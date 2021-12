Les bandeaux cookies sont de plus en plus fréquents sur les sites internet, un passage leur est consacré dans la politique de confidentialité. Parfois même, une politique leur est exclusivement consacrée.

Mais qu'est-ce qu'un cookie? Aussi appelé « fichier témoin », « témoin de connexion » ou tout simplement « témoin », il s'agit d'un petit ensemble de données numériques sous forme de fichier texte, envoyé par un site web et stocké localement sur l'appareil (ordinateur, tablette, mobile) de l'utilisateur par le biais du navigateur web de ce dernier pendant qu'il navigue sur Internet, souvent à son insu.

Les cookies remplissent des fonctions souvent essentielles. Par exemple, les cookies d'authentification1 permettent de savoir si l'utilisateur est connecté, et avec quel compte2. Sans un tel mécanisme, le site ne saurait pas, par exemple, s'il doit exiger que l'utilisateur s'authentifie en se connectant. Les cookies de suivi, quant à eux, en particulier les cookies tiers, c'est-à-dire appartenant à un domaine différent de celui indiqué dans la barre d'adresse3, à la différence des cookies nominatifs correspondant au domaine mentionné dans la barre d'adresse, font l'objet d'une utilisation en croissance exponentielle. Ce type de cookie apparaît lorsque des pages web présentent du contenu provenant de sites tiers, comme des bannières publicitaires, et permet de suivre l'historique de la navigation de l'utilisateur afin de lui proposer des publicités pertinentes, adaptées à son profil4.

Mais s'agit-il pour autant de renseignements personnels ?

État des lieux au Canada

Notion de « renseignement personnel »

Au Canada, actuellement, seule la loi anti-pourriel (LCAP) mentionne expressément les cookies. Selon cette loi, il est interdit, dans le cadre d'activités commerciales, d'installer ou faire installer un programme d'ordinateur dans l'ordinateur d'une autre personne, sans avoir obtenu le consentement exprès de la personne (LCAP, art. 8.1) sauf s'il est raisonnable de croire, d'après son comportement, qu'elle consent à l'installation du programme, auquel cas son consentement est réputé présumé (LCAP, art. 10(8)).

Pour obtenir ce consentement, une information claire est nécessaire (LCAP, art. 10(3)) (voir ci-après).

En tout état de cause, le cookie ne pourrait-il pas être considéré comme un « renseignement personnel » aux termes des lois canadiennes relatives aux renseignements personnels, lesquelles trouveraient donc à s'appliquer? Autrement dit, un cookie peut-il constituer un « renseignement concernant un individu identifiable »5, ou existe-t-il « une possibilité sérieuse qu'un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris seul ou en combinaison avec d'autres renseignements disponibles »6? Bien que la jurisprudence canadienne commande en principe une interprétation large de la notion de renseignement personnel7, elle demeure à ce jour muette, tant au niveau de l'interprétation des lois provinciales que de la loi fédérale, sur la qualification des cookies en tant que renseignements personnels.

Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a, en 2011, statué sur cette question concernant les cookies de suivi. En effet, il a reconnu que la publicité comportementale en ligne et la personnalisation des publicités selon l'activité de navigation de l'individu, ce qui comprend notamment les habitudes d'achat, les « paniers » d'items enregistrés sur les plateformes de vente en ligne et l'historique des recherches, implique la collecte de ces renseignements par les tierces parties réceptrices des cookies de suivi. Ainsi, « compte tenu de la portée et de l'envergure des renseignements recueillis, des moyens puissants qui permettent de regrouper et d'analyser des données disparates et le caractère personnalisé de l'activité, il est raisonnable de penser qu'il y aura souvent une forte possibilité que les renseignements puissent être liés à une personne »8.

En d'autres termes, les renseignements collectés et transcrits dans les cookies, dans le cadre du suivi et du ciblage en ligne dans le but d'offrir des publicités personnalisées, « seront habituellement considérés comme des renseignements personnels »9 au sens de la Loi sur la protection des renseignements personnels et les documents électroniques10(« LPRPDE »).

