Le cadre réglementaire applicable aux « cookies » (témoins de connexion) et son impact sur les entreprises canadiennes

Vanessa Deschênes et Élisabeth Lesage-Bigras [1]
ROBIC, S.E.N.C.R.L.
Avocats, agents de brevets et de marques de commerce

Récemment, vous avez peut-être remarqué qu’en naviguant sur le web, de nouvelles fenêtres apparaissaient afin de vous demander vos préférences en matière de « cookies » – communément appelés témoin de connexion en français (ci-après « témoin »). Cette nouvelle façon de faire découle notamment du fait que plusieurs changements législatifs et réglementaires ont eu lieu en Europe dans la dernière année.

Servant d’outils d’analyse, de profilage, de marketing et de publicité, pour ne nommer que ceux-ci, les témoins font partie intégrante des communications électroniques modernes. Leur présence dans la quasi-totalité des sphères d’Internet fait d’eux un enjeu important en matière de protection des renseignements (personnels ou non) et de la vie privée. Avec les importants changements législatifs canadiens à l’horizon et un resserrement des obligations européennes en la matière, il est devenu crucial pour toute entreprise de bien comprendre l’impact de ceux-ci afin de voir à sa conformité, et ce, tant au Canada qu’ailleurs dans le monde.

1. Qu’est-ce qu’un témoin de connexion ou « cookie »?

Les témoins, dans leur forme la plus simple, sont de petits fichiers (ou groupes) de données créés par votre navigateur web et placés sur votre ordinateur. En d’autres mots, un serveur web transmet ces grappes de données à votre ordinateur après que vous atterrissez sur un site web. Votre ordinateur stocke alors les données sous forme de fichiers dans la cache de votre navigateur. Pour illustrer comment cela fonctionne, voici un exemple concret :

(1) Vous visitez un site web, (2) le serveur web transmet un court message à votre navigateur web, (3) le navigateur enregistre ce message dans un fichier intitulé « cookie.txt », (4) vous cliquez sur une autre page du site (par exemple, une catégorie de magasin), (5) votre navigateur envoie un court message de « retour » au serveur qui en dit un peu plus sur ce que vous regardez.

Dans la réalité, il existe plusieurs types de témoins soit : les témoins de session, les témoins persistants, les témoins de tiers, les témoins de première partie, les témoins de marketing ainsi que les témoins de performance et d’analyse. De façon plus détaillée, voici en quoi consistent brièvement ces types de témoins.

Les témoins de session

Les témoins de session sont temporaires. Ils ne durent littéralement que le temps d’une « session ». Une fois que vous fermez la fenêtre du navigateur ou que vous quittez le site web, le témoin disparaît. Contrairement aux autres types, les témoins de session ne sont jamais stockés sur votre ordinateur. Ces derniers vous permettent notamment d’’utiliser votre panier d’achats sur les sites de commerce électronique et de naviguer sur les sites web sans avoir à saisir constamment les mêmes informations.

Les témoins persistants

Les témoins persistants sont un peu différents. Ces témoins restent sur votre ordinateur une fois que vous avez fermé votre navigateur. En effet, ils sont conçus pour mémoriser vos préférences pendant une période déterminée, qu’il s’agisse de vos données de connexion, de votre liste de souhaits d’achats ou des articles que vous avez récemment consultés.

Les témoins de tiers

L’utilisation de ce type de témoins devient de plus en plus désuète, notamment en raison de nouvelles restrictions quant à leur utilisation. Ils permettent à des tiers de vérifier les performances de leurs publicités sur d’autres sites web. Concrètement, si vous cliquez sur une publicité pour un produit de l’entreprise A pendant que vous naviguez sur le site web de l’entreprise B, vous obtiendrez un témoin de l’entreprise A sur votre ordinateur.

Comme ces témoins soulèvent d’éventuelles préoccupations en matière de protection des renseignements personnels et de respect de la vie privée, leur utilisation est devenue beaucoup moins populaire et les plateformes comme Google répriment désormais leur utilisation.

Les témoins de première partie

Les témoins de première partie ne doivent pas être confondus avec les témoins de tiers. Ces témoins améliorent la fonctionnalité générale d’un site web et sont définis par le propriétaire du site. Contrairement aux témoins de session qui disparaissent juste après votre session, ces témoins restent sur votre appareil, ce qui vous permet d’utiliser plus facilement le site web la prochaine fois que vous le visiterez.

