Cookies, votre site est-il conforme au RGPD ?

par | Nov 19, 2021 | Protection des données à caractère personnel

Les cookies sont des petits fichiers placés sur le serveur d’une personne lorsqu’il ou elle visite un Site Web ou une Plateforme en ligne.

Les cookies peuvent avoir des finalités diverses; par exemple permettre à ceux qui les placent de créer des statistiques, des profils dans le but d’envoyer ou de mettre en valeur des contenus ciblées ou encore simplement permettre de retenir les préférences en matière de langue ou les commandes.

Dans la majorité des cas, on considère que le placement de cookies implique le traitement de données à caractère personnel car les visiteurs peuvent souvent être identifiés par leurs données de navigation reprises dans un identifiant  qui est associé à l’adresse IP du PC ou de l’appareil qu’ils utilisent.

Les cookies sont placés pour le compte du propriétaire du Site Web ou de la Plateforme visitée (le responsable du traitement) mais parfois également par des tiers, c’est le cas par exemple si le Site contient des liens vers des plateformes de réseaux sociaux.

Cet article vous explique les dispositions légales applicables et vos obligations en tant que responsable du traitement lorsque vous placez des cookies.

Les dispositions légales applicables en matière de placement de cookies :

Les dispositions légales applicables dans le domaine des cookies sont les suivantes :

1/ La directive européenne “vie privée et communications électroniques” (directive 2002/58/EC) aussi connue comme la “e-Privacy directive” qui devrait à terme (depuis plusieurs années déjà) être remplacée par un règlement impose l’obligation pour celui ou celle qui place des cookies sur le serveur de ses visiteurs de recueillir leur consentement avant de pouvoir les placer sauf si les cookies en question ont “pour seul but de réaliser l’envoi d’une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l’abonné ou l’utilisateur final“.

2/ Le RGPD (Règlement général sur la protection des données à caractère personnel) fait peu de références directes aux cookies (seulement dans son considérant 30) mais s’applique néanmoins à chaque fois que le placement de cookies implique le traitement de données à caractère personnel.

L’application du RGPD implique que le ou les responsables des traitements (ceux qui placent les cookies) respectent un certain nombre de principes, notamment en matière d’information des personnes concernées, de licéité des traitements, de conservation, de sécurité, de transferts etc…

Les cookies essentiels et les cookies non essentiels :

Les cookies peuvent potentiellement avoir un nombre illimité de finalités.

En pratique, les cookies sont souvent classés en deux catégories générales qui permettent de savoir si il est nécessaire ou non récolter un consentement préalable avant de les placer :

Les cookies essentiels (aussi nommés cookies fonctionnels) sont les cookies qui sont indispensables pour le fonctionnement du Site/Plateforme ou plus généralement offrir le(s) service(s) demandé(s) expressément par le(s) visiteur(s) ou pour réaliser l’envoi d’une communication via un réseau de communications électroniques.

Par exemple : des cookies permettant au processus de commande d’un site de vente en ligne de fonctionner correctement.

Pratiquement ceci implique :

– Placer des cookies essentiels ne requiert pas pour le propriétaire du Site ou de la Plateforme de demander le consentement préalable de ses visiteurs (selon la directive e-privacy).

– Néanmoins, si des données à caractère personnel sont traitées via ces cookies alors en vertu du RGPD, il faudra informer les visiteurs de la présence de ces cookies et de leur finalité (via votre politique vie privée & cookies) et respecter les autres principes applicables lors du traitement de ces données dont le principe de licéité (avoir une base légale).

– Tout traitement ultérieur est interdit à moins qu’il ne soit compatible avec le traitement initial ou que le responsable du traitement ne puisse justifier d’une base de licéité distincte du traitement original et fasse l’objet d’une information préalable.

Les cookies non essentiels (aussi nommés cookies non fonctionnels) désignent tous les cookies qui ne sont pas essentiels au bon fonctionnement du Site ou de la Plateforme concernée ou qui seraient nécessaires pour réaliser l’envoi d’une communication électronique.

Par exemple, il peut s’agir de cookies qui permettent à ceux qui les placent de créer des profils afin d’adresser des publicités personnalisées à ses visiteurs.

Pour placer des cookies non essentiels, il faut donc (selon la directive e-privacy) que le responsable du traitement récolte le consentement préalable de ses visiteurs avant de pouvoir les placer sur leurs serveurs.

Ce consentement qui est souvent récolté via une bannière cookies qui apparait lorsque l’on se connecte sur le Site ou la Plateforme devra répondre aux memes conditions que le consentement sous le RGPD (être libre, non ambigu, spécifique et informé – et explicite si jamais des données sensibles devaient etre traitées de manière directe ou indirecte).

Pratiquement, ceci implique :

– Que le consentement doit être spécifique pour chaque type de cookie non essentiel (ou au minimum chaque catégorie)  en fonction de leur finalité annoncée. 

– Que les cookies essentiels devront être bloqués par défaut jusqu’à ce qu’un consentement valable (et non ambigu) ait été recueilli.

Tout traitement ultérieur est interdit à moins qu’il ne soit compatible avec le traitement initial ou que le responsable du traitement ne puisse justifier d’une base de licéité distincte du traitement original et fasse l’objet d’une information préalable.

Obligation de transparence

Le responsable du traitement devra avoir informé les visiteurs de son Site ou de sa Plateforme de la présence de cookies ainsi que de leur finalités et durée de conservation de préférence via une politique des cookies autonome (distincte de la notice relative à la vie privée).

