Sur le champ d'application de la recommandation.
L'article 32-II de la loi du 6 janvier 1978 modifiée vise toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l'équipement terminal d'un abonné ou d'un utilisateur de service de communications électroniques, ou à inscrire des informations dans cet équipement.
Aussi, la présente recommandation s'applique à toutes les formes d'accès et d'inscriptions visées par l'article 32-II. Elle concerne donc les cookies HTTP, par lesquels ces actions sont le plus souvent réalisées. Mais elle a vocation également à s'appliquer à d'autres technologies (notamment, en l'état des connaissances actuelles, les local shared objets, appelés parfois les coolies « flash », les pixels invisibles ou « web bugs », les identifications par calcul d'empreinte du terminal ou encore des identificateurs cachés). Pour l'application de la présente recommandation, le mot cookie désigne l'ensemble des dispositifs visés par l'article 32-II.
Le fait que les informations (stockées et/ou consultées) soient ou non des données à caractère personnel au sens de la directive 95/46/CE n'est pas une condition préalable à l'application de l'article 5, paragraphe 3, de la directive 2002/58/CE. L'article 32-II précité s'applique donc dans les hypothèses où les informations précitées sont des données à caractère personnel et dans celles où elles ne sont pas des données à caractère personnel.
La commission relève toutefois que ces actions impliquent généralement le traitement de données à caractère personnel, parfois directement identifiantes (par exemple une adresse électronique), et souvent indirectement identifiantes (par exemple l'identifiant unique d'un cookie, une adresse IP, un identifiant du terminal ou d'un composant du terminal de l'utilisateur, le résultat du calcul d'empreinte dans le cas du « fingerprinting », ou encore l'identifiant généré par un logiciel ou un système d'exploitation).
Ainsi, compte tenu des risques qu'ils entraînent sur la vie privée, les cookies nécessitant une information et un consentement préalables de l'internaute sont notamment :
― les cookies liés aux opérations relatives à la publicité ciblée ;
― les cookies de mesure d'audience (à l'exclusion de ceux définis à l'article 6 de la présente recommandation) ;
― les cookies traceurs de réseaux sociaux générés par les « boutons de partage de réseaux sociaux ».
A l'inverse, certains cookies peuvent être déposés ou lus sans recueillir le consentement des personnes. Ce sont :
― les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ;
― les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur ;
― les cookies de mesure d'audience définis à l'article 6 de la présente recommandation.
La commission précise enfin que la présente recommandation s'applique aux cookies déposés et lus, notamment lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile, quel que soit le système d'exploitation, le navigateur ou le terminal utilisés (par exemple un ordinateur, une tablette, un ordiphone ou smartphone, une télévision connectée, une console de jeux vidéos connectée au réseau internet).