Les témoins de marketing

Les témoins de marketing sont similaires aux témoins de tiers bien que nous pourrions les qualifier de moins invasifs. Ils sont principalement utilisés pour vous montrer des publicités qui vous concernent, ce qui peut améliorer votre expérience de navigation sur Internet.

Les témoins de performance et d’analyse

Ce type de témoins permet aux entreprises d’évaluer les performances et la convivialité globales de leur site web. Concrètement, ces témoins peuvent suivre le temps passé par les internautes sur le site web, déterminer si les individus trouvent l’information qu’ils recherchent ou s’ils ignorent certaines parties du site ou si l’activité est inhabituellement élevée dans d’autres sections du site

2. Les témoins et lois canadiennes en matière de protection des renseignements personnels

Maintenant que vous comprenez possiblement un peu mieux en quoi consiste un témoin, vous pouvez possiblement déjà entrevoir le type de considérations juridiques que cela peut amener.

En raison de l’utilisation grandissante de ce type de technologie dans les dernières années, le Commissariat à la protection de la vie privée du Canada (« CPVPC ») a publié, en 2015, une position de principe sur la publicité comportementale (« PCL »).^[2] En outre, selon le commissaire fédéral, la PCL « se définit comme le suivi et le ciblage des activités sur le Web des personnes, dans plusieurs sites et au fil du temps, afin de leur présenter des publicités adaptées à leurs intérêts présumés ».^[3]

Du côté québécois, la Commission d’accès à l’information (ci-après « CAI »), définit la PCL comme :

« des techniques de marketing visant à collecter vos renseignements personnels et à les analyser dans le but de vous proposer des offres commerciales qui correspondent à votre profil. D’une part, le profilage est le fait de collecter des données qui vous concernent au gré de vos visites et de vos actions sur Internet dans le but de vous catégoriser (ex : femme, 30-35 ans, mariée, vivant en milieu urbain, mère de famille, adepte de la course à pied, etc.). D’autre part, la publicité ciblée est l’utilisation de ce profil pour vous proposer des offres commerciales personnalisées. »^[4]

En 2016, dans un document de discussion sur les améliorations possibles du consentement sous le régime de la LPRPDE, le CPVPC réitérait son interprétation à l’effet que des données, à la base disparates et non personnelles, peuvent le devenir :

« Les algorithmes de mégadonnées visent à établir des corrélations entre des éléments d’information. Or, si chacun des éléments d’information disparates ne constitue pas forcément un renseignement personnel en soi, le traitement consistant à amasser, à combiner et à analyser les éléments pourrait bien permettre d’obtenir des renseignements concernant un individu identifiable. En analysant les mégadonnées, on peut reconstituer l’identité des personnes auxquelles se rapportent des renseignements dépersonnalisés. »^[5]

Cette interprétation est par ailleurs similaire à celle de la CAI, laquelle mentionne que « les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet sont soumises à la Loi sur la protection des renseignements personnels dans le secteur privé ».^[6]

Ainsi, il n’est pas surprenant de voir, notamment dans le nouveau projet de loi provincial^[7] (« PL64 »), une nouvelle disposition en matière de profilage et de PCL. En effet, le législateur québécois propose notamment l’ajout de l’article 8.1, lequel peut se lire comme suit :

8.1. En plus des informations devant être fournies suivant l’article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci doit, au préalable, l’informer :

1° du recours à une telle technologie;

2° des moyens offerts, le cas échéant, pour désactiver les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage.

Le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.

À la lumière de ce qui précède, nous pouvons comprendre l’importance d’informer clairement les individus, ce qui va au-delà d’utiliser des phrases génériques trop englobantes. Que ce soit au Québec, au Canada ou en Europe, la notion de consentement valable est primordiale.^[8]

3. Les témoins et l’Europe

Le principal défi de la réglementation européenne concernant l’utilisation de témoins de connexion repose dans le manque d’harmonisation entre les juridictions. En fait, bien qu’en matière de données personnelles le Règlement général sur la protection des données^[9] (« RGPD ») s’applique en tant que loi générale, les témoins sont régis de façon plus spécifique par la Directive vie privée et communications électroniques^[10] (« Directive »), au paragraphe 5(3). Or, il est de la responsabilité de chaque État membre de transposer les directives européennes au sein de son droit national ce qui diminue dans une certaine mesure l’uniformisation de la réglementation à cet effet^[11]. Les entreprises doivent ainsi adapter leurs pratiques quant à l’utilisation de témoins en fonction des diverses juridictions.

