BlueKrypt

Les cookies ne peuvent plus être déposés par défaut et les failles de sécurité entraînant la violation de données personnelles devront être déclarées à la CNIL.

La transposition en droit français de la directive européenne 2009/136 du 25 novembre 2009, surnommée "Paquet Télécoms", est effective depuis le 24 août 2011. Elle modifie deux points clés de la loi n°78-17 du 6 janvier 1978 dite "Informatique et libertés". Pour protéger les internautes des publicités ciblées, elle instaure de nouvelles obligations relatives aux cookies. Et, dans un souci de transparence, elle oblige les opérateurs de sites web à notifier les internautes en cas de violation de données personnelles.

Concernant les cookies, l'ordonnance modifie l'article 32 de la loi "Informatique et libertés". Elle interdit désormais d'utiliser un cookie sans en avoir préalablement informé l'internaute et avoir reçu son accord explicite. Autrement dit, les cookies qui étaient mis en œuvre précédemment en mode "opt-out" doivent maintenant adopter le mode "opt-in", comme pour la publicité par e-mail. Cette modification de la loi vise à protéger les internautes en obligeant les publicitaires à les avertir que certaines de leurs données personnelles seront utilisées pour cibler les annonces qui s'affichent sur les sites web.

Appliquée à la lettre, cette approche est vouée à l'échec. On s'imagine mal devoir cliquer dix fois sur une fenêtre pop-up pour accepter chaque cookie qui assure le bon fonctionnement technique d'un site. Heureusement, l'ordonnance du 24 août 2011 exempte les cookies qui sont utilisés pour des raisons techniques (maintien d'une session HTTP par exemple). Elle stipule aussi que l'accord de l'internaute "peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle". En clair, la loi française s'en remet au paramétrage du navigateur de l'internaute. Cette modification n'a donc pas de conséquence technique pour les sites web déjà déployés et en projet. En revanche, les entreprises doivent "modifier les conditions d'utilisation en y intégrant les nouvelles dispositions imposées par l'ordonnance pour mettre leur site web en conformité" rappelle le cabinet d'avocats Courtois Lebel. Concrètement, il s'agit de rappeler à l'internaute que le site doit obtenir son consentement avant d'y déposer un cookie, d'expliquer la finalité du cookie et de décrire les moyens permettant à l'internaute de s'y opposer. Ce qui revient à lui expliquer qu'il peut désactiver l'acceptation par défaut des cookies. Une solution lourde et fastidieuse qui a peu de chances d'être mise en œuvre concrètement. Les internautes qui refusent les publicités (ciblées ou pas) ont plutôt intérêt à utiliser des extensions gratuites telles que Adblock Plus sur Firefox qui opèrent un filtrage efficace et transparent.

L'article 38 de l'ordonnance du 24 août 2011 modifie quant à lui la loi "Informatique et libertés" en y ajoutant l'article 34 bis. Il oblige à notifier l'internaute "sans délai" en cas de violation de ses données personnelles. La démarche est obligatoire dès que la violation est susceptible de porter atteinte aux données personnelles ou à la vie privée de l'internaute ou d'une autre personne physique. En d'autres termes, "les failles de sécurité qui entraînent de manière accidentelle ou illicite la perte, l'altération et l'accès non autorisé à des données à caractère personnel devront nous être systématiquement notifiées par les opérateurs" précise la Commission Nationale de l'Informatique et des Libertés (CNIL). Une seule exception est concédée : si la CNIL constate que des mesures de protection (notamment cryptage des données) ont été mises en œuvre, la notification n'est plus obligatoire. L'article 39 de l'ordonnance du 24 août 2011 modifie le code pénal en alourdissant les sanctions. Le non-respect de cette obligation est désormais "puni de cinq ans d'emprisonnement et 300 000 euros d'amende". L'objectif est clairement de prévenir les cas de violation de données personnelles en poussant les entreprises à renforcer la sécurité de leurs sites web. Il serait en effet très mauvais pour l'image d'un site de commerce en ligne ou d'une banque de devoir informer ses clients et la CNIL que des données ont été dérobées. Voilà qui devrait susciter un boom des audits de sécurité !