La directive ePrivacy : la loi européenne sur les cookies expliquée
Lorsqu'on évoque « la loi européenne sur les cookies », on fait généralement référence à la directive ePrivacy — et plus précisément à son article 5, paragraphe 3. Si le RGPD occupe le devant de la scène, c'est bien la directive ePrivacy qui encadre directement l'utilisation des cookies et des technologies de traçage similaires. Comprendre cette directive, son articulation avec le RGPD et le futur règlement ePrivacy est essentiel pour toute personne responsable de la conformité en matière de cookies sur un site web européen.
Qu'est-ce que la directive ePrivacy ?
La directive ePrivacy (officiellement la directive 2002/58/CE) a été adoptée le 12 juillet 2002 dans le cadre du dispositif européen relatif à la confidentialité des télécommunications. Elle portait à l'origine sur la protection de la vie privée dans les communications électroniques — abordant des thèmes comme la confidentialité des communications, les données de trafic, le spam et l'identification de l'appelant.
En 2009, la directive a été considérablement modifiée par la directive 2009/136/CE (souvent appelée « directive relative aux droits des citoyens »). Cette modification a introduit l'exigence de consentement pour les cookies telle que nous la connaissons aujourd'hui, remplaçant l'ancien régime d'opt-out par un modèle d'opt-in. Avant 2009, les sites web devaient seulement informer les utilisateurs de la présence de cookies et leur donner le droit de les refuser. Après 2009, le consentement préalable est devenu obligatoire pour tous les cookies non essentiels.
Contrairement au RGPD, qui est un règlement (directement applicable dans tous les États membres), la directive ePrivacy est une directive (chaque État membre doit la transposer dans son droit national). Cela signifie que les règles précises relatives aux cookies varient d'un pays à l'autre, même si les exigences de fond restent identiques.
L'article 5, paragraphe 3 : la règle du consentement aux cookies
L'article 5, paragraphe 3 de la directive ePrivacy est la disposition qui encadre directement les cookies. Dans sa version modifiée, il dispose :
« Les États membres garantissent que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de [la directive relative à la protection des données, désormais le RGPD], une information claire et complète, entre autres sur les finalités du traitement. »
Cette disposition établit plusieurs exigences essentielles :
- Champ d'application : elle couvre tout stockage d'informations sur l'appareil d'un utilisateur, ou tout accès à des informations stockées sur l'appareil d'un utilisateur. Cela inclut les cookies, mais aussi le stockage local, IndexedDB, l'empreinte numérique (fingerprinting), les pixels de suivi et toute autre technologie qui lit ou écrit des données sur l'appareil de l'utilisateur.
- Consentement préalable : le consentement doit être obtenu avant que les informations ne soient stockées ou consultées — et non après.
- Consentement éclairé : l'utilisateur doit recevoir une information claire et complète sur les finalités du stockage ou de l'accès.
- Standard de consentement : la référence au RGPD (à l'origine la directive relative à la protection des données) signifie que la définition et les conditions du consentement prévues par le RGPD s'appliquent. Le consentement doit être libre, spécifique, éclairé et univoque.
L'exemption relative aux cookies « strictement nécessaires »
L'article 5, paragraphe 3 prévoit une exemption importante dans sa seconde phrase :
« Cela ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur. »
Cette exemption couvre deux catégories de cookies qui ne nécessitent pas de consentement :
- Les cookies nécessaires à la transmission d'une communication (par exemple, les cookies de répartition de charge).
- Les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur (par exemple, les cookies de panier d'achat, les cookies de session d'authentification, les cookies de préférences utilisateur pour un service que l'utilisateur utilise activement).
Le prédécesseur du Comité européen de la protection des données, le groupe de travail « Article 29 », a fourni des lignes directrices détaillées sur les cookies qui relèvent de la catégorie strictement nécessaire dans son avis 04/2012. Parmi les exemples :
- Exemptés (aucun consentement requis) : cookies de session pour la saisie utilisateur (formulaires en plusieurs étapes), cookies d'authentification, cookies de panier d'achat, cookies de sécurité (jetons CSRF), cookies de session de lecteurs multimédias, cookies de répartition de charge, cookies de personnalisation de l'interface (préférence de langue) pour la session en cours.
