Le Digital Omnibus réorganise une partie du régime applicable au terminal equipment des personnes physiques, c’est-à-dire aux opérations de stockage ou d’accès à des données dans les terminaux (cookies, SDK, identifiants, stockage local, accès à certains éléments du terminal, etc.).

À travers les nouveaux articles 88a et 88b, le texte cherche à intégrer plus directement cette matière dans le périmètre du RGPD, autour de trois idées :

• le consentement comme principe ;

• des exceptions limitatives sans consentement ;

• et des mécanismes destinés à limiter le harcèlement du consentement.

L’avis conjoint du CEPD et du Contrôleur européen accueille très favorablement cet objectif général. Les deux autorités soutiennent expressément la volonté de répondre à la fatigue du consentement et à la prolifération des bannières cookies, tout en confiant la supervision de ces nouvelles règles aux autorités établies au titre du RGPD.

Néanmoins, elles soulignent immédiatement une difficulté structurelle : la proposition ferait coexister deux régimes distincts selon que l’information stockée ou accédée dans le terminal est personnelle ou non personnelle, ce qui risque, en pratique, de rendre la simplification plus théorique que réelle. Elles rappellent aussi que l’actuel article 5(3) de la directive ePrivacy protège non seulement les données personnelles, mais également le droit au respect de la vie privée et des communications.

Le consentement comme principe

Le nouvel article 88a(1) pose une règle simple : le stockage de données personnelles dans le terminal d’une personne physique, ou l’accès à des données déjà stockées dans ce terminal, n’est autorisé que si cette personne a donné son consentement, conformément au RGPD.

Ce consentement doit donc répondre aux exigences classiques du règlement : il doit être :

• libre ;

• spécifique ;

• éclairé ;

• et univoque.

Autrement dit, le texte confirme que le terminal de l’utilisateur devient un espace juridiquement protégé dans lequel l’intervention de l’acteur économique est, par principe, subordonnée à l’accord préalable de la personne.

L’avis conjoint ajoute une précision importante : pour assurer la sécurité juridique, le consentement ne devrait pas seulement couvrir l’accès ou le stockage dans le terminal, mais aussi, lorsqu’il porte sur la même finalité, le traitement ultérieur des données qui en résulte. Les autorités recommandent d’ailleurs de clarifier ce point dans le texte.

Les exceptions sans consentement : un cadre limitatif, mais à mieux borner

Le principe du consentement n’est pas absolu.

A. Exception fondée sur la loi

L’article 88a(2) prévoit une exception lorsque le stockage ou l’accès est autorisé par le droit de l’Union ou le droit national, dans les conditions de l’article 6 du RGPD, afin de poursuivre les objectifs mentionnés à l’article 23(1). Il s’agit ici d’une exception principalement liée à des logiques régaliennes ou d’intérêt public.

B. Exceptions fonctionnelles strictes

L’article 88a(3) énumère ensuite une liste de cas dans lesquels le stockage ou l’accès, sans consentement, serait admis lorsqu’il est nécessaire :

• à la transmission d’une communication électronique sur un réseau ;

• à la fourniture d’un service explicitement demandé par la personne concernée ;

• à la mesure d’audience agrégée, lorsqu’elle est réalisée pour le propre usage du service ;

• au maintien ou au rétablissement de la sécurité d’un service demandé ou du terminal utilisé.

Sur ce point, l’avis conjoint appelle à une délimitation beaucoup plus stricte. Les autorités observent notamment que l’exception “service explicitement demandé” est plus large que celle actuellement admise par l’article 5(3) de la directive ePrivacy, et que les nouvelles exceptions “mesure d’audience” et “sécurité” n’existent pas aujourd’hui sous cette forme. Elles demandent donc que ces exceptions soient cantonnées à ce qui est strictement nécessaire.

S’agissant de la mesure d’audience, l’avis conjoint précise qu’elle devrait être comprise comme un traitement visant à obtenir des informations générales et agrégées, sans lien avec une personne identifiée, sans combinaison avec des données issues d’autres services, et sans partage avec des tiers. Il recommande aussi de clarifier que cette collecte pourrait être effectuée soit directement par le fournisseur du service, soit par un sous-traitant agissant pour son compte.

