Privacy Talk
Cookies : une mise à jour.
Ce que vous devez savoir.
Si votre entreprise possède un site web, il y a de fortes chances qu'il contienne des cookies. Même les sites web purement informatifs, sans boutique en ligne par exemple, contiennent souvent des cookies : pour suivre les préférences linguistiques du visiteur, collecter des statistiques sur la façon dont les visiteurs utilisent le site web ou pour personnaliser les publicités. Quoi qu'en dise le développeur de votre site web, dans la majorité des cas, ces cookies collecteront des données à caractère personnel. Dans la pratique, le monde de la protection des données est beaucoup moins enclin – contrairement au monde technique – à conclure que les cookies sont "anonymes".
L'utilisation de cookies relève donc du champ d'application du Règlement Général sur la Protection des Données. Par ailleurs, la directive 2002/58/CE (la directive "vie privée et communications électroniques"), telle que transposée dans la législation nationale des États membres, s'applique en tant que lex specialis (elle a donc priorité sur le Règlement Général sur la Protection des Données). La directive "vie privée et communications électroniques" est actuellement en cours de révision par le législateur européen, mais celui-ci n'a, pour l'instant, pas réussi à adopter le nouveau règlement "vie privée et communications électroniques". En attendant, les autorités nationales de contrôle ne restent pas les bras croisés. Ces derniers mois, plusieurs autorités ont publié des lignes directrices sur l'utilisation des cookies et des amendes ont également été infligées dans certains cas pour des infractions liées aux cookies. En outre, à la fin de l'année dernière, la Cour de justice a rendu un arrêt dans l'affaire Planet 49 sur l'obligation de consentement et de transparence dans le cadre des cookies. Enfin, le 4 mai 2020, le Comité Européen de la Protection des Données (EDPB) a également publié de nouvelles lignes directrices sur le consentement, y compris des règles sur le placement de cookies (disponible uniquement en anglais).
L'inaction (dans l’attente du nouveau règlement "vie privée et communications électroniques") n'est donc plus une option. Il est temps de faire une mise à jour de notre précédent Privacy Talk à ce sujet.
La directive "vie privée et communications électroniques" stipule que le consentement du visiteur du site web est nécessaire pour l'installation de cookies, à l'exception du stockage technique d'informations ou de la fourniture d'un service explicitement demandé par l'abonné ou l'utilisateur final lorsque l'installation d'un cookie est strictement nécessaire à cette fin. En pratique, ces deux exceptions signifient que le consentement n'est pas requis pour les cookies qui sont nécessaires (i) au fonctionnement du site web (souvent appelés cookies "essentiels") et (ii) pour fournir une fonctionnalité explicitement demandée par le visiteur (souvent appelés cookies "fonctionnels"). Il s'agit, par exemple, des cookies nécessaires pour établir une connexion, mémoriser un identifiant ou des préférences linguistiques, stocker des produits sélectionnés dans un panier d'achat, ...
Le consentement au titre de la directive "vie privée et communications électroniques" doit être conforme aux conditions du Règlement Général sur la Protection des Données. Cela implique, entre autres, que le consentement doit être éclairé et univoque. En outre, les propriétaires de sites web doivent respecter l’obligation générale de transparence (articles 12 et 13 du GDPR).
Ce que vous devez faire.
Tout commence par une bonne compréhension des cookies que votre site web utilise. Dans la pratique, c'est souvent là où le bât blesse. Ces informations doivent être fournies par le développeur du site web. Vous pouvez éventuellement (en tant que juriste) vérifier ces informations grâce au résultat d'un "cookie scan" des outils en ligne disponibles à cet effet. Ces outils ne sont certainement pas sans faille, mais l'expérience a montré qu’il arrive également que les développeurs de sites web négligent les cookies. Il est donc souvent conseillé de poser quelques questions supplémentaires.
Par mesure de précaution, vous devez partir du principe que tous les cookies collectent des données à caractère personnel. Le seuil pour pouvoir parler de cookies "anonymes" est très élevé, de sorte qu’il est préférable de ne pas courir le risque que l'autorité de contrôle ait une vision différente (de celle du développeur du site web).
Vous devez informer le visiteur du site web de l'utilisation des cookies et lui demander son consentement pour des cookies qui ne sont pas essentiels ou fonctionnels (par exemple, des cookies statistiques, des cookies publicitaires ou des cookies liés aux réseaux sociaux). Cela se fait au moyen d'une bannière de cookies :
- La bannière de cookies contient une brève description des types de cookies utilisés par le site web et un lien vers la déclaration de cookies pour plus d'informations. Si le site web dispose déjà d'une déclaration de confidentialité (conformément aux articles 12 et 13 du GDPR), la déclaration de cookies doit (uniquement) contenir les informations suivantes : pour chaque cookie, le nom du cookie, le but, la durée de conservation et éventuellement le nom du tiers qui a installé le cookie et/ou qui l'utilise. La déclaration de cookies doit également contenir des informations quant à la modification des paramètres du navigateur et la possibilité de retirer son consentement. La déclaration de cookies doit être rédigée dans la langue du public cible et être facilement accessible (c'est-à-dire, être disponible via un lien sur chaque page du site web).
- Vous devez obtenir le consentement du visiteur pour l’installation des cookies non essentiels/non fonctionnels. La meilleure façon de procéder est de le faire par le biais de la bannière de cookies qui apparaît immédiatement lors de la première visite sur le site web. Il est préférable d’obtenir le consentement de la manière la plus détaillée possible, c'est-à-dire au minimum par type de cookies (statistiques, publicitaires et liés aux réseaux sociaux). Si vous prévoyez la possibilité d'accepter tous les cookies en un seul clic, il est également préférable de prévoir un bouton permettant de refuser tous les cookies (non essentiels/non fonctionnels). Vous n'êtes pas autorisé à travailler avec des cases déjà cochées (pour les cookies non essentiels/non fonctionnels), et le message indiquant qu’en poursuivant la navigation vous consentez à l’utilisation de cookies ne suffit pas.
N'oubliez pas que de nombreuses autorités de contrôle ainsi que le Comité Européen de la Protection des Données n'acceptent pas les cookiewalls, c'est-à-dire le fait de subordonner l'accès au site web au consentement du visiteur à l'installation de cookies non essentiels et non fonctionnels.
Enfin, le règlement "vie privée et communications électroniques" est susceptible d’apporter l’une ou l’autre modification à ce qui précède. Comme nous l'avons dit, cela ne doit pas vous empêcher de vous conformer à la législation actuellement en vigueur. L'utilisation de cookies constitue une priorité pour de nombreuses autorités de contrôle (par exemple en Belgique, en France, au Royaume-Uni, en Allemagne et en Espagne). En tout état de cause, nous vous tiendrons informé dès que les règles seront modifiées.
L' information était utile? Transmettez-la à un collègue, ou partagez-la avec votre réseau!
Pour plus de détails ou toutes questions, nous vous invitons à consulter notre site web ou à contacter notre équipe :
