Le CEPD adopte des lignes directrices pour clarifier la notion de « traçage » de la directive ePrivacy

Grâce à l’action coordonnée des autorités de protection des données européennes et aux protections techniques offertes par les navigateurs, les internautes peuvent, aujourd’hui, mieux maîtriser la collecte et l’utilisation de leurs données personnelles par les cookies.

Cependant, ces dernières années, l’écosystème publicitaire recourt de plus en plus à des méthodes alternatives aux cookies pour le ciblage publicitaire. Ces nouvelles méthodes sont soumises aux mêmes règles vis-à-vis de la protection de la vie privée. Elles doivent en particulier respecter l’article 5(3) de la directive ePrivacy, qui pose le principe de la protection du terminal contre les intrusions non désirées par l’utilisateur.  

Afin de clarifier ces règles, la CNIL a souhaité la consolidation d’une position commune au niveau européen sur le sujet. Après une consultation publique lancée à la fin de l’année 2023, le CEPD a donc adopté le 7 octobre 2024 la version finale des lignes directrices 02/2023 relatives à la portée technique de l’article 5(3) de la directive ePrivacy.

Les lignes directrices :

• précisent des notions clefs, à savoir celles d’« information », d’ « équipement terminal d’un abonné ou d’un utilisateur » et enfin de « stockage d'informations, ou […] obtention de l’accès à des informations déjà stockées » ;
   
• comportent un ensemble de cas d’usages représentatif des pratiques de l’écosystème publicitaire, notamment les liens et pixels de suivi, les identifiants uniques et le traitement local de données.

Par ailleurs, la consultation publique a permis au CEPD de clarifier certaines imprécisions du projet initial relatives à la notion d’accès au terminal :

• en particulier, il est désormais rappelé que la directive ne prévoit pas systématiquement le consentement, par exemple si l’écriture ou l’accès sert techniquement à effectuer la transmission d’une communication ou est nécessaire pour fournir le service demandé par la personne ;
   
• de plus, cette consultation a permis de clarifier les conséquences de l’évolution de la directive en 2009, en précisant que l’article 5(3) avait bien vocation à s’appliquer dans des contextes où le stockage d'informations ou l’obtention de l’accès à des informations déjà stockées dans le terminal n’ont pas lieu via un réseau de télécommunication (par exemple, dans le cas d’un accès physique au terminal).

La CNIL poursuit le dialogue avec les professionnels du secteur pour compléter ces lignes directrices s’agissant des pixels de suivi dans les courriers électroniques, notamment pour clarifier les situations dans lesquelles les exemptions prévues par le texte pourraient être applicables.