Au Québec, la CAI considère que les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet (notamment via les cookies) sont soumises à la Loi sur la protection des renseignements personnels dans le secteur privé. Elles ont donc l'obligation de recueillir seulement les renseignements nécessaires à l'objet du dossier qu'elles détiennent sur une personne. De plus, elles doivent informer cette personne de la raison du dossier et de l'utilisation qui sera faite des renseignements ainsi collectés11.

Consentement

Rappelons que la LPRPDE, à l'instar des autres lois provinciales en la matière, exige généralement le consentement à la collecte, à l'utilisation et à la divulgation des renseignements personnels. Ce consentement peut être exprimé de façon explicite ou implicite12, selon le cas d'espèce, et certains autres facteurs tels que la sensibilité des renseignements en jeu.

Dans le cas spécifique de l'utilisation de cookies de suivi dans le cadre de la publicité comportementale en ligne, le Commissariat considère que le consentement implicite est valable lorsque certaines conditions sont réunies. Notamment, les internautes doivent être informés, au moment de la collecte ou avant celle-ci, des objectifs de la pratique d'une manière claire et compréhensible et des différentes parties impliquées dans la publicité comportementale en ligne. Les internautes doivent également pouvoir y renoncer, laquelle renonciation doit être durable dans le temps. Enfin, les renseignements personnels concernés ne doivent pas être sensibles, sans quoi le consentement explicite sera requis, et doivent être détruits ou anonymisés (de façon permanente et irréversible) dès que possible13.

Ainsi, parce que les « cookies zombies »14, les « supercookies »15 et les cookies de tiers n'offrent aucune possibilité de contrôle de la part de l'internaute, et donc aucune possibilité pour l'individu de consentir ou de retirer son consentement, le Commissariat considère que ce suivi ne devrait pas être entrepris parce qu'il ne peut être fait en conformité avec la LPRPDE.

Au Québec, il en ira bientôt différemment. Si une seule disposition de la Loi sur le secteur privé telle que modifiée par la Loi 25 modernisant des dispositions législatives en matière de protection des renseignements personnels (anciennement "Projet de Loi 64") vise expressément les témoins de connexion (le nouvel art. 9.1 énonçant que l'obligation de s'assurer que les paramètres de confidentialité d'un produit ou service technologiques offerts au public assurent par défaut le plus haut niveau de confidentialité, ne s'applique pas aux témoins de connexion), l'article 8.1. pourra trouver à s'appliquer dès lors qu'il réfère aux technologies permettant d'identifier, localiser ou d'effectuer un profilage.

8.1. En plus des informations devant être fournies suivant l'article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage de celle-ci doit, au préalable, l'informer :

1° du recours à une telle technologie;

2° des moyens offerts, le cas échéant, pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage.

Le profilage s'entend de la collecte et de l'utilisation de renseignements personnels afin d'évaluer certaines caractéristiques d'une personne physique, notamment à des fins d'analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

En d'autres termes, à compter du 22 septembre 2023, toute entreprise recueillant des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l'identifier, de la localiser ou d'effectuer un profilage, c'est-à-dire en ayant recours notamment à des pixels de tracking et de reciblage, devra au préalable l'informer :

du recours à une telle technologie ;

des moyens offerts pour activer les fonctions permettant d'identifier, de localiser ou d'effectuer un profilage. En d'autres mots, ces technologies ne pourront être activées par défaut; ce sera à la personne concernée de les activer si elle le souhaite.

À cet égard, soulignons au passage deux éléments d'intérêt.

D'abord, l'introduction de la notion de « témoin de connexion » dans la Loi 25 se veut surprenante, alors que les lois canadiennes sur la protection des renseignements personnels nous ont habitué à suivre une approche principielle technologiquement neutre. L'article 9.1 de ce texte, transposant le concept de confidentialité par défaut dans la loi québécoise, ne réfère pas, contrairement à l'article 25 du RGPD16 à la notion de nécessité qui permet d'échapper au paramétrage des produits et services technologiques. En d'autres mots, seul le témoin de connexion, technologie certes utile mais vouée à être un jour remplacée, semble bénéficier d'une telle exemption17.

