Directive ePrivacy.

La directive ePrivacy (2002/58/CE, modifiée en 2009) est la « loi cookies » que tout le monde applique à moitié. Elle régit la confidentialité des communications électroniques et les technologies de traçage sur les appareils des utilisateurs. Antérieure au GDPR et toujours en vigueur ; le règlement ePrivacy censé la remplacer est bloqué en négociation depuis 2017. Les autorités nationales de protection des données (CNIL, Garante, AEPD) en assurent l'application sur leur territoire.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

La vision de Cyber Academy

La directive ePrivacy (2002/58/CE, modifiée en 2009) est la « loi cookies » que tout le monde applique à moitié. Elle régit la confidentialité des communications électroniques et les technologies de traçage sur les appareils des utilisateurs. Antérieure au GDPR et toujours en vigueur ; le règlement ePrivacy censé la remplacer est bloqué en négociation depuis 2017. Les autorités nationales de protection des données (CNIL, Garante, AEPD) en assurent l'application sur leur territoire.

Ce que régit réellement la directive ePrivacy

La directive ePrivacy (2002/58/CE, modifiée par 2009/136/CE) est surtout connue comme la « loi cookies », mais la réduire aux cookies fait perdre l'essentiel de sa portée. Son véritable objet est la confidentialité des communications électroniques et la protection de l'équipement terminal de l'utilisateur.

Elle énonce que les communications et les données de trafic associées sont confidentielles, que l'interception et la surveillance nécessitent une base légale, et que stocker ou lire des informations sur l'appareil d'une personne, qu'il s'agisse d'un cookie, d'un pixel de suivi, d'une empreinte numérique ou d'un SDK, requiert généralement un consentement préalable. La partie consentement et suivi est celle que la plupart des équipes mettent en œuvre ; la partie confidentialité est celle dont la plupart des équipes oublient l'existence.

C'est une directive, pas un règlement. Cette distinction est à l'origine de la moitié de la confusion en pratique. Une directive fixe l'objectif et laisse chaque État membre la transposer en droit national, de sorte que la formulation exacte, le seuil de consentement et le style d'application diffèrent d'un pays à l'autre. En France, les dispositions pertinentes figurent dans le Code des postes et des communications électroniques, et la CNIL publie ses propres lignes directrices et recommandations sur les cookies et les traceurs. Il n'existe pas de texte unique à l'échelle de l'Union que l'on puisse citer comme on cite le GDPR.

ePrivacy aux côtés du GDPR

Les deux instruments sont complémentaires, pas interchangeables. La directive ePrivacy est une lex specialis : là où elle pose une règle spécifique, cette règle prévaut sur la disposition plus générale du GDPR. L'exemple le plus clair est celui des cookies et du stockage sur l'appareil. Le GDPR régit la façon dont vous traitez les données personnelles que vous collectez ; ePrivacy régit l'acte d'accéder à des informations sur l'appareil ou de les y stocker en premier lieu, et il s'applique même lorsqu'aucune donnée personnelle n'est en jeu. Ainsi, un traceur qui dépose un identifiant purement technique relève encore d'ePrivacy, même si vous estimez qu'il ne s'agit pas d'une donnée personnelle au sens du GDPR.

Le consentement au titre d'ePrivacy emprunte sa définition au GDPR. Lorsqu'ePrivacy exige un consentement, celui-ci doit répondre au standard du GDPR : libre, spécifique, éclairé, univoque, et aussi facile à retirer qu'à donner. C'est pourquoi les cases précochées, les bandeaux « en poursuivant votre navigation, vous acceptez » et les murs de cookies qui n'offrent aucun choix réel continuent d'échouer au contrôle des autorités de supervision. Les deux textes se lisent ensemble.

Ce que font réellement les praticiens

Au quotidien, la conformité ePrivacy porte surtout sur la couche de consentement et l'inventaire qui la sous-tend. Le programme pratique ressemble à ceci :

  • Inventorier chaque cookie, balise, pixel, SDK et script qui lit ou écrit sur l'appareil, et classer chacun comme strictement nécessaire ou non. Seuls les éléments strictement nécessaires sont exemptés de consentement.
  • Bloquer les traceurs non essentiels jusqu'à ce que l'utilisateur ait donné son consentement, plutôt que de les déclencher au chargement de la page et de demander après coup. Une plateforme de gestion du consentement applique généralement cette règle.
  • Rendre le refus aussi fluide que l'acceptation, journaliser le consentement et son périmètre, et offrir un moyen simple de le retirer ultérieurement.
  • Garder aussi à l'esprit les obligations de confidentialité : la prospection directe par courriel ou SMS nécessite généralement un consentement préalable (opt-in), avec une exception étroite pour les clients existants sur des produits similaires.

L'application est nationale. Comme il n'existe pas de régulateur central de l'UE pour ePrivacy, chaque autorité de protection des données contrôle son propre territoire. La CNIL en France, le Garante en Italie et l'AEPD en Espagne émettent chacune des lignes directrices, mènent des audits et imposent des sanctions au titre de leurs transpositions nationales. Cela signifie qu'un site paneuropéen ne peut pas supposer qu'un seul bandeau satisfait tout le monde ; l'approche prudente consiste à respecter l'interprétation la plus stricte parmi les marchés que vous desservez et à documenter les choix que vous avez faits.

Frequently asked questions

01La directive ePrivacy est-elle la même chose que la loi cookies ?

Elle est à l'origine des règles sur les cookies, mais elle est plus large que les cookies. Elle protège aussi la confidentialité des communications électroniques et des données de trafic, et elle régit tout stockage d'informations sur l'appareil d'un utilisateur ou tout accès à celles-ci, pas seulement les cookies.

02Est-ce ePrivacy ou le GDPR qui s'applique aux cookies ?

Les deux, par couches. ePrivacy est une lex specialis et régit l'acte de placer ou de lire un cookie sur l'appareil, y compris lorsqu'aucune donnée personnelle n'est en jeu. Le GDPR régit ensuite la façon dont vous traitez les données personnelles que vous collectez par ce biais, et il fournit la définition du consentement valable.

03Le règlement ePrivacy a-t-il déjà remplacé la directive ?

Non. Le règlement ePrivacy proposé est en négociation depuis 2017 et n'a pas été adopté. La directive de 2002, telle que modifiée en 2009 et transposée en droit national, demeure le texte en vigueur.

04Qui fait appliquer la directive ePrivacy ?

Les autorités nationales de protection des données la font appliquer sur leur propre territoire au titre de la transposition de leur pays. En France, c'est la CNIL ; en Italie, le Garante ; en Espagne, l'AEPD. Il n'existe pas de régulateur unique à l'échelle de l'Union pour cela.

05Quels cookies ne nécessitent pas de consentement ?

Uniquement ceux strictement nécessaires à la fourniture d'un service explicitement demandé par l'utilisateur, comme conserver un panier d'achat ou maintenir une session de connexion. Les cookies d'analyse, de publicité et de suivi par des tiers requièrent un consentement préalable.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.