- Non exemptés (consentement requis) : cookies analytiques (dont Google Analytics), cookies publicitaires, cookies de partage/traçage des réseaux sociaux, cookies de préférences persistants qui perdurent au-delà de la session, tout cookie de traçage tiers.
La distinction essentielle se situe entre les cookies qui répondent à une demande explicite de l'utilisateur et ceux qui servent les intérêts de l'exploitant du site. Un cookie de préférence de langue déposé parce que l'utilisateur a cliqué sur un sélecteur de langue est strictement nécessaire. Un cookie analytique déposé pour aider l'exploitant du site à comprendre son trafic ne l'est pas — même si l'exploitant le juge important.
Comment la directive ePrivacy et le RGPD s'articulent
La relation entre la directive ePrivacy et le RGPD est celle du lex specialis (loi spéciale) et du lex generalis (loi générale). La directive ePrivacy est la loi spéciale régissant la protection de la vie privée dans les communications électroniques, tandis que le RGPD constitue le cadre général de protection des données.
Concrètement :
- La directive ePrivacy détermine si vous êtes autorisé à déposer un cookie sur l'appareil d'un utilisateur. Elle exige un consentement pour les cookies non essentiels, que le cookie contienne ou non des données à caractère personnel.
- Le RGPD définit ce qui constitue un consentement valide et la manière dont vous pouvez traiter les données à caractère personnel collectées via les cookies. Il fournit également le cadre de mise en œuvre, y compris le droit de déposer plainte auprès des autorités de protection des données (APD) et le régime des amendes substantielles.
Cela signifie que même un cookie qui ne contient aucune donnée à caractère personnel (par exemple, un identifiant analytique généré aléatoirement sans lien avec aucune autre donnée) requiert néanmoins un consentement au titre de la directive ePrivacy, car l'article 5, paragraphe 3 s'applique à tout stockage sur l'appareil de l'utilisateur — et non uniquement au stockage de données à caractère personnel.
À l'inverse, si vous traitez des données à caractère personnel via des cookies, vous devez respecter l'ensemble du cadre du RGPD : base légale, transparence, droits des personnes concernées, analyses d'impact relatives à la protection des données et toutes les autres obligations.
Les transpositions nationales
Parce que la directive ePrivacy est une directive et non un règlement, chaque État membre de l'UE l'a transposée dans son droit national avec certaines variations. Si l'exigence fondamentale — le consentement préalable au dépôt de cookies non essentiels — est constante dans tous les États membres, on observe des différences notables concernant :
- L'intensité de l'application : la France (CNIL) et l'Italie (Garante) ont été les plus actives en matière de contrôle des cookies, tandis que d'autres pays ont concentré leurs ressources ailleurs.
- Les exemptions spécifiques : certains pays ont adopté des interprétations légèrement plus larges ou plus restrictives de l'exemption relative aux cookies « strictement nécessaires ».
- Les cookies analytiques : certaines APD ont examiné la possibilité que des outils de mesure d'audience correctement configurés et respectueux de la vie privée (par exemple, des statistiques anonymisées sans suivi intersites) puissent relever d'une base d'intérêt légitime. L'exemption de la CNIL française pour les outils de mesure d'audience sous certaines conditions en est l'exemple le plus notable, même s'il reste controversé.
- Les cookie walls : la légalité des cookie walls (qui subordonnent l'accès à un site à un consentement) varie selon les juridictions. L'APD néerlandaise et le CEPD ont pris une position stricte à leur encontre, tandis que le Conseil d'État français les a jugés admissibles sous certaines conditions.
Le projet de règlement ePrivacy
La Commission européenne a publié une proposition de règlement ePrivacy en janvier 2017, destinée à remplacer la directive ePrivacy et à aligner les règles relatives aux cookies sur le RGPD. Plus de neuf ans plus tard, le règlement fait toujours l'objet de négociations, ce qui en fait l'un des processus législatifs les plus longs de l'histoire de l'UE.
Principaux changements du projet de règlement
Bien que le texte final ne soit pas encore arrêté, la proposition et les positions successives du Conseil ont laissé entrevoir plusieurs changements importants :
- Applicabilité directe : en tant que règlement plutôt que directive, le règlement ePrivacy s'appliquerait de manière uniforme dans tous les États membres, éliminant la fragmentation actuelle.
