L'utilisation des données à caractère personnel est encadrée par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD) », ainsi que par la loi informatique et libertés. La directive 2002/58/CE « vie privée et communications électroniques » du 12 juillet 2002 (« ePrivacy ») complète ce cadre en prévoyant des dispositions spécifiques relatives aux cookies et autres traceurs qui peuvent être déposés sur le terminal d'un utilisateur (art.5.3). L'ensemble de ces règles visent à garantir aux personnes la maîtrise de leurs données, notamment lorsque celles-ci sont utilisées à des fins commerciales y compris dans la sphère numérique. Pour cela, ce corpus juridique prévoit que les personnes doivent être informées de la finalité poursuivie par le traitement de leurs données ainsi que de l'utilisation qui en est faite (articles 12 et 13 du RGPD). Leur consentement est également nécessaire, notamment pour certaines utilisations des données ayant une finalité publicitaire telles que le dépôt de cookies (art.82 de la loi informatique et libertés) ou l'envoi de prospection commerciale par voie électronique (art.L.34.5 du code des postes et des communications électroniques). Ces règles sont d'ordre public et il ne peut pas y être dérogé par contrat. La CNIL est en charge d'en vérifier le respect en accompagnant les organismes et, si nécessaire, en prononçant des mesures répressives (ex : mise en demeure ou amendes administratives pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entreprise concernée). Par ailleurs, les nouvelles règles sur les cookies et autres traceurs publiées par la CNIL le 1er octobre 2020 précisent et renforcent la transparence sur les modèles économiques des sites en permettant aux utilisateurs d'exercer un plus grand contrôle sur l'utilisation de leurs données à des fins publicitaires. Plus précisément, ces nouvelles règles rappellent deux grands principes : l'internaute doit être clairement informé des objectifs des cookies et autres traceurs (avant que l'internaute accepte les cookies, le site doit l'informer, de façon claire et synthétique, de ce à quoi ils vont servir (publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d'information avec les réseaux sociaux), et il doit être aussi facile pour lui de les refuser que de les accepter (CE, 19 juin 2020, n° 434684). Enfin, dans le cadre des négociations européennes sur le projet de règlement « ePrivacy », le Gouvernement est également attentif à la question de l'utilisation des cookies et autres traceurs. Il est particulièrement vigilant à l'équilibre qui doit être assuré entre la préservation du modèle économique des acteurs du numérique et le respect de la vie privée des utilisateurs. L'ensemble de ces mesures est de nature à prévenir de la manière la plus efficace possible toute utilisation illicite des données et à assurer une transparence et une information suffisante des utilisateurs quant à l'utilisation de leurs données à caractère personnel à des fins commerciales.