Selon l‘article 32 II de la loi informatique et libertés, tel qu’issu de l’ordonnance du 24 août 2011, tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
- des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.
Désormais, l’information de l’internaute doit être préalable au dépôt du cookie, et le consentement de l’internaute doit être demandé, rappelle la CNIL.
Il est à noter que ne sont pas concernés par ces règles d’information et de consentement préalable :
- les cookies qui sont utilisés comme panier d’achat sur un site marchand,
- les cookies de session utilisateur permettant de lier les actions d’un utilisateur lorsque cela est nécessaire pour lui fournir le service qu’il demande,
- les cookies qui ont pour unique finalité de contribuer à la sécurité du service demandé par l’utilisateur,
- les cookies permettant d’enregistrer la langue parlée par l’utilisateur ou autres préférences nécessaires à la fourniture du service demandé,
- les cookies flash contenant des éléments strictement nécessaires pour faire fonctionner un lecteur de média correspondant à un contenu demandé par l’utilisateur.