- Consentement au niveau du navigateur : les premières propositions prévoyaient des dispositions permettant aux utilisateurs de paramétrer leurs préférences en matière de cookies au niveau du navigateur, plutôt que de répondre à des bannières de cookies individuelles sur chaque site. Cela simplifierait considérablement l'expérience utilisateur, même si les défis techniques et politiques restent importants.
- Champ d'application élargi : le règlement s'étendrait aux services de communication over-the-top (OTT) comme WhatsApp et Skype, qui ne sont pas couverts par la directive actuelle.
- Exemptions plus claires : le règlement vise à clarifier quels types de cookies sont exemptés de consentement, en élargissant potentiellement l'exemption à certains types de mesure d'audience.
- Règles relatives aux métadonnées : de nouvelles dispositions encadrant le traitement des métadonnées de communication (données de localisation, heures de connexion) au-delà de ce que couvre la directive actuelle.
- Application harmonisée : le règlement établirait un mécanisme de mise en œuvre cohérent, probablement calqué sur le principe du guichet unique du RGPD.
État actuel et calendrier
Au début de l'année 2026, le règlement ePrivacy en est toujours au stade des négociations en trilogue entre le Parlement européen, le Conseil de l'UE et la Commission européenne. Les progrès sont lents en raison de désaccords fondamentaux sur plusieurs points, notamment le mécanisme de consentement au niveau du navigateur, le périmètre de l'exemption relative aux cookies « strictement nécessaires » et les règles de traitement des métadonnées.
Le scénario le plus réaliste est que le règlement ne sera pas finalisé avant 2027 au plus tôt, avec une période transitoire supplémentaire de 12 à 24 mois avant son entrée en vigueur. Les exploitants de sites web doivent continuer à se conformer à la directive ePrivacy actuelle telle que transposée dans leur droit national, complétée par le cadre du consentement prévu par le RGPD.
Implications pratiques pour les propriétaires de sites web
Quelle que soit l'incertitude réglementaire entourant le futur règlement ePrivacy, les règles actuelles sont claires et activement appliquées. Les propriétaires de sites web devraient :
- Considérer le régime actuel comme la référence de base. L'exigence de consentement pour les cookies non essentiels est un droit établi dans toute l'UE. N'attendez pas le règlement ePrivacy pour mettre en œuvre votre conformité.
- Bloquer les cookies non essentiels avant le consentement. C'est l'aspect techniquement le plus difficile de la conformité, mais il n'est pas négociable. Votre mécanisme de consentement aux cookies doit empêcher les scripts de déposer des cookies tant que l'utilisateur n'a pas activement consenti.
- Appliquer le standard de consentement du RGPD. Lorsque la directive ePrivacy parle de « consentement », elle entend le consentement au sens du RGPD : libre, spécifique, éclairé, univoque et manifesté par un acte positif clair.
- Documenter vos cookies strictement nécessaires. Tenez un registre clair des cookies que vous considérez comme strictement nécessaires et des raisons de ce classement. Soyez prêt à justifier cette qualification si une APD la conteste.
- Suivre les évolutions nationales. Comme la directive ePrivacy est transposée différemment dans chaque pays, tenez-vous informé des lignes directrices et des activités de contrôle des APD dans les pays où se trouvent vos utilisateurs.
- Vous préparer au règlement ePrivacy. Bien que le calendrier soit incertain, la tendance est claire : des règles plus harmonisées, des mécanismes de consentement potentiellement plus larges et un accent constant sur la protection de la vie privée. Mettre en place dès maintenant un système robuste de gestion du consentement facilitera la transition le moment venu.
La directive ePrivacy a beau avoir plus de vingt ans, elle demeure la pierre angulaire du droit des cookies en Europe. Associée au cadre du consentement du RGPD et aux programmes de contrôle actifs des APD nationales, elle crée un environnement réglementaire dans lequel la conformité en matière de cookies n'est pas facultative — il s'agit d'une obligation légale assortie de véritables conséquences financières en cas de non-respect.
Votre site web est-il conforme aux regles sur les cookies ?
Scannez votre site web gratuitement et trouvez tous les cookies en quelques minutes.
Scanner vos cookies gratuitement