe un seuil à 16 ans, mais autorise les pays à l’ajuster entre 13 et 16 ans. « Ce qui fait que par exemple en France, le seuil a été fixé à 15 ans […] alors que dans d’autres pays, je pense par exemple à la Belgique ou au Royaume-Uni et […] en Espagne ou au Portugal, le seuil a été fixé à 13 ans. »
Les nouvelles exigences de la CNIL pour le consentement cookies
Le 1er octobre, la CNIL a émis de nouvelles recommandations concernant le recueil du consentement pour le dépôt des traceurs électroniques, donnant aux entreprises jusqu’au 31 mars pour se mettre en conformité. Ces textes, composés de « lignes directrices » (une synthèse du droit) et d’une « recommandation » (un guide pratique), viennent durcir les règles du jeu.
Fabrice Perst insiste sur le fait que la CNIL n’a pas réécrit la loi, mais qu’elle est « désormais nettement plus exigeante sur les modalités de recueil du consentement. » Cette exigence se matérialise principalement autour de deux axes fondamentaux.
La poursuite de la navigation ne vaut plus consentement
C’est sans doute le changement le plus marquant. « La poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement au cookie », affirme Fabrice. Concrètement, cela signifie que les utilisateurs « doivent consentir au dépôt de traceur par un acte positif clair. »
L’exemple le plus simple de cet acte positif est le fait de cliquer sur un bouton « J’accepte » dans une bannière. L’inaction, elle, change de statut. Pour la CNIL, des actions comme « continuer à naviguer sur un site web, continuer à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile, ça constitue aucunement une action positive, en tout cas une action positive claire assimilable à un consentement valable. »
Fait intéressant, si l’acceptation doit être active, le refus peut être passif. « Contrairement à l’acceptation qui passe par une action positive, la CNIL considère que le refus, lui, peut se déduire du silence de l’utilisateur. Donc pour la CNIL, désormais ignorer ou ne rien faire vaut refus des traceurs et non et non acceptation. » On peut donc dire qu’il est maintenant plus facile de refuser que d’accepter, car le refus peut se manifester de deux manières : cliquer sur un bouton de refus ou ne rien faire.
L’obligation de fournir la preuve du consentement
Le second point majeur est que « les acteurs du du marketing doivent être en mesure de fournir à tout moment la preuve du recueil valable du consentement. » Cela implique de mettre en place des systèmes (comme des Consent Management Platforms ou CMP) qui non seulement recueillent le consentement de manière conforme, mais qui le stockent de manière sécurisée et accessible en cas de contrôle de la CNIL.
La CNIL, dans ses recommandations, utilise indifféremment les termes « cookies » ou « traceurs » pour désigner tout type de traceur électronique. Ces deux points – l’acte positif et la preuve du consentement – sont les piliers de la nouvelle doctrine de l’autorité de contrôle française.
Conséquences pratiques et impact sur l’écosystème digital
Ces nouvelles règles ne sont pas sans conséquences pour les éditeurs de sites et les professionnels du marketing. Elles redéfinissent l’expérience utilisateur et remettent en question certains modèles économiques.
Le bouton « Tout refuser » et la controverse du cookie wall
Pour garantir un choix libre et éclairé, la CNIL insiste sur le fait que l’action de refuser « doit présenter le même degré de simplicité que celle qui permet d’exprimer son consentement. » Dans ses illustrations, elle suggère que « le bouton ‘tout accepter’ soit présenté de la même façon, en tous les cas, ne soit pas davantage mis en valeur que le le bouton ‘tout refuser’. »
Cette exigence semble renforcer la pratique du « cookie wall », qui consiste à bloquer l’accès à un site tant que l’utilisateur n’a pas consenti aux cookies. Cependant, Fabrice Perst tempère : « les autorités nationales européennes et notamment la CNIL, voient d’un très mauvais œil le cookie wall. » Bien que le Conseil d’État ait retoqué l’interdiction pure et simple du cookie wall par la CNIL, celle-ci considère que cette pratique « peut porter atteinte à la liberté du consentement » et que sa légalité doit être appréciée au cas par cas. L’éditeur doit dans tous les cas informer l’utilisateur des conséquences de son choix, y compris de l’impossibilité d’accéder au contenu.
