Anniversaires, e-conférence Omnibus numériques, Posts, Ressources pour chercheurs en droit

La proposition d’Omnibus numérique : le rendez-vous manqué de la simplification du régime des traceurs, Feryel Lehdhili

La proposition Digital omnibus numérique affiche l’ambition de simplifier le corpus normatif applicable au numérique en introduisant « une série de modifications techniques censées apporter un soulagement immédiat aux entreprises, aux administrations publiques et aux citoyens et stimuler la compétitivité » (Digital Omnibus). Si la Commission européenne cherche à insuffler davantage de pragmatisme, la réforme envisagée en matière de gestion de cookies et traceurs soulève plus de difficultés qu’elle n’en résout. L’enjeu n’est pas uniquement technique. Il touche aux conditions dans lesquelles les utilisateurs conservent un contrôle sur ce qui se passe sur leurs appareils connectés et la manière dont les entreprises peuvent collecter et utiliser certaines informations dans leurs pratiques quotidiennes.

1. Vers un changement de paradigme incohérent

Le régime actuel applicable aux traceurs tels que les cookies, pixels dans les emails ou les plugins sociaux est régi par la directive 2002/58/EC du 12 juillet 2002, dite directive ePrivacy. Ce régime repose principalement sur l’article 5(3), qui encadre les conditions d’accès ou de dépôt d’informations sur l’équipement terminal des utilisateurs, qu’il s’agisse d’un ordinateur, d’un smartphone, d’une tablette ou d’un objet connecté. Dès lors qu’un opérateur souhaite déposer ou lire une information sur un terminal, le principe est celui du consentement, sauf exceptions strictement limitées. Les traitements ultérieurs impliquant des données personnelles demeurent soumis au RGPD ou à d’autres réglementations spéciales.

La proposition Omnibus opère un basculement notable. Elle intègre désormais les traitements de données personnelles effectués « via ou sur l’équipement terminal » (Digital Omnibus, cons. 44, p.15) dans un nouvel article 88a du RGPD. La réforme s’apparente à une tentative détournée de réviser la directive ePrivacy après l’échec des précédentes initiatives. La simplification attendue se traduit alors par une juxtaposition de régime :  la directive n’est pas formellement abrogée, mais son champ d’application est réduit lorsque des données personnelles sont collectées.

2. Ce que nous dit l’article 88 bis du Digital Omnibus

L’article 88 bis soumet le stockage et l’accès à des données personnelles dans l’équipement terminal d’une personne physique au consentement, sauf dérogations expressément prévues.

Le paragraphe 1 pose le principe du consentement. Conformément aux articles 4(10) et 7 du RGPD, ce consentement doit être libre, spécifique, éclairé, univoque, traçable et révocable. Pour les utilisateurs, cela suppose une compréhension minimale des traitements réalisées sur leur appareil et une action positive. Pour les entreprises, cela implique la mise en place de mécanismes de recueil et de preuves conformes aux exigences du RGPD.

Le paragraphe 2 prévoit une dérogation lorsque le droit de l’Union ou des États membres autorise ce stockage ou cet accès « au sens et sous les conditions de l’article 6, afin de préserver les objectifs visés au paragraphe 1 de l’article 23 » (défense nationale, sécurité publique, etc.). Cette dérogation semble en réalité renvoyer à l’article 6 §1 (c du RGPD (obligation légale) à l’exclusion des autres bases légales de l’article 6(1).

Le paragraphe 3 prévoit des dérogations fonctionnelles. Quatre types de traitements peuvent être réalisés sans consentement lorsqu’ils sont nécessaires (i) à la transmission d’une communication électronique, (ii) à la fourniture d’un service expressément demandé par la personne concernée, (iii) à la création d’informations agrégées pour mesurer l’audience d’un service en ligne par le responsable de traitement pour son usage propre, ou (iv) à la maintenance ou à la restauration de la sécurité du service ou du terminal. Les deux premières reprennent les dérogations « strictement nécessaires » historiquement associées aux traceurs techniques ou essentiels dans la directive ePrivacy.

Enfin, le paragraphe 4 pose des conditions spécifiques en cas de recours au consentement. La personne concernée doit pouvoir refuser en un seul clic ou par un moyen équivalent. En cas de consentement, aucune nouvelle sollicitation ne peut intervenir pour la même finalité tant que ce consentement reste valable. En cas de refus, toute nouvelle demande est interdite pendant un délai minimal de six mois.

2. Ce que ne nous dit pas l’article 88 bis du Digital Omnibus

L’article 88bis laisse de côté plusieurs éléments essentiels qui compliquent sa mise en œuvre.

  • Portée des exemptions au consentement : 

Exemption pour la sécurité du terminal/service : La liste des exemptions au consentement prévue au paragraphe 3 doit être mise en perspective avec l’article 6 du RGPD, qui impose l’existence d’une base légale pour tout traitement de données personnelles. La lecture du considérant 44 de la proposition laisse entendre que, pour les quatre dérogations prévues, aucune base légale n’est requise. Cette interprétation est particulièrement discutable pour les traitements à des fins de sécurité. Jusqu’à présent, ceux-ci reposaient généralement sur l’intérêt légitime et impliquaient une mise en balance des intérêts par le responsable de traitement. Avec l’article 88bis, tout traitement présenté comme nécessaire à la sécurité du service ou du terminal pourrait être licite sans véritable examen de proportionnalité, ouvrant la voie à une extension des mécanismes de suivi sous couvert de sécurité.

