1. Modification de l’encadrement légal des cookies. L’Ordonnance modifie l’article 32-II de la loi « Informatique et Libertés » relatif aux obligations incombant aux responsables de traitement en matière d’information des abonnés et utilisateurs d’un service de communications électroniques. Elle maintient le principe d’une information claire et complète (i) « de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement », et (ii) « des moyens dont il dispose pour s’y opposer ». Mais elle ajoute que « ces accès et inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord ». Alors que les sites Internet devaient préalablement informer les internautes qu’un cookie était installé sur leur ordinateur, ce qu’ils faisaient généralement dans le cadre de leurs conditions générales d’utilisation, et leur permettre de s’y opposer, la nouvelle rédaction de l’article 32 II impose une information préalable au dépôt du cookie et l’accord de l’internaute (sans pour autant supprimer le droit d’opposition). La CNIL a précisé que le terme « accord » devait être entendu comme « consentement », c’est à dire « toute manifestation de volonté, libre, spécifique et éclairée » (article 2(h) de la Directive 95/46/CE). L’Ordonnance ajoute que ce consentement peut « résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». Toujours selon la CNIL, pour qu’un consentement soit exprimé à travers les paramètres du navigateur, ce dernier doit pouvoir permettre à l’utilisateur de choisir quels cookies il accepte et pour quelle finalité. En tout état de cause et conformément aux dispositions préalablement en vigueur, ces règles demeurent inapplicables aux cookies dits de « navigation » qui ont pour « finalité exclusive de permettre ou de faciliter la communication par voie électronique » et aux cookies « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l'utilisateur ».
2. Obligation générale de notification des failles de sécurité des données personnelles.L’Ordonnance crée un nouvel article 34 bis à la loi « Informatique et Libertés » qui instaure l’obligation pour les fournisseurs de services de communications électroniques (les « Fournisseurs ») de notifier sans délai à la CNIL « toute violation de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles faisant l’objet d’un traitement dans le cadre de la fourniture de services de communication électroniques ». En outre, si cette violation est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, l’obligation d’information du Fournisseur s’étend également à l’intéressé, sauf si la CNIL constate que des mesures appropriées de protection ont été mises en œuvre pour rendre les données incompréhensibles à toute personne non autorisée à y avoir accès (par exemple en les cryptant). Tout Fournisseur qui ne respecte pas cette obligation s’expose à une peine de cinq ans d’emprisonnement et à une amende de 300.000 euros (1.500.000€ pour les entreprises). Dans le cadre de cette obligation générale de notification, les Fournisseurs doivent tenir à jour un inventaire des violations de données à caractère personnel comprenant, notamment, les circonstances de la violation, ses effets et les mesures correctives prises.