Le 15 novembre 2023, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur le champ d’application technique des dispositions sur le « traçage » de la Directive ePrivacy. Ces lignes directrices sont soumises à consultation pour une durée de six semaines. [ jusqu'au 18 janvier 2024 ]
[…]
L’article 5 (3) de la directive ePrivacy garantit aux utilisateurs et abonnés la protection de leurs terminaux contre tout accès ou stockage d’information non désiré. Il soumet en effet ces opérations au consentement [ sauf si elle sert à effectuer techniquement la transmission d’une communication ou est nécessaire pour fournir le service demandé par la personne ] Cet article est transposé dans la loi « Informatique et Libertés » à l’article 82 qui s’applique notamment aux cookies.
[…]
Elles comportent également un ensemble de cas d’usages représentatif des pratiques de l’écosystème publicitaire, notamment les liens et pixels de suivi, les identifiants uniques et le traitement local de données.
EDPB provides clarity on tracking techniques covered by the ePrivacy Directive :
The Guidelines aim to clarify which technical operations, in particular new and emerging tracking techniques, are covered by the Directive, and to provide greater legal certainty to data controllers and individuals.
These guidelines discuss solutions, such as tracking links and pixels, local processing, and unique identifiers, to ensure that the consent obligations set out by the article are not circumvented.”
The Guidelines only address the scope of the application of Art. 5(3) ePrivacy Directive. They do not address how consent should be collected, or the exemptions set out in the article.
Que dispose le paragraphe 3 de l'article 5 (5.3) de la directive UE e-Privacy de 2002 (« concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ») ? Attention, elle a été modifiée par une directive de 2009, donc il faut consulter sa version consolidée :
Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
Résumé : stockage et obtention d'infos déjà stockées (hors élément nécessaire à la transmission d'une communication ou à la fourniture du service demandé par l'utilisateur) se font après recueil du consentement, qui lui même intervient après information de l'utilisateur. (La directive 95/46/CE a été remplacée par le RGPD dans lequel les obligations mentionnées demeurent.)
Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive :
In the same manner, the application protocol can include several mechanisms to provide context data (such as HTTP header including ‘accept’ field or user agent), caching mechanism (such as ETag or HSTS) or other functionalities (cookies being one of them). Once again, the abuse of those mechanisms (for example in the context of fingerprinting or the tracking of resource identifiers) can lead to the application of Article 5(3) ePD.
On the other hand, there are some contexts in which local applications installed in the terminal uses some information strictly inside the terminal, as it might be the case for smartphone system APIs (access to camera, microphone, GPS sensor, accelerator chip, radio chip, local file access, contact list, identifiers access, etc.). This might also be the case for web browsers that process information stored or generated information inside the device (such as cookies, local storage, WebSQL, or even information provided by the users themselves). The use of such information by an application would not be subject to Article 5(3) ePD as long as the information does not leave the device, but when this information or any derivation of this information is accessed through the communication network, Article 5(3) ePD may apply.
A tracking pixel is a hyperlink to a resource, usually an image file, embedded into a piece of content like a website or an email. This pixel usually fulfils no purpose related to the content itself; its sole purpose is to establish a communication by the client to the host of the pixel, which would otherwise not have occurred. Establishment of a communication transmits various information to the host of the pixel, depending on the specific use case. […] In the case of an email, the sender may include a tracking pixel to detect when the receiver reads the email. […] Such tracking pixels may also contain additional identifiers as part of the link.
Tracking links are functioning in the same way, but the identifier is appended to the website address. When the URL (Uniform Resource Locator) is visited by the user, the targeted website loads the requested resource but also collects an identifier which is not relevant in terms of resource identification. They are very commonly used by websites to identify the origin of their inbound source of traffic. For example, e-commerce websites can provide tracked links to partners to use on their domain so that the e-commerce website knows which of their partners is responsible for a sale and pay a commission, a practice known as affiliate marketing.
Under the condition that said pixel or tracked URL have been distributed over a public communication network [ définition dans la section 2.4. C'est tellement large que la condition est remplie l'écrasante majorité du temps ], it is clear that it constitutes storage on the communication network user’s terminal equipment, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable. […] The inclusion of such tracking pixels or tracked links in the content sent to the user constitutes an instruction to the terminal equipment to send back the targeted information (the specified identifier).
En 2023, on récite encore ce qu'est un lien ou une image de traçage et on ré-affirme que ça nécessite le consentement (au sens du RGPD)… Youhou… La vie privée est en marche, c'est sûr…