Un business model publicitaire bouleversé
L’impact économique de ces nouvelles règles est potentiellement énorme. « Dès lors que la personne elle peut refuser les traceurs aussi facilement qu’elle peut les accepter, il est fort probable qu’il va y avoir une baisse du nombre d’utilisateurs qui consentent à l’utilisation des cookies », analyse Fabrice Perst. La conséquence est directe : sans consentement, pas de publicité ciblée, pas de monétisation de l’audience. C’est donc « tout le business modèle d’un grand nombre de sociétés qui s’appuyait sur la publicité ciblée qui va se retrouver aujourd’hui bouleversé. »
Il utilise une analogie parlante pour décrire le changement de paradigme : « le cookie, c’était un peu comme la passerelle de l’avion pour le passager […] indispensable pour monter dans l’avion mais une fois que l’avion a décollé, la passerelle, plus personne n’y pense. […] Sauf que on avait oublié, c’est qu’il y avait une personne qui a continué à y penser, c’est la CNIL. »
L’intérêt légitime : une exception difficile à manier
Face à la difficulté d’obtenir un consentement, certains marketeurs pourraient être tentés de se reposer sur une autre base légale : l’intérêt légitime. Fabrice Perst met en garde contre une utilisation trop hâtive de cette notion. « L’intérêt légitime, il est très difficile à mettre en place parce que il nécessite tout de suite en fait une balance ou ou un arbitrage entre ce qu’on entend par l’intérêt légitime. » Il explique que l’intérêt légitime du marketeur se heurte très souvent à l’intérêt légitime de l’internaute à protéger sa vie privée. Au final, « très souvent en fait, on se retrouve à devoir aller dans la l’option du du consentement pour pouvoir répondre aux désiderata de la CNIL. »
Le cas complexe des cookies de mesure d’audience comme Google Analytics
Une question reste sur toutes les lèvres des web marketeurs : qu’en est-il des outils de mesure d’audience comme Google Analytics ? Un utilisateur qui refuse les cookies sera-t-il invisible dans les statistiques de visite ?
La réponse, selon Fabrice Perst, est nuancée. Tout dépend de la finalité du cookie. Certains traceurs sont exemptés de consentement, notamment ceux qui sont strictement nécessaires à la fourniture d’un service. La question est de savoir si un cookie de mesure d’audience entre dans cette catégorie. Et sur ce point, « on est quand même encore dans le brouillard. »
La position de la CNIL a évolué. Dans sa recommandation de 2013, « elle avait considéré que tous les traceurs de mesure d’audience pouvaient bénéficier de l’exemption au consentement. » Mais dans sa version de 2020, la règle est devenue « cela dépend, c’est du cas par cas. »
La CNIL considère désormais qu’un traceur de mesure d’audience peut être exempté s’il est « nécessaire au service de communication en ligne demandée par l’utilisateur. » Par exemple, s’il sert à mesurer la performance du site ou à détecter des problèmes de navigation. En revanche, le consentement sera requis pour « les traceurs qui permettent le suivi global de la personne. » Si l’outil permet de suivre les habitudes de consommation d’un individu sur différents sites, alors le consentement préalable est indispensable.
Consciente de cette complexité, la CNIL a annoncé lors d’un webinaire fin février qu’elle allait « lancer prochainement un appel à participation pour permettre aux acteurs du marketing de présenter leur solution de mesure d’audience qui pourrait être exemptée. » Une opportunité pour les acteurs du data marketing de faire valoir leurs solutions et d’obtenir une clarification bienvenue sur ce point crucial.
FAQ sur le consentement aux cookies et la réglementation
Quelle est la différence fondamentale entre le RGPD et la directive ePrivacy ?
La principale différence réside dans leur champ d’application. Le RGPD se concentre sur la protection de toutes les données à caractère personnel d’une personne physique, tandis que la directive ePrivacy se spécialise dans la protection de la vie privée au sein des services de communication électronique accessibles au public, qu’il y ait traitement de données personnelles ou non.
« On a d’un côté le RGPD qui lui se focalise sur la la protection des données à caractère personnel des personnes physiques […] et de l’autre côté la directive privacy qui elle concerne le respect de la vie privée concernant les services de communication électronique accessible au public. » – Fabrice Perst
La poursuite de la navigation sur un site vaut-elle encore consentement pour les cookies ?
Non. Selon les nouvelles recommandations de la CNIL, la poursuite de la navigation, le défilement d’une page ou toute autre forme d’inaction ne peuvent plus être considérés comme un consentement valide. Le consentement doit résulter d’un acte positif et clair de la part de l’utilisateur, comme un clic sur un bouton « J’accepte ».
