04 février 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#325 cookies de détection de la fraude en ligne SANS consentement

#325 cookies de détection de la fraude en ligne SANS consentement

#325 cookies de détection de la fraude en ligne SANS consentement

J’avais 20 minutes pour parler des cookies de détection de la fraude en ligne à un club d’utilisateurs d’un éditeur d’une solution (très) professionnelle en la matière.

les cookies de détection de la fraude : que nous disent les normes techniques de l'IETF ?

Comme le sujet est juridiquement « difficile » , toute approche un peu structurée du problème que posent les cookies de détection de la fraude passe d’abord par une analyse des textes techniques.

Si l’on parle de web (pour les sites de e-commerce), il faut donc regarder les RFC.

Une RFC (« Request For Comments » ) ?

Oublions la RFC 2109 puisqu’elle est aujourd’hui abrogée.

Voyons ce que nous dit la RFC 2964 (octobre 2000… un siècle à l’échelle de l’Internet…).

Commençons par les principes positifs (les « DO » , c’est-à-dire ce qu’il faut faire) :

C’est le coté pragmatique des RFC : y sont indiquées (aussi) les mauvaises pratiques (les « DON’T » ). 

Que ce soient les DO ou les DON’T, vous noterez qu’il s’agit là de principes de bon sens (dans une société démocratique dont l’Etat n’a pas vocation à pister systématiquement ses citoyens…).

J’ai besoin d’une seule slide pour vous rappeler la valeur juridique des RFC :

les cookies de détection de la fraude : faisons un peu de droit ?

Puisque les règles techniques n’apportent pas de réponse au problème que posent les cookies de détection de la fraude, regardons la législation.

Bonne nouvelle, il s’agit d’une Directive européenne (en principe transposée à l’identique dans l’ensemble des 27 pays de l’UE… en principe…).

Prenons l’exemple de la législation française en la matière : vous allez voir, c’est pas simple…

Puisque je dois faire vite, pour répondre aux professionnel(le)s pressé(e)s qui prennent la peine de m’écouter, voici le texte actuelle de la loi en France sur les cookies (en version mark up pour suivre combien ça change depuis la Directive 2002/58 dite « e-Privacy » ) :

qui sont les professionnels concernés par la règlementation "cookie" de l'article 82 loi CNIL (version 2021) ?

Ici, la réponse ne fait pas débat chez les juristes : sont concernés tous les éditeurs de site web (notamment de e-commerce) et tous les éditeurs / prestataires de service via une application mobile.

Que ces professionnels n’oublient pas leurs propres prestataires de service qui agissent en sous-traitance, en leur nom et pour leur compte…

Les cookies de détection de la fraude : AVEC ou SANS consentement ? C'est la grande option !

Faisons simple (sans rentrer dans trop de détails juridiques).

La CNIL impose depuis le 17 septembre 2020 le principe du cookie avec consentement (i) préalable, (ii) libre et (iii) éclairé.

Seuls 7 types de cookies sont exemptés de la preuve du consentement.

Et seuls 2 types de cookies sont exonérés de toute forme de demande de consentement (mais pas d’information préalable…).

Sur une seule slide, voila ce que ça donne (accrochez-vous) :

La vraie question qui nous intéresse aujourd’hui peut être ainsi résumée :

Je suis un professionnel du e-commerce et je souhaite utiliser un service de cookies de détection de la fraude aux achats sur mon site web : dois-je demander à mes clients internautes un consentement préalable pour utiliser ce cookie ? 

Raisonnons par analogie avec un peu de bon sens.

Imaginons que vous souhaitiez payer un achat en espèce dans un magasin (physique).

A la caisse, vous tendez un billet de banque (papier) au commerçant.

Pensez vous que ce commerçant vous demande votre consentement pour vérifier que votre billet n’est pas un faux billet ?

Non, bien sûr.

Alors, comment faire en sorte qu’il en soit de même sur un site de e-commerce avec un paiement électronique ? 

Le problème est que les nouvelles règles de la CNIL sont parfois… curieuses

Ce qui fait que la réponse à la question nécessite d’aller regarder des le texte d’origine de la Directive 2002/58.

Les cookies de détection de la fraude sont-ils exonérés de consentement ? Il serait logique que oui !

Alors-y pas à pas et voyons les deux exceptions au consentement pour tenter de les appliquer aux cookies de détection de la fraude.

Comme la loi « CNIL » actuellement en vigueur n’a fait que recopier purement et simplement l’article 5.3 de la Directive de 2002, voyons ce que disent les « considérant » de cette directive.

Les « considérant » ? Ce sont des critères d’interprétation du « corps » de la directive, que les juges lisent attentivement lorsqu’ils sont saisis d’un litige. 

Première bonne nouvelle : les cookies peuvent être utilisés de manière "légitime"

cookies de détection de la fraude

Deuxième bonne nouvelle : les cookies de détection de la fraude peuvent être utilisés... s'ils sont "nécessaires" à la facturation ET AU PAIEMENT !

Troisième bonne nouvelle : les cookies peuvent être utilisés pour "déceler des pratiques frauduleuses" !!!

cookies de détection de la fraude

Il semble bien que les professionnels soient tout à fait en droit d’utiliser des cookies afin de détecter les éventuels fraudeurs qui tenteraient d’acheter leurs produits / services en ne payant pas…

Ai-je tord de ne pas avoir le sentiment de jeter un énorme pavé dans la marre en écrivant cela ?

Mai quel fondement précis utiliser dans la loi française ? 

Voilà ce que j’en pense (et c’est tout à fait applicable aux cookies et aux traitement de données personnelles pour des raisons de sécurité des systèmes d’information) :

les cookies de détection de la fraude : et le RGPD dans tout ça ?

Pas besoin de faire de grandes phrases et allons voir ce que dit la jurisprudence 2020 de la CNIL : une citation de la CNIL sur une seule slide devrait suffire.

Si vous voulez creuser ce que dit la jurisprudence française et européenne en matière de protection des données personnelles, entre 2011 et 2021, cliquez sur ce lien qui vous guidera (comme par magie) vers ma présentation spécifique sur ce point (à jour au 10 février 2021).

Ma conclusion est qu’un professionnel peut, de manière tout à fait légitime, utiliser un cookie « SANS consentement » pour lutter « contre la fraude » .

C’est la CNIL qui évoque « les intérêts légitimes » du e-commerçant (je n’invente rien !).

Alors ? Ce e-commerçant serait tenu de mettre en oeuvre des cookies de détection de la fraude qui – eux – seraient soumis à consentement, alors que le traitement des données collectées pour détecter la fraude serait – lui – SANS consentement ?

A vous de décider…

Et avant de trancher, relisez les sanctions potentielles du non-respect de l’article 82 loi CNIL :

Et pour les illustrations en BD de ce post de blog, on dit merci qui ?

droit du numérique BtoB pour start-up incubée à Polytechnique

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