Ensuite, le nouvel article 8.1 semble être voué à entraîner de lourdes conséquences pour les entreprises, visant une notion très large de « profilage » - s'entendant de toute collecte ou utilisation de renseignements personnels permettant d'évaluer des caractéristiques de tout individu, incluant des employés – mais aussi toute fonction technologique permettant d'identifier ou de localiser ces individus. C'est donc dire que, par exemple, des dispositifs permettant la localisation d'employés via la collecte d'adresse IP ou des cartes d'accès, pour des raisons de sécurité, seraient assujettis à cette « désactivation » par défaut. Les organisations québécoises pourraient donc se retrouver dans la fâcheuse position où elles doivent demander l'activation de ces fonctions, malgré leur nature nécessaire dans certaines circonstances.

Aussi, les cookies qui, selon l'utilisation qui en est faite, permettent d'identifier un individu sont considérés comme des renseignements personnels et donc, soumis aux lois canadiennes relatives à la vie privée. Mais la situation est-elle réellement différente en Europe?

État des lieux au sein de l'Union Européenne

La qualification des cookies en données personnelles

Au sein de l'Union Européenne, la situation est quelque peu différente car un texte a vocation à s'appliquer aux cookies, via la notion de stockage d'informations : il s'agit de la directive e-Privacy18. Elle prévoit notamment que le dépôt de cookies ne peut se faire sans l'information préalable ni le consentement de l'utilisateur19. Toutefois, cette directive ne précise pas si le cookie est une donnée personnelle.

Pour en avoir cSur net, il convient de se tourner vers le RGPD20 qui prévoit que « les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identi?ants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identi?ants, par exemple des étiquettes d'identi?cation par radiofréquence. Ces identi?ants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identi?ants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des pro?ls de personnes physiques et à identi?er ces personnes»21.

En d'autres termes, pris isolément, un cookie ne serait pas, en tant que tel, une donnée personnelle. Mais combiné avec d'autres éléments, il en deviendrait une. Finalement, ce n'est pas autre chose que la définition de la donnée personnelle de l'article 4(1) du RGPD selon lequel « une personne physique qui peut être identi?ée, directement ou indirectement, notamment par référence à un identi?ant, tel qu'un nom, un numéro d'identi?cation, des données de localisation, un identi?ant en ligne, ou à un ou plusieurs éléments spéci?ques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Cette position a été confirmée récemment par la Cour de justice de l'Union européenne22:

« 45. [...] les cookies qui sont susceptibles d'être placés sur l'équipement terminal d'un utilisateur qui participe au jeu promotionnel organisé par Planet49 comportent un numéro qui est attribué aux données d'enregistrement de cet utilisateur, lequel doit inscrire son nom et son adresse dans le formulaire de participation à ce jeu. La juridiction de renvoi ajoute que l'association de ce numéro et de ces données personnalise les données stockées par les cookies lorsque l'utilisateur recourt à l'Internet, si bien que la collecte de ces données au moyen de cookies relève d'un traitement de données à caractère personnel ».

« 67. Comme il a été relevé au point 45 du présent arrêt, il ressort de la décision de renvoi que le placement des cookies en cause au principal participe d'un traitement de données à caractère personnel ».

Il en résulte que si le cookie n'est pas une donnée personnelle, seule la directive e-Privacy s'appliquera. En revanche, si le cookie est une donnée personnelle, la directive e-privacy et le RGPD trouveront à s'appliquer. Cela ne pose pas de problème dès lors que la directive e-Privacy23 fait déjà de nombreux renvois au prédecesseur du RGPD, la directive 95/4624. En effet, les dispositions de la directive e-Privacy et celles du RGPD sur le consentement «ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679 »25.

