En application de la directive européenne dite ” paquet télécom “, les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs. Ils doivent disposer d’une possibilité de choisir de ne pas être tracés lorsqu’ils visitent un site ou utilisent une application. Les éditeurs ont donc l’obligation de solliciter au préalable le consentement des utilisateurs. Ce consentement est valable 13 mois maximum. Certains traceurs sont cependant dispensés du recueil de ce consentement.

Que recouvre le terme de « cookies » ou de « traceurs » ?

Sont concernés les traceurs déposés et lus par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé tels qu’un ordinateur, un Smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet.

A ce titre, le terme de “cookie” recouvre par exemple :

• les cookies HTTP
• les cookies “flash”,
• le résultat du calcul d’empreinte dans le cas du ” fingerprinting ” (calcul d’un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage),
• les pixels invisibles ou ” web bugs “,
• tout autre identifiant généré par un logiciel ou un système d’exploitation, par exemple.

Pour être exemptés de demande de consentement, les cookies de mesure d’audience doivent respecter les conditions suivantes :

• une information doit être donnée aux utilisateurs qui doivent pouvoir s’opposer au traitement (cette opposition doit pouvoir se faire depuis n’importe quel terminal) ;
• les données collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites par exemple) ;
• le traceur déposé ne doit servir qu’à la production de statistiques anonymes et ne doit pas permettre le suivi de la navigation sur différents sites. Il ne doit pas être conservé au-delà de 13 mois et ne doit pas être prorogé lors des nouvelles visites ;
• les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois ;
• l’utilisation de l’adresse IP pour géolocaliser l’usager ne doit pas permettre de déterminer sa rue : seuls les deux premiers octets des adresses IPv4 peuvent être conservés et éventuellement utilisés pour de la géo localisation (pour IPv6 seuls les 6 premiers octets peuvent être conservés).