Exemption pour la mesure d’audience agrégée : L’exemption dédiée à la mesure d’audience agrégée apparaît, pour sa part, moins discutable. Toutefois, il est nécessaire de lever l’ambiguïté entourant la formule « uniquement par le responsable de traitement », qui suggère que le responsable de traitement doit garder un contrôle total sans intervention d’un tiers. Cette condition méconnaît le fonctionnement de la plupart des outils analytiques sur le marché tels que Google Analytics. Le responsable de traitement ne fait qu’accéder à un dashboard. Tous les traitements de données sont réalisés par le tiers, via son infrastructure technologique. Ainsi, c’est Google qui collecte, traite et stocke les données sur ses propres serveurs et non le responsable de traitement. Il eut été plus pertinent de limiter l’exemption de mesure agrégée « uniquement pour le compte du responsable de traitement ».

  • Articulation avec les exemptions nationales existantes :

La liste fermée prévue par le paragraphe 3 de l’article 88 bis soulève des interrogations sur son articulation avec les exemptions nationales élaborées par les autorités nationales dans le cadre de la directive ePrivacy. La CNIL a ainsi identifié plusieurs traceurs considérés comme essentiels au service expressément demandé par la personne (Délibération n° 2020-091 du 17 septembre 2020,pp.9-10), notamment pour la conservation d’un panier d’achat ou encore pour permettre aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs. La proposition Omnibus ne fournit pas d’exemples sur ce qui est susceptible de constituer un service expressément demandé par la personne concernée. Un considérant intégrant des exemples concrets aurait été le bienvenu.  Elle ne précise pas non plus si les marges d’interprétation des autorités nationales sur les exemptions seront maintenues ou déléguées au Comité européen de la protection des données. La CNIL a été l’une des rares autorités de contrôle nationales à avoir dégagé des exemptions en concertation avec les acteurs. Le devenir de ces exemptions nationales est désormais sujet à caution.

  • Les conditions particulières en cas de consentement :

L’obligation d’un refus en un clic prévue par le paragraphe 4 est une exigence déjà bien établie dans la soft law des autorités de protection des données. La question de l’articulation avec les modèles de certains acteurs (Meta, fournisseurs de services media) « pay or OK » demeure ouverte. Peut-on considérer que le bouton « payer » constitue le bouton de refus exigé par le texte ? Rien ne permet de l’affirmer, et cette incertitude pèse sur l’évaluation de la symétrie entre acceptation et refus dans ces modèles (EDPB, Opinion 08/2024 du 17 avril 2024) . Se pose enfin la question de la pérennisation du lien « continuer sans accepter », jusqu’ici toléré par la CNIL comme modalité de refus (Délibération n° 2020-092 du 17 septembre 2020,p.10). La CNIL n’évoque pas ce lien dans sa recommandation sur les applications mobiles ( Délibération n° 2025-024 du 27 mars 2025,p.53)

  • La durée de six mois du refus :

Le délai de six mois pour le refus prévu au paragraphe 4 est censé lutter contre la fatigue du consentement. Toutefois, pour que ce refus produise un effet, il doit être mémorisé sur le terminal, ce qui implique de « tracer » le refus. Concrètement, cela suppose la création d’un cookie de refus en first-party, défini par finalité et chargé avant tout traitement. Or, la suppression des cookies par l’utilisateur empêche toute mémorisation, ce qui soulèvera d’évidentes difficultés pratiques de mise en œuvre. Des techniques alternatives plus intrusives existent, telles que le fingerprinting, mais elles nécessiteraient paradoxalement un consentement préalable au sens de la directive ePrivacy.

3. Comment articuler l’article 88 bis Omnibus et l’article 5(3) de la directive ePrivacy ?

L’article 88 bis omnibus prévaut sur l’article 5(3) de la directive ePrivacy dès lors que l’interaction avec l’équipement terminal conduit à un traitement de données personnelles. Il en résulte une protection non uniforme du terminal, conçu comme l’extension du domicile de la personne concernée dans la sphère numérique. Cette protection dépend désormais de la qualification des données.

L’approche subjective introduite par la Commission dans la qualification de la donnée personnelle, loin de simplifier la question, invite à une évaluation fastidieuse au cas par cas. Le caractère « personnel » d’une donnée dépend désormais de l’évaluation subjective de l’entité qui la traite et de la vraisemblance de l’identification au regard des « moyens raisonnables » dont elle dispose pour identifier une personne concernée (point (a ajouté à l’article 4.1). Présentée comme une simple codification de l’arrêt EDPS Versus SRB de la CJUEaff.C‑413/23 P, 4 septembre 2025), cette modification substantielle pourrait avoir deux conséquences majeures. D’une part, elle peut rendre inapplicable l’article 88bis lorsque la réidentification de la personne est peu probable. Dans le cadre de la publicité, la plupart des données utilisées ne sont pas directement identifiantes (pseudonymisées). Cela aura pour effet de les faire sortir du champ du RGPD. D’autre part, dans le cadre d’ePrivacy, seul un consentement au sens du RGPD serait requis pour le dépôt ou la lecture du traceur et la personne concernée n’aurait plus aucun droit sur les traitements ultérieurs.

Feryel Lehdhili, doctorante en droit au Cr2D, consultante RGPD Digital DPO

Voir tous nos posts sur les omnibus numériques

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.