CONTACT

Nouvelles techniques de « traçage » : les lignes directrices du CEPD

19 janvier 2024 | Derriennic Associés|

Le 14 novembre 2023, le CEPD a édicté de nouvelles lignes directrices 2/2023 sur le champ d’application technique de l’article 5(3) de la directive « ePrivacy », afin de prendre en compte l’émergence de nouvelles techniques de traçage.

I. La prise en compte des nouvelles techniques de traçage

Le 12 juillet 2002, la directive n°2002/58/CE « concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques », également appelée directive « ePrivacy », entrait en vigueur.

Cette directive vise à prendre en compte les « nouvelles technologies numériques avancées qui posent des exigences spécifiques concernant la protection des données à caractère personnel et de la vie privée des utilisateurs ».

Tout particulièrement, l’article 5(3) de cette directive encadre les nouvelles techniques de traçage, qui étaient principalement à l’époque les cookies.

Art. 5(3) : « Les États membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à [certaines] condition[s]. »

Face à « l’émergence de nouvelles méthodes de traçage visant à remplacer les outils de traçage existants (par exemples, les cookies) », et à « l’ambiguïté concernant le champ d’application de l’article 5(3) de la directive », le CEPD est venu préciser ce que recouvre l’expression « stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ».

II. Les « cas d’usage » de la directive « ePrivacy »

Après s’être penché sur les quatre critères d’application de l’article 5(3) de la directive, à savoir (i) des « information », (ii) un « équipement terminal », (iii) la « fourniture de services de communications électroniques accessibles au public sur des réseaux de communications publics » et (iv) les notions « d’accès » et de « stockage », le CEPD a identifié, de manière non exhaustive, les situations dans laquelle l’article 5§3 de la directive « ePrivacy » s’applique.

Il s’agit, tout particulièrement de :

  • l’ « URL tracking » et le « Pixel tracking » 
  • certains traitements effectués en local mais dont les informations sont mises à disposition de tiers par l’intermédiaire d’une « API » ;
  • l’ « IP tracking » ;
  • certains dispositifs « IoT » ;
  • certains « identifiants uniques ».

Le CEPD confirme donc que les cookies ne sont pas les seules « techniques de traçage » et élargi officiellement la liste desdites techniques soumises à l’article 3 de la directive « ePrivacy ».