S’agissant de la sécurité, les autorités demandent que le texte précise qu’il s’agit bien de sécurité informatique et de sécurité des données, et non d’une notion plus floue qui pourrait servir de justification générale. Elles admettent par exemple qu’un fournisseur de correctifs de sécurité puisse installer les mises à jour strictement nécessaires sans consentement, mais à condition que ces mises à jour ne modifient pas la fonctionnalité du logiciel, que l’utilisateur soit informé à chaque installation et qu’il puisse désactiver l’installation automatique.

Enfin, les autorités suggèrent même d’envisager une exception supplémentaire pour une publicité contextuelle strictement limitée, à condition qu’elle ne repose ni sur la conservation de l’activité passée ou future de la personne, ni sur une logique comportementale, et qu’elle soit accompagnée de garanties suffisantes.

Le consentement “anti-harcèlement”

L’un des apports les plus concrets du texte réside dans les nouvelles règles prévues à l’article 88a(4).

A. Refus en un clic

Le texte impose que la personne concernée puisse refuser la demande de consentement de manière facile et intelligible, à l’aide d’un bouton en un clic ou d’un mécanisme équivalent. Il s’agit d’une réponse directe aux dark patterns, c’est-à-dire aux interfaces conçues pour rendre le refus plus difficile que l’acceptation.

B. Pas de redemande pendant la durée de validité du consentement

Lorsque la personne a consenti, le responsable de traitement ne peut pas redemander ce consentement pour la même finalité pendant toute la période durant laquelle il peut valablement s’appuyer sur ce consentement.

Sur ce point, l’avis conjoint soutient fortement la logique de protection, mais recommande de fixer aussi une durée maximale de validité du consentement, afin d’éviter que la personne ne soit liée trop longtemps sans rappel de ses choix. Les autorités suggèrent même que cette durée maximale puisse être alignée sur le délai prévu en cas de refus.

C. En cas de refus : gel de six mois

Lorsque la personne refuse le consentement, le responsable de traitement ne peut pas lui redemander ce consentement pour la même finalité pendant une durée d’au moins six mois.

Cette règle vise clairement à empêcher l’usure du consentement par répétition, notamment dans les secteurs du tracking et de la publicité ciblée. Elle constitue l’un des éléments les plus “pro-utilisateur” du texte.

L’avis conjoint la soutient, mais relève une difficulté pratique importante : pour respecter l’interdiction de redemander le consentement pendant six mois, le responsable devra nécessairement mémoriser le refus. Les autorités recommandent donc d’ajouter explicitement une exception permettant cette mémorisation limitée, à condition qu’elle n’utilise pas d’identifiant unique et repose seulement sur une information générique, de type flag ou code commun à tous les utilisateurs ayant refusé.

Point opérationnel

En pratique, cette évolution implique de pouvoir :

• identifier si la personne a accepté ou refusé ;

• enregistrer la date de cet accord ou de ce refus ;

• rattacher ce choix à une finalité déterminée ;

• et empêcher toute nouvelle sollicitation avant l’expiration du délai applicable.

  
  

Autrement dit, les dispositifs de gestion du consentement devront être plus précis, plus traçables et mieux articulés avec la finalité concernée.

Qui est visé par ces obligations ?

Les articles 88a et 88b visent d’abord les responsables du traitement qui accèdent ou stockent des données dans le terminal de la personne concernée. L’avis conjoint précise d’ailleurs que le mot “controllers” dans l’article 88b(2) doit être compris largement : il ne désigne pas seulement le responsable fournissant l’interface en ligne, mais tout responsable qui accède à des données dans le terminal, y compris, par exemple, certains fournisseurs de cookies tiers. Les autorités demandent que ce point soit clarifié dans les considérants.

Autrement dit, l’obligation ne pèse pas seulement sur l’exploitant apparent du site, mais potentiellement sur l’ensemble des acteurs qui interviennent effectivement dans l’accès ou le stockage.

L’article 88b : la normalisation des signaux automatisés et lisibles par machine

Dans le prolongement de cette logique, le Digital Omnibus introduit un article 88b qui organise la prise en compte de signaux automatisés et lisibles par machine concernant les choix des personnes en matière de consentement, de refus ou d’opposition.

L’avis conjoint accueille très favorablement cette disposition. Les autorités considèrent que ces moyens techniques peuvent à la fois simplifier la conformité des responsables, aider les personnes à exprimer réellement leurs choix en ligne, et répondre concrètement à la fatigue du consentement.