Les cookies placés par des tiers :

Des cookies  peuvent également être placés par des tiers sur le Site ou la Plateforme d’une 111société.

C’est par exemple le cas lorsqu’un Site ou une Plateforme partage du contenu intégré (exemple : vidéos de Youtube)  ou prévois des liens de partage vers les réseaux sociaux ou possibilité de “liker” des articles ou contenus.

De tels cookies permettent à ces tiers de suivre les activités des visiteurs sur le Site ou la Plateforme et parfois même en dehors (trackers) dans le but de faciliter certains services qu’ils proposent, de fournir des services au responsable du traitement ou pour toute autre finalité (notamment marketing).

Qu’en est il de la responsabilité du propriétaire du Site ou de la Plateforme pour ces cookies ?

La Cour de justice de l’Union européenne à tendance a considérer que le propriétaire du Site ou de la Plateforme est dans certains cas (si il participe à déterminer les finalités ou les moyens essentiels) co-responsables avec les tiers qui placent ces cookies via son Site ou sa Plateforme. (Et donc risque des sanctions si ceux-ci ne sont pas placés conformément à la loi).

La CJUE à notamment considèré que si une entreprise permet aux visiteurs de “liker” (aimer) une page ou un article de son Site, elle est également considérée comme co-responsable du traitement des cookies avec le tiers qui place des cookies lorsque le visiteur clique sur le bouton “like”.

(CJUE, 29.07.2019, C-40/17 – Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV).

Il est donc important de se renseigner sur les finalités de ces cookies de tiers et d’informer les visiteurs à ce sujet ( via votre politique vie privée & cookies) et le cas échéant, il convient de récolter les consentements nécessaires ainsi que d’informer clairement les personnes concernées sur les traitements ultérieurs que ces tiers sont susceptibles d’effectuer.

En pratique, quelles mesures faut-il prendre ?

a/ Au préalable, il faut tout d’abord pouvoir identifier les cookies que vous placez ou qui sont présent sur votre Site ou Plateforme et pouvoir en déterminer les finalités et les risques.

b/ Si vous placez des cookies qui traitent des données à caractère personnel est d’informer correctement vos visiteurs de la nature, finalité et durée de conservation de chaque cookie via une politique des cookies qui sera disponible sur toutes les pages de votre Site ou Plateforme et dont le lien peut être inclut dans votre bannière.

c/ En interne, cette information devra figurer de manière plus détaillée dans votre registre des activités de traitement. En effet, c’est la responsabilité du responsable du traitement (celui qui place les cookies) de justifier correctement chaque traitement et de garantir notamment (entre autres) la sécurité de ces donnés, la durée de rétention et la possibilité pour les personnes concernées d’exercer leur droit.

d/ Si vous placez des cookies non essentiels, il vous faudra  prévoir un moyen de récolter le consentement des visiteurs du Site ou de la Plateforme. En général cela se fait via une bannière cookies.

– Le consentement récolté via cette bannière (ou tout autre moyen) doit répondre aux conditions du RGPD et donc permettre au visiteur d’exprimer son consentement de manière libre (sans que son refus lui bloque l’accès aux services proposés), spécifique (par finalité et catégorie de cookie au minimum), explicite et informé.

– Cette bannière doit également intégrer les principes du RGPD comme le principe de “Privacy by design et by default” ce qui implique que tous les cookies non essentiels doivent donc être désactivés par défaut et ne peuvent être activés que après que le visiteur y ait consenti de manière explicite (bouton, case à cocher) via la bannière

Conclusion

En tant que commerçant en ligne, bloggeur ou exploitant d’une Plateforme numérique, vous vous demandez peut-être : “Pourquoi dois-je savoir tout cela ?” et surtout “Dois-je vraiment respecter toutes ces règles en tant qu’entrepreneur/petite entreprise ou meme personne qui (selon les cas) ne vend rien en ligne mais dispose d’un site vitrine ?”

La réponse à cette question est positive, ces obligations ne sont pas liées à la vente en ligne de biens ou de services ou aux activités de votre entreprise mais au traitement de données à caractère personnel via des cookies. De tels traitements peuvent donc intervenir également sur des Sites purement informatifs qui n’ont aucune visées commerciales.

Mieux vaut prévenir que guérir….

En cas de réclamation, l’Autorité de protection des données si elle constate que les dispositions légales en matière de cookies ne sont pas respectées peut infliger au responsable une amende administrative conséquente ainsi que d’autres sanctions. Actuellement introduire une réclamation est une démarche gratuite en ligne qui ne prend que très peu de temps. ( Plus d’informations : ICI )

Récemment (en Belgique) l’Autorité de protection des données à infligé une amende conséquente de plusieurs milliers d’euros à une petite plateforme d’informations juridiques qui ne respectait pas les règles applicables en matière de consentement. (Cases pré-cochées pour le consentement aux cookies dans sa bannière et informations peu transparentes).

Des amendes beaucoup plus conséquentes ont également étés infligées aux grandes Plateformes comme Facebook et Google sur le même sujet.

Par ailleurs il existe d’autres recours que les personnes concernés peuvent utiliser en cas de violation (tribunaux, recours collectifs , plaintes aux organes défendant le protection des consommateurs etc..).

Vous avez besoin d’aide pour analyser votre usage des cookies et rédiger les textes nécessaires ?

Vous avez plus généralement des questions relatives à votre conformité au RGPD et à la directive E-Privacy?

N’hésitez pas à prendre contact avec nous en envoyant un mail à : info@md-lex.be