La conformité des entreprises est d’autant plus importante à la lumière des décisions et changements des dernières années qui viennent considérablement renforcer la sévérité de la réglementation en vigueur. En effet, le 1^er octobre 2019, la Cour de justice de l’Union européenne (« CJUE ») a rendu une décision phare, l’arrêt Bundesverband der Verbraucherzentralen und Berbraucherverbände c. Planet49 GmbH^[12], venant clarifier les obligations de la Directive quant au consentement à l’emploi de témoins. Celle-ci incita ainsi certaines autorités nationales et européennes, telles que la Commission Nationale de l’Information et des Libertés (« CNIL ») en France, la Data Protection Commission (« DPC ») irlandaise et le Comité européen de la Protection des Données (« CEPD »), entre autres, à revoir leurs lignes directrices et leurs pratiques^[13].

Ainsi, quelles sont les obligations primaires à respecter en matière de témoin?

L’article 5(3) de la Directive prévoit que les témoins sont permis à condition que l’utilisateur soit en possession « d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données »^[14], le tout dans le respect du RGPD. En d’autres mots, l’utilisateur, à la lumière de l’information qu’il reçoit, doit être en mesure de consentir ou de refuser l’utilisation des témoins, sous réserve des exceptions applicables. Par conséquent, non seulement, doit-il consentir, mais ce consentement doit constituer, en vertu du point 11 de l’article 4 du RGPD, « une manifestation de volonté libre, spécifique éclairée et univoque, par laquelle la personne concernée accepte par une déclaration ou par un acte positif clair »^[15] le traitement des données, et ce, qu’elles soient personnelles ou non.^[16]

Comment obtenir un consentement valide?

En pratique, l’entreprise souhaitant utiliser des témoins doit ainsi s’assurer d’obtenir deux éléments : (1) le consentement valide et informé de l’utilisateur et (2) une preuve de la validité de ce consentement.

a. Consentement valide et informé

Le 5 mai dernier, la CEPD a émis de nouvelles lignes directrices à propos de l’obligation de consentement sous le RGPD afin d’aider les États membres à développer leurs politiques en la matière^[17]. Ces nouvelles lignes permettent de clarifier les questions de consentement notamment au regard de l’implantation et l’utilisation de témoins.^[18] Il est toutefois important de noter que de par le manque d’harmonisation de la réglementation, la présente section n’énoncera que les conditions de base qui sont communes aux juridictions européennes.

Ainsi, le consentement doit être libre, ce qui implique qu’il sera invalide dès lors que l’utilisateur subit de la pression ou se voit refuser l’accès du site Internet lorsqu’il refuse de consentir à l’utilisation des témoins; phénomène communément appelé mur de témoins ou « cookie walls ».^[19]

Dans le même ordre d’idée, comme le consentement doit être démontré par un « acte positif clair », une entreprise ne peut présenter à l’utilisateur, au moment de faire son choix, des cases qui sont déjà cochées^[20]. En effet, il a été jugé par la CJUE qu’il est « pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut »^[21]. Ce faisant, la CJUE détermina qu’il n’est dorénavant plus permis de simplement présumer le consentement de l’utilisateur et qu’il faut nécessairement que l’utilisateur pose un geste clair pour consentir; un exemple serait de cocher une case.^[22] Par conséquent, comme il est impossible de déduire que l’utilisateur a consenti lorsque celui-ci est silencieux ou inactif, de nombreuses juridictions, telles que la France, demandent maintenant que le silence de l’utilisateur soit automatiquement considéré comme un refus à l’emploi des témoins.^[23]

