L’Europe veut réglementer l’usage des cookies

C’est une petite révolution que déclenche le Parlement européen en adoptant un texte qui s’attaque aux cookies. Début septembre, les parlementaires réunis en session plénière avaient rejeté le « rapport sur la proposition de directive du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ». Pour tenter de trouver un compromis, le texte est depuis retourné devant la Commission des libertés et des droits des citoyens, de la justice et des affaires intérieures, et la proposition a été adoptée ce mardi 13 novembre par 339 voix pour, 92 contre et 89 abstentions. Le texte s’attaque à toutes les formes de spam (par e-mail, fax ou SMS), de plus un amendement adopté début septembre (l’amendement 26) restreint les possibilité d’utilisation des « mouchards ». « Ce qu’on appelle les ‘cookies’, les ‘spyware’, les ‘web bugs’, les identificateurs cachés et autres processus semblables qui pénètrent dans l’équipement terminal des utilisateurs sans qu’ils en soient explicitement informés ou sans qu’ils aient donné leur consentement explicite afin de pouvoir accéder aux informations, stocker des informations cachées ou suivre les activités des utilisateurs, peuvent porter gravement atteinte à la vie privée de ces derniers », note la « justification » qui explique que « le recours à de tels processus devrait par conséquent être interdit, à moins que l’utilisateur concerné n’ait donné explicitement et librement son accord en toute connaissance de cause ».

Les cookies, instruments de navigation indispensables ?

Haro chez les publicitaires, emmenés par l’Interactive Advertising Bureau (IAB) du Royaume-Uni qui a lancé une campagne baptisée « Save our cookies » (« sauvez nos cookies« ). D’après l’organisation, « les entreprises britanniques pourraient perdre un total de 187 millions de livre sterling [305 millions d’euros]« . Les publicitaires emploient en effet les cookies et les Web bugs pour mesurer l’efficacité de leurs campagnes sur le Net. Mais ces outils servent également à la personnalisation de très nombreux sites en conservant les préférences de chaque internaute, voire ses mots de passe. Mais depuis longtemps, ils sont montrés du doigt par les défenseurs des libertés individuelles qui signalent les usages abusifs qu’en font certains sites. Ce n’est pas un hasard si les éditeurs de navigateurs Internet proposent désormais des options permettant de désactiver l’acceptation des cookies. Malheureusement, être prévenu lors du dépôt d’un cookie (une option du navigateur) rend la navigation très pénible tant les sollicitations sont fréquentes. Quant à ne pas les accepter du tout, cela empêche l’accès à toute une série de sites. « L’Union européenne propose de faire le bon choix avec les cookies en exigeant un consentement explicite avant de tracer les gens », a pour sa part déclaré Jason Catlett, président de Junkbusters, une organisation américaine qui milite pour la défense de la vie privée.

Quand l’Europe n’écoute pas les Etats-Unis

Les organisations américaines de défense des libertés individuelles se sont également dressées contre une initiative de leur président. La presse a en effet révélé que George Walker Bush avait adressé une lettre au Premier ministre belge Guy Verhofstadt, qui préside actuellement le Conseil des ministres européen. Or, dans son courrier, le président américain s’opposait au principe de l’effacement automatique des données de connexion inclus dans la directive. George Bush demandait tout bonnement un renforcement des mesures permettant l’accès aux communications personnelles. L’American civil liberties union (Aclu), l’Electronic privacy information center (Epic), l’Electronic frontier foundation (EFF) ainsi que le Center for democracy and technologies (CDT) dénoncent vivement cette initiative, en notant tout d’abord que « dans la loi des Etats-unis, il n’existe aucune obligation similaire de conservation des données ». Les associations soulignent par ailleurs que les officiels européens s’y sont opposés, et rappellent une fois encore les risques que cela pose en termes de « sécurité » et de « respect de la vie privée ». Finalement, les parlementaires européens n’ont même pas évoqué la demande du président Bush et la partie du texte consacrée à la conservation des données n’a pas été revisitée dans son sens. On reste toujours sur une conservation pour au maximum trois mois. A noter qu’en France, la loi sur la sécurité quotidienne impose une durée d’un an !

Prochain examen par le Conseil des ministres de l’Europe

Concernant le spam (l’envoi de messages publicitaires non sollicités) par e-mail, le Parlement a, sans surprise, choisi de laisser les états membres choisir entre l’opt-in (le consentement préalable du souscripteur) ou l’opt-out (la demande d’être rayé des fichiers a posteriori). La France, la Grande-Bretagne, le Luxembourg et l’Irlande étaient les seuls pays à militer pour l’opt-out, tandis que la majorité des autres pays (Autriche, Danemark, Finlande, Italie et Allemagne) souhaitaient que soit adopté le processus d’opt-in. En revanche, dans le cas des SMS ou des « systèmes d’appel automatisés », le consentement préalable des destinataires est nécessaire (opt-in). La proposition de directive va maintenant être examinée par le Conseil des ministres de l’Europe, qui doit se prononcer sur le texte le 6 décembre prochain. Il n’est pas certain que l’amendement relatif aux cookies subsiste encore après la procédure qui doit amener à la ratification du texte par les états membres.