Le 14 novembre 2023, le CEPD a édicté de nouvelles lignes directrices 2/2023 sur le champ d’application technique de l’article 5(3) de la directive « ePrivacy », afin de prendre en compte l’émergence de nouvelles techniques de traçage.
I. La prise en compte des nouvelles techniques de traçage
Le 12 juillet 2002, la directive n°2002/58/CE « concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques », également appelée directive « ePrivacy », entrait en vigueur.
Cette directive vise à prendre en compte les « nouvelles technologies numériques avancées qui posent des exigences spécifiques concernant la protection des données à caractère personnel et de la vie privée des utilisateurs ».
Tout particulièrement, l’article 5(3) de cette directive encadre les nouvelles techniques de traçage, qui étaient principalement à l’époque les cookies.
Art. 5(3) : « Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à [certaines] condition[s]. »
Face à « l’émergence de nouvelles méthodes de traçage visant à remplacer les outils de traçage existants (par exemples, les cookies) », et à « l’ambiguïté concernant le champ d’application de l’article 5(3) de la directive », le CEPD est venu préciser ce que recouvre l’expression « stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ».
II. Les « cas d’usage » de la directive « ePrivacy »
Après s’être penché sur les quatre critères d’application de l’article 5(3) de la directive, à savoir (i) des « information », (ii) un « équipement terminal », (iii) la « fourniture de services de communications électroniques accessibles au public sur des réseaux de communications publics » et (iv) les notions « d’accès » et de « stockage », le CEPD a identifié, de manière non exhaustive, les situations dans laquelle l’article 5§3 de la directive « ePrivacy » s’applique.
Il s’agit, tout particulièrement de :
- l’ « URL tracking » et le « Pixel tracking »
- certains traitements effectués en local mais dont les informations sont mises à disposition de tiers par l’intermédiaire d’une « API » ;
- l’ « IP tracking » ;
- certains dispositifs « IoT » ;
- certains « identifiants uniques ».
Le CEPD confirme donc que les cookies ne sont pas les seules « techniques de traçage » et élargi officiellement la liste desdites techniques soumises à l’article 3 de la directive « ePrivacy ».