Par ailleurs, pour que le consentement soit valide, selon le RGPD et la Directive, les entreprises doivent divulguer au préalable certaines informations afin que les usagers puissent faire un choix éclairé. Ces informations doivent être présentées au moment où l’utilisateur fait son choix et dans un langage clair.^[24] Bien que devant être analysé au cas par cas, de façon générale, l’entreprise doit informer l’utilisateur (i) du type de témoins et des données collectées, (ii) des tiers partenaires qui auront accès aux données et témoins, (iii) des fins de la collecte ou du traitement et l’objectif de l’installation des témoins (iv) de la durée de fonctionnement des témoins, et surtout, (v) de la possibilité pour les usagers de retirer leur consentement.^[25] Le dernier élément est fondamental puisque l’utilisateur doit en tout temps avoir l’option de revenir sur sa décision, et ce, aussi facilement que lorsqu’il a donné son consentement.^[26]

Finalement, pour que le consentement soit valide, il doit être spécifique à chaque type de témoins ou à leur but précis.^[27] C’est-à-dire, si l’entreprise utilise des témoins publicitaires et d’analyse, l’utilisateur doit pouvoir avoir le choix d’accepter les témoins d’analyse et refuser les témoins publicitaires s’il le souhaite. L’entreprise doit donc mettre en place un système de consentement de type « opt-in » qui permet le paramétrage du consentement.^[28]

En d’autres mots, un consentement est valide lorsque l’utilisateur a pu (i) prendre connaissance des différents types de témoins, leur fonctionnement, leur durée et les partenaires en cause, (ii) accepter ou non, en cochant une case par exemple, l’utilisation des témoins pour chaque type et (iii) il ne s’est pas vu obliger d’accepter leur utilisation en n’ayant pas l’option de refuser. Comme la législation en vigueur ne traite pas spécifiquement de la méthode à prendre pour arriver à ce consentement, les autorités nationales, telles que la CNIL, donnent certains exemples : voir à cet effet, CNIL, « Cookies et traceurs : comment mettre mon site web en conformité? 

b.Preuve de la validité du consentement

Une fois le consentement (ou le refus) recueilli, les entreprises ont l’obligation de conserver un registre ou une trace de ce consentement pour la durée de la visite de l’utilisateur sur le site internet et pour une durée strictement nécessaire suite à la fin de la visite.^[29] La durée peut varier selon les juridictions, mais la CNIL et la DPC demandent toutes les deux que le choix des utilisateurs soit conservé pour une période de six mois après laquelle le consentement doit être redemandé.^[30]

Pourquoi est-il important de se conformer aux obligations européennes?

Malgré le manque d’harmonisation et certaines différences notables entre les juridictions (à titre d’exemple, l’Irlande oblige les entreprises à obtenir le consentement pour les témoins dits d’analyse, alors que certains de ces derniers sont exemptés de l’exigence de consentement en France sous certaines conditions^[31]), les témoins ont été jugés en Europe comme pouvant avoir un impact sur la vie privée des utilisateurs.^[32] Ainsi, le manquement aux obligations d’information et de consentement peut mener à des condamnations monétaires des plus salées.

En effet, le 7 décembre dernier, la CNIL a condamné Google LLC et Google Irlande Limited à payer 100 millions d’euros d’amende pour avoir installé des témoins publicitaires sur les ordinateurs des utilisateurs de google.fr, et ce, avant de les avoir informés de façon claire et complète et avant d’avoir obtenu leur consentement^[33].

Par conséquent, à la lumière des nouvelles lignes directrices des diverses autorités nationales et européennes, les entreprises seraient bien avisées de vérifier leur conformité, et ce, le plus rapidement possible puisque certaines des périodes de mise à niveau en vigueur sont courtes et parfois expirées. À titre indicatif, la France exige que les entreprises se conforment aux nouvelles règles d’ici le 31 mars 2021 alors que la période en Irlande expirait le 6 octobre 2020^[34].

4. Conclusion

Étant donné les nombreux changements et l’arrivée éventuelle d’un nouveau règlement européen en la matière^[35], il est maintenant plus que jamais important pour les entreprises canadiennes de vérifier que l’utilisation de leurs témoins est conforme à la réglementation tant canadienne qu’européenne. Or, la difficulté résultant du manque d’harmonisation entre les juridictions peut rendre la tâche plus que complexe. Ainsi, pour toute question, n’hésitez pas à communiquer avec notre équipe du secteur Protection des données, Vie privée et Cybersécurité.

---