Conséquences en terme de consentement et d'information préalable

Il en résulte que pour déposer des cookies sur le terminal d'un utilisateur, il conviendra d'obtenir son consentement préalable. Dans ce cas, le consentement constituera la base juridique du traitement en question26 et devra « répondre à toutes les exigences du consentement telles que prévues par l'article 5, paragraphe 3, de la directive. 4(11) et 7 du RGPD »27, à savoir que « le consentement doit être libre, spécifique et informé et constitue une indication non ambiguë des souhaits de la personne concernée. [...]. Ce consentement doit être fourni séparément, à des fins spécifiques [...]. Le consentement doit être aussi facile à retirer qu'il est donné. Il doit en être de même lorsque le consentement est nécessaire pour se conformer à la directive "vie privée et communications électroniques"»28.

Dans ces circonstances, une case précochée sera donc considérée comme illégale concernant le dépôt de cookies. En effet, pour démontrer du consentement de l'utilisateur, il faut un comportement actif de sa part. Or, il est « pratiquement impossible de déterminer de manière objective si l'utilisateur d'un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n'ait pas lu l'information accompagnant la case cochée par défaut, voire qu'il n'ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu'il visite »29.

De même, la pratique du scrolling ne vaut pas non plus consentement actif de l'utilisateur : « le fait pour un utilisateur d'activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l'utilisateur a valablement donné son consentement au placement de cookies »30. En d'autres termes, la poursuite de la navigation ne vaut plus, en Europe, consentement valide au dépôt de cookies, à l'instar des « cookie walls » et du fait que la fourniture du service repose sur le fait que la personne concernée clique sur le bouton « Accepter les cookies ». Cette position a été confirmée par les récentes lignes directrices du Comité européen de la protection des données sur le consentement.31.

L'idée derrière cette décision est qu'il y ait autant de consentements que de finalités distinctes en vertu du RGPD (le consentement doit être spécifique)... Et c'est impossible de s'assurer de cela avec une case précochée ou un scrolling. Cette position a encore été réitérée par l'avocat général Szpunar, dans ses conclusions sur l'affaire Orange Romania32.

Si le consentement doit résulter d'un comportement actif de l'utilisateur, encore faut-il que ce dernier soit parfaitement informé. Cette information doit notamment contenir la durée de traitement dès lors que « l'information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l'exigence d'un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l'utilisateur sur les sites des partenaires publicitaires de l'organisateur du jeu promotionnel »33.

Cette information doit également indiquer si des tiers peuvent avoir accès aux cookies puisqu'il « s'agit d'une information comprise dans les informations mentionnées à l'article 10, sous c), de la directive 95/46, ainsi qu'à l'article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données »34.

A n'en pas douter, l'information relative aux cookies devra être précisée. Il est d'ores et déjà possible de voir certains sites internet contenant un bandeau cookies avec un lien vers la liste des partenaires.

***

Ce tour d'horizon des approches canadienne et européenne en matière de protection de la vie privée quant à l'encadrement de l'utilisation des cookies nous permet de remarquer certaines ressemblances et divergences entre les deux. Alors qu'il semble y avoir consensus sur la qualification éventuelle des cookies en tant que « renseignements personnels » ou « données à caractère personnel », les effets juridiques découlant de cette qualification diffèrent. Bien qu'au Canada, sous réserve des spécificités des lois provinciales lorsqu'applicables, le consentement implicite soit valable mais à plusieurs conditions, le consentement actif est de mise en Europe. Alors que la LPRPDE sera réformée dans l'année à venir, il sera intéressant de voir comment le législateur canadien balancera ces inconvénients et, notamment, s'il adoptera l'approche européenne. Fasken est là pour vous assister et est en mesure de trouver des solutions pratiques qui respectent à la fois les lois relatives à la protection des renseignements personnels et/ou anti-pourriel, aussi bien au Canada qu'en Europe (lois actuelles et à venir).