Les interfaces devraient donc permettre :

• de donner un consentement par des moyens automatisés et lisibles par machine ;

• de refuser une demande de consentement et, selon la rédaction proposée, d’exercer un droit d’opposition par ces mêmes moyens.

Autrement dit, la machine devrait être capable de comprendre et de respecter le choix formulé par l’utilisateur.

L’avis conjoint recommande toutefois de clarifier que les signaux visent bien les choix relatifs à l’accès et au stockage dans le terminal, en lien direct avec l’article 88a. Il souligne aussi une incohérence : le texte renvoie au droit d’opposition en matière de marketing direct, alors même que, dans cette architecture, le marketing direct devrait en principe déjà relever du consentement. Les autorités signalent donc que la portée exacte de ce “droit d’opposition” doit être mieux précisée.

Le rôle des navigateurs et des standards techniques

Le texte prévoit que les fournisseurs de navigateurs web qui ne sont pas des PME devront fournir les moyens techniques permettant à l’utilisateur d’exprimer ces choix automatisés.

L’avis conjoint approuve l’idée générale, mais estime que :

• les standards doivent être publiés dans un délai déterminé ;

• ils doivent s’appliquer à tous les acteurs concernés, y compris les contrôleurs et les navigateurs ;

• les navigateurs PME ne devraient pas être exclus du dispositif ;

• et il conviendrait même d’envisager une extension à d’autres logiciels utilisés sur les terminaux, notamment les systèmes d’exploitation mobiles et de bureau.

Les autorités rappellent également, au nom du principe de privacy by design and by default, que les standards ne devraient jamais être configurés pour consentir par défaut, ni amener le navigateur à solliciter l’utilisateur à sa première ouverture de manière à orienter artificiellement son choix.

L’exception pour les media service providers : une exception contestée

Le projet prévoit que les obligations principales de l’article 88b ne s’appliqueraient pas aux media service providers lorsqu’ils fournissent un media service.

L’avis conjoint recommande explicitement de reconsidérer cette exception. Il considère qu’elle risque de compromettre l’objectif même du texte, qui est de lutter contre la fatigue du consentement. Il souligne surtout que, dans les services médiatiques, le traitement publicitaire et le suivi des utilisateurs ne sont souvent pas réalisés par le seul fournisseur de média, mais aussi par une pluralité de tiers embarqués dans le site ou l’application. Pour cette raison, le CEPD et le Contrôleur européen recommandent que les media service providers soient traités comme les autres fournisseurs de services.

Le rôle de la Commission européenne dans la standardisation

Le texte prévoit que la Commission européenne demandera aux organismes européens de normalisation de rédiger des standards relatifs à l’interprétation des signaux lisibles par machine.

Les interfaces conformes à une norme harmonisée publiée au Journal officiel de l’Union européenne pourraient bénéficier d’une présomption de conformité.

L’avis conjoint soutient cette logique, mais insiste pour que les standards soient suffisamment clairs, applicables à tous les acteurs concernés et publiés dans des délais compatibles avec l’entrée en vigueur des obligations.

Un calendrier volontairement progressif

Le calendrier d’application est plus long pour l’article 88b :

• les obligations principales applicables aux responsables de traitement entreraient en vigueur 24 mois après l’entrée en vigueur du règlement ;

• les obligations imposées aux navigateurs non-PME n’entreraient en application qu’au bout de 48 mois.

Ce décalage traduit une volonté d’organiser une montée en charge progressive, en laissant le temps à l’écosystème technique et économique de s’adapter.

Conclusion

Le volet RGPD / ePrivacy du Digital Omnibus ne se limite pas à une simple réécriture des règles sur les cookies. Il traduit une tentative de réorganisation plus profonde, orientée vers une forme de privacy by design architectural, dans laquelle :

• le consentement reste la règle ;

• les exceptions sont mieux bornées ;

• le refus doit devenir aussi simple que l’acceptation ;

• et l’expression du choix tend à être déplacée vers des signaux techniques standardisés.

Pour autant, l’avis conjoint montre bien que cette architecture est encore instable. Les autorités soutiennent le cap général, mais demandent de multiples clarifications sur la répartition entre RGPD et ePrivacy, sur la portée exacte des exceptions, sur la mémorisation des refus, sur les acteurs réellement visés par les obligations, ainsi que sur l’exception accordée aux media service providers. En d’autres termes, l’objectif est salué, mais la mécanique juridique demeure encore largement perfectible.