En modifiant l'article 5(3) de la directive n° 2002/58/CE par l'adoption de la directive n° 2009/136/CE, le législateur européen a posé le principe selon lequel le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées (communément désignées comme « cookies ») ne devaient être mis en oeuvre qu'avec le consentement préalable de l'utilisateur. L'ordonnance n° 2011-1012 du 24 août 2011 a transposé cette disposition en modifiant l'article 32-II de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui indique que : « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; - des moyens dont il dispose pour s'y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». Afin d'accompagner la mise en oeuvre de cette nouvelle règle, la Commission nationale informatique et libertés (CNIL), suite à une concertation étroite avec les acteurs, a publié en décembre 2013 une recommandation qui fournit des indications précises sur la façon dont le consentement aux cookies doit être préalablement recueilli par les éditeurs de sites. Elle encourage notamment la mise en place, sur les pages d'accueil des sites, de bandeaux d'annonces informant du fait que la poursuite de la navigation sur le site occasionne le dépôt de cookies sur le terminal valant autorisation. S'agissant du consentement préalable aux cookies, le cadre normatif est donc aujourd'hui bien établi. La CNIL a donné aux acteurs un délai d'un an pour se conformer à la règle et a annoncé des premiers contrôles pour le dernier trimestre 2014. Pour ce qui est du caractère « explicite » du consentement, cette condition est en cours de discussion au niveau européen à l'occasion des travaux engagés sur le projet de règlement européen relatif à la protection des données personnelles. Les autorités françaises soutiennent une définition exigeante du consentement, telle que prévue à ce jour par le projet d'article 4, et aux termes duquel le consentement est défini comme « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Pour autant, le consentement ne saurait constituer la seule protection pour les personnes et il convient également de conforter et de rendre effectif les principes de propositionnalité, de finalité ou encore de durée de conservation pour limiter les risques pour les personnes.