Les cookies sont de petits fichiers placés par une entreprise ou un tiers qui récoltent des informations sur les visiteurs d’un Site Web ou d’une Plateforme spécifique.

Les données collectées par les cookies si elles permettent d’identifier directement ou indirectement une personne physique doivent etre qualifiées de données à caractère personnel.

A ce titre le propriétaire du site à l’obligation d’informer préalablement le visiteur sur les cookies présents sur son site de leur présence et dans certains cas recueillir en plus le consentement libre de chaque visiteur avant de les placer.

Les différentes catégories de cookies

Les « cookies fonctionnels ».

La première catégorie , les cookies purement fonctionnels (c’est à dire indispensable au bon fonctionnement du site) sont des cