L’information lors de la collecte sur les réseaux électroniques

• Thiébaut Devergranne

L’essentiel : la crainte de l’abus des dispositifs de traçage (notamment cookies) a généré un régime juridique spécifique sur la collecte de données personnelles sur les réseaux électroniques, imposant d’informer les personnes des actions menées tendant à tracer leurs activités.

 

 

La collecte au travers des réseaux de communications électroniques

1. – La loi a imposé des obligations spécifiques lorsque la collecte s’opère sur des réseaux de communication électronique. Ces obligations ont été créées en raison de la crainte de l’abus de dispositifs de traçages (et en particulier de cookies, susceptibles d’être utilisés pour retracer les faits et gestes des utilisateurs qui naviguent sur les sites Internet). Ces règles, initialement héritées d’une directive européenne (2002/58), visent à lutter contre les dispositifs permettant de « pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations ou suivre les activités de l’utilisateur, [dispositifs qui] peuvent porter gravement atteinte à la vie privée » (Considérant n°24). D’un point de vue franco-français, ces préoccupations sont quelque peu redondantes avec l’article 323-1 du Code pénal qui sanctionne l’accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données, mais qu’importe.

2. – Il en résulte aujourd’hui que la loi (art. 32 II, modifié par l’ordonnance du 24 août 2011) impose au responsable de traitement de dispenser deux informations, claires et complètes, aux personnes utilisatrices des réseaux de communication électronique, portant sur :

  • la finalité des actions tendant à accéder à des informations stockées dans leurs équipements, ou à inscrire des informations dans leur équipement terminal de connexion, lorsque c’est le cas ;
  • et les moyens dont elles disposent pour s’y opposer.

3. – La modification opérée en août 2011 apporte une précision. En effet, la loi dispose que « Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.  » La CNIL toutefois a une interprétation particulièrement stricte de ces dispositions. En effet, pour elle :  » l’accord de l’internaute doit être spécifique, c’est-à-dire qu’il doit porter sur un traitement précis associé à une finalité définie.  Ainsi, un paramétrage du navigateur, acceptant tous les cookies sans distinguer leur finalité, ne pourra pas être considéré comme un accord valablement exprimé« . Reste à voir si les juges adopterons une position identique, ce dont on doute quelque peu.

4. – Deux exceptions sont toutefois prévues, ces obligations n’étant pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

  • a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
  • ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Il conviendra donc de prendre en compte ces obligations lors de la rédaction des mentions légales.

Lire la suite : Les obligations d’information en cas de collecte indirecte 

Le plan de l'article :

- La liste des informations imposées
- Les exceptions à l'obligation d'information 
- Les précisions du décret
- L'information lors de la collecte de données sur les réseaux électroniques
- Les obligations d'information en cas de collecte indirecte 
- Les sanctions à la violation de l'obligation d'information


Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)