Cookies, votre site est-il conforme au RGPD ?

par | Nov 19, 2021 | Protection des données à caractère personnel

 Les cookies sont des petits fichiers placés sur le serveur d’une personne lorsqu’il ou elle visite un Site Web ou une Plateforme en ligne.

Les cookies peuvent avoir des finalités diverses; par exemple permettre à ceux qui les placent de créer des statistiques, des profils dans le but d’envoyer ou de mettre en valeur des contenus ciblées ou encore simplement permettre de retenir les préférences en matière de langue ou les commandes.

Les cookies sont placés pour le compte du propriétaire du Site Web ou de la Plateforme visitée mais parfois également par des tiers, c’est le cas par exemple si le Site contient des liens vers des plateformes de réseaux sociaux.

Dans la majorité des cas, on considère que le placement de cookies implique le traitement de données à caractère personnel car les visiteurs peuvent souvent être identifiés par leurs données de navigation reprises dans un identifiant  qui est associé à l’adresse IP du PC ou de l’appareil qu’ils utilisent.

Les dispositions légales applicables en matière de placement de cookies :

Les dispositions légales applicables dans le domaine des cookies sont les suivantes :

1/ La directive européenne “vie privée et communications électroniques” (directive 2002/58/EC) aussi connue comme la “e-Privacy directive” qui devrait à terme (depuis plusieurs années déjà) être remplacée par un règlement impose l’obligation pour celui ou celle qui place des cookies sur le serveur de ses visiteurs de recueillir leur consentement avant de pouvoir les placer sauf si les cookies en question ont “pour seul but de réaliser l’envoi d’une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l’abonné ou l’utilisateur final“.

2/ Le RGPD (Règlement général sur la protection des données à caractère personnel) fait peu de références directes aux cookies (seulement dans son considérant 30) mais s’applique néanmoins à chaque fois que le placement de cookies implique le traitement de données à caractère personnel.

L’application du RGPD implique que le ou les responsables des traitements (ceux qui placent les cookies) respectent un certain nombre de principes, notamment en matière d’information des personnes concernées, de licéité des traitements, de conservation, de sécurité, de transferts etc…

Les cookies essentiels et les cookies non essentiels :

Les cookies peuvent potentiellement avoir un nombre illimité de finalités.

En pratique, les cookies sont souvent classés en deux catégories générales qui permettent de savoir si il est nécessaire ou non récolter un consentement préalable avant de les placer :

Les cookies essentiels (aussi nommés cookies fonctionnels) sont les cookies qui sont indispensables pour le fonctionnement du Site/Plateforme ou plus généralement offrir le(s) service(s) demandé(s) expressément par le(s) visiteur(s).

Par exemple : des cookies permettant au processus de commande d’un site de vente en ligne de fonctionner correctement.

Placer des cookies essentiels ne requiert pas pour le propriétaire du Site ou de la Plateforme de demander le consentement préalable de ses visiteurs.

Néanmoins, si des données à caractère personnel sont traitées via ces cookies alors en vertu du RGPD, il faudra informer les visiteurs de la présence de ces cookies et de leur finalité et respecter les autres principes applicables lors du traitement de ces données.

Les cookies non essentiels (aussi nommés cookies non fonctionnels) désignent tous les cookies qui ne sont pas essentiels au bon fonctionnement du Site ou de la Plateforme concernée.

Par exemple, il peut s’agir de cookies qui permettent à ceux qui les placent de créer des profils afin d’adresser des publicités personnalisées à ses visiteurs.

Pour les cookies non essentiels, il faut donc que le propriétaire de la plateforme ou du site (qui place les cookies) récolte le consentement préalable de ses visiteurs avant de pouvoir les placer sur leurs serveurs.

Si des données à caractère personnel sont traitées via ces cookies, alors en vertu du RGPD il faudra informer les visiteurs de la présence de ces cookies et de leur finalité et respecter les autres principes applicables lors du traitement de ces données.

Les cookies placés par des tiers :

Des cookies  peuvent également être placés par des tiers sur le Site ou la Plateforme d’une société.

