Chapitres 02 En vigueur: 2002 (modifiée en 2009)

Directive ePrivacy

Directive sur la vie privée et les communications électroniques

Vue d'ensemble

La directive ePrivacy (ePD), souvent appelée « loi sur les cookies », complète le RGPD en fournissant des règles spécifiques pour la vie privée dans les communications électroniques. Elle couvre la confidentialité des communications, l'utilisation des technologies de suivi et le marketing direct.[1]

En tant que directive, sa mise en œuvre varie selon les États membres. Le règlement ePrivacy proposé a été officiellement retiré en février 2025, ce qui signifie que la directive reste la loi applicable.

Relation avec le RGPD

  • La ePD est une lex specialis : Elle prime sur le RGPD pour les communications électroniques
  • Les principes du RGPD s'appliquent : Le consentement selon la ePD doit respecter les normes du RGPD
  • Application combinée : Les deux ensembles de règles sont appliqués par les autorités de protection des données

Exigences clés

Consentement aux cookies (Article 5(3))[2]

Le consentement est requis avant de placer ou d'accéder à des informations sur l'appareil d'un utilisateur :

Type de cookieConsentement requis ?
Strictement nécessaireNon (exempté)
Préférence/fonctionnalitéOui
Analytique/statistiquesOui (certaines juridictions autorisent des exemptions)
PublicitéOui
Suivi tiersOui

Exigences relatives au consentement

Le consentement valide doit être :

  • Préalable : Obtenu avant la mise en place des cookies
  • Libre : Choix réel sans préjudice en cas de refus
  • Spécifique : Clair sur les finalités et types de cookies
  • Informé : Les utilisateurs comprennent quelles données sont collectées
  • Non ambigu : Action affirmative claire requise
  • Retirable : Les utilisateurs peuvent facilement modifier leurs préférences

Bonnes pratiques pour la bannière de cookies

À faireÀ ne pas faire
Fournir des choix granulairesPré-cocher les cases de consentement
Rendre « Tout refuser » aussi visibleCacher le refus derrière plusieurs clics
Conserver la preuve du consentementPlacer des cookies avant le consentement
Permettre un retrait facileRendre le retrait plus difficile que le consentement
Langage clair et simpleJargon technique

Confidentialité des communications (Article 5)

  • Interdiction d'interception et de surveillance
  • Stockage technique nécessaire à la transmission autorisé
  • Contenu et métadonnées protégés de manière égale

Marketing direct (Article 13)

TypeExigence
Marketing par email/SMSConsentement préalable requis
Clients existantsConsentement implicite pour produits similaires (avec désinscription facile)
Marketing B2BRègles variables selon les États membres

Communications non sollicitées

  • L'identité de l'expéditeur ne doit pas être dissimulée
  • Mécanisme valide de désinscription requis
  • Les registres nationaux « ne pas appeler » doivent être respectés

Modifications proposées dans le Digital Omnibus (2025)

La Commission européenne a proposé de simplifier les règles sur les cookies via le paquet « Digital Omnibus » :[3]

  • Transférer certaines dispositions de la ePD dans le RGPD
  • Élargir les exemptions pour les cookies analytiques et de sécurité
  • Permettre des signaux de consentement centralisés pour réduire la « fatigue du consentement »

Note : Ces propositions ne sont pas encore adoptées. Les exigences actuelles de la ePD restent en vigueur.

Exemples d'application

AutoritéEntitéAmendeRaison
CNIL (France)Google150 M€Violations du consentement aux cookies
CNIL (France)Facebook60 M€Difficulté à refuser les cookies
ICO (Royaume-Uni)PlusieursAvertissementsBoutons de refus cachés
AEPD (Espagne)Plusieurs10 K€-100 K€Collecte de consentement inappropriée

Liste de contrôle pour les développeurs

Bannière de consentement aux cookies

  • Obtenir le consentement avant de placer des cookies non essentiels
  • Fournir des contrôles granulaires par catégorie
  • Rendre « Tout refuser » aussi accessible
  • Conserver et horodater les enregistrements de consentement
  • Permettre un retrait facile du consentement
  • Bloquer les scripts tiers jusqu'au consentement

Exigences techniques

  • Auditer tous les cookies et technologies de suivi
  • Catégoriser par finalité et nécessité
  • Documenter les finalités et la durée de conservation des cookies
  • Assurer que les scripts respectent les signaux de consentement
  • Mettre en œuvre la synchronisation du consentement pour les sous-domaines

Sources & Références

[1]
Directive 2002/58/CE concernant la vie privée dans les communications électroniques. EUR-Lex : Directive ePrivacy
[2]
Article 5(3) tel que modifié par la directive 2009/136/CE. RGPD.eu : Loi sur les cookies
[3]
Proposition Digital Omnibus de la Commission européenne, novembre 2025. CE : Digital Omnibus