« La poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement au cookie. Ça c’est le premier point important. » – Fabrice Perst
Comment un marketeur peut-il prouver le recueil du consentement de l’utilisateur ?
Les acteurs du marketing doivent mettre en place des systèmes, comme des plateformes de gestion du consentement (CMP), capables d’enregistrer et de conserver de manière sécurisée la preuve du consentement donné par chaque utilisateur. Cette preuve doit pouvoir être présentée à la CNIL à tout moment en cas de contrôle.
« Les acteurs du du marketing doivent être en mesure de fournir à tout moment la preuve du recueil valable du consentement. » – Fabrice Perst
Est-il obligatoire d’avoir un bouton « Tout refuser » sur un bandeau de cookies ?
La CNIL exige que le refus soit aussi simple que l’acceptation. Si l’acceptation se fait via un bouton « Tout accepter », il est fortement recommandé de proposer un mécanisme de refus équivalent, comme un bouton « Tout refuser », afin de garantir un choix équilibré et non biaisé pour l’utilisateur.
« L’action de refuser […] doit présenter le même degré de simplicité que celle qui permet d’exprimer son consentement. Et la CNIL dans sa recommandation et bien, elle est venue suggérer que le bouton tout accepter soit présenté de la même façon […] que le le bouton tout refuser. » – Fabrice Perst
Qu’est-ce qu’un « Cookie Wall » et est-ce légal en France ?
Un « cookie wall » est une pratique qui consiste à bloquer l’accès au contenu d’un site web tant que l’utilisateur n’a pas accepté le dépôt de cookies. La CNIL considère que cette pratique peut porter atteinte à la liberté du consentement et évalue sa légalité au cas par cas. Elle n’est pas interdite en bloc, mais elle est très encadrée.
« Le cookie Wall, c’est la pratique qui consiste à bloquer ou à restreindre l’accès à un site internet tant que l’utilisateur ne consent pas à l’utilisation des cookies. […] L’ANIL considère que le cookie Wall peut porter atteinte à la liberté du consentement et elle estime que la licéité du cookie Wall est à appliquer au cas par cas. » – Fabrice Perst
Peut-on utiliser l’intérêt légitime pour se passer du consentement pour les cookies ?
En théorie, oui, mais en pratique, c’est très difficile. Il faut réaliser une mise en balance entre l’intérêt légitime de l’entreprise et les droits et libertés de l’utilisateur. Pour les cookies publicitaires ou de suivi, l’intérêt de l’utilisateur à protéger sa vie privée prévaut presque toujours, rendant le consentement quasi obligatoire.
« L’intérêt légitime du du marketeur n’est pas nécessairement l’intérêt légitime de l’internaute. Et donc quand on fait cet équilibre […] on se rend compte que l’intérêt légitime qu’on peut mettre en avant […] va vite se heurter en fait à l’intérêt légitime de l’internaute. » – Fabrice Perst
A-t-on besoin du consentement de l’utilisateur pour utiliser Google Analytics ?
Ça dépend. Si l’outil est configuré pour ne collecter que des données agrégées et anonymes strictement nécessaires au fonctionnement et à l’amélioration du service (mesure de performance, détection de bugs), il peut être exempté de consentement. Si, en revanche, il permet un suivi global de l’utilisateur sur plusieurs sites ou de reconstituer ses habitudes, le consentement est obligatoire.
« Dès lors qu’un traceur qui est là pour mesurer le enfin dès lors que le traceur pour mesure d’audience est nécessaire au service de communication en ligne demandée par l’utilisateur, oui, alors il va s’agir d’une exemption au consentement. […] En revanche, ce seront considérés comme non nécessaires et là un recueil du consentement sera requis, ce seront par exemple les traceurs qui permettent le suivi global de la personne. » – Fabrice Perst
Quels types de traceurs sont exemptés de consentement selon la CNIL ?
Sont exemptés les traceurs qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. Cela inclut par exemple les cookies de panier d’achat, d’authentification ou de personnalisation de l’interface, sous certaines conditions strictes.
« Si on considère que ce cookie sa finalité c’est un cookie de mesure d’audience et si ce ce ce traceur est nécessaire pour mesurer l’audience, on considère l’ANIL considérera que le consentement n’est pas nécessaire et donc on peut continuer à tracer l’utilisateur. » – Fabrice Perst