C’est par exemple le cas lorsqu’un Site ou une Plateforme partage du contenu intégré (exemple : vidéos de Youtube)  ou prévois des liens de partage vers les réseaux sociaux ou possibilité de “liker” des articles ou contenus.

Dans ce cas les tiers en questions placent des cookies sur les serveurs des visiteurs de ces Sites ou Plateformes.

De tels cookies permettent à ces tiers de suivre certaines activités des visiteurs sur le Site ou la Plateforme et parfois même en dehors (trackers).

Qu’en est il de la responsabilité du propriétaire du Site ou de la Plateforme pour ces cookies ?

La Cour de justice de l’Union européenne à tendance a considérer que le propriétaire du Site ou de la Plateforme est dans certains cas co-responsables avec les tiers qui placent ces cookies via son Site ou sa Plateforme. (Et donc risque des sanctions si ceux-ci ne sont pas placés conformément à la loi).

La cour de justice de l’union européenne à notamment décidé  considère par exemple  que si une entreprise permet aux visiteurs de “liker” (aimer) une page ou un article de son Site, elle est également considérée comme co-responsable du traitement des cookies avec le tiers qui place des cookies lorsque le visiteur clique sur le bouton “like”.

(CJUE, 29.07.2019, C-40/17 – Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV).

En pratique, quelles mesures faut-il prendre ?

Il faut tout d’abord pouvoir identifier les cookies que vous placez ou qui sont présent sur votre Site ou Plateforme et pouvoir en déterminer les finalités et les risques.

Si vous placez des cookies non essentiels, il vous faudra  prévoir une bannière cookies ou tout autre moyen vous permettant de récolter le consentement préalable des visiteurs.

En pratique,  quand un visiteur se connecte la première fois sur votre Site ou votre Plateforme, tous les cookies non essentiels doivent donc être désactivés et ne peuvent être placés que si lorsque le visiteur y a consenti de manière explicite (bouton, case à cocher) via la bannière.

Cette bannière doit également intégrer les principes du RGPD comme le principe de “Privacy by design et by default” ce qui implique que si la bannière permet au visiteur de modaliser son consentement par catégorie de cookies non essentiels, chaque catégorie est désactivée par défaut.

La seconde obligation qui découle du RGPD, si vous placez des cookies qui traitent des données à caractère personnel est d’informer correctement vos visiteurs de la nature, finalité et durée de conservation de chaque cookie via une politique des cookies qui sera de préférence distincte de votre politique vie privée et qui sera disponible sur toutes les pages de votre Site ou Plateforme.

Enfin en interne c’est la responsabilité du responsable du traitement (celui qui place les cookies) de justifier correctement chaque traitement ultérieur de ces données et de garantir notamment la sécurité de ces donnés et la possibilité pour les personnes concernées d’exercer leur droit.

Conclusion

En tant que commerçant en ligne, bloggeur ou exploitant d’une Plateforme numérique, vous vous demandez peut-être : “Pourquoi dois-je savoir tout cela ?” et surtout “Dois-je vraiment respecter toutes ces règles en tant qu’entrepreneur/petite entreprise ou personne qui (selon les cas) ne vend rien en ligne ?”

La réponse est positive, ces obligations ne sont pas liées à la vente en ligne ou aux activités de votre entreprise mais au traitement de données à caractère personnel.

Mieux vaut prévenir que guérir.

En cas de réclamation, l’Autorité de protection des données peut vous infliger une amende conséquente ainsi que d’autres sanctions.

Ceci a été prouvé récemment (en Belgique) par l’amende salée infligée par l’Autorité de protection des données à une petite plateforme d’informations juridiques qui ne respectait pas les règles applicables en matière de consentement. (Cases pré cochées pour le consentement aux cookies dans sa bannière et informations peu transparentes).

Des amendes beaucoup plus conséquentes ont également étés infligées aux grandes Plateformes comme Facebook et Google sur le même sujet.

Vous avez besoin d’aide pour analyser votre usage des cookies et rédiger les textes nécessaires ?

Vous avez plus généralement des questions relatives à votre conformité au RGPD et à la directive E-Privacy?

N’hésitez pas à prendre contact en envoyant un mail à : info@md-lex.be 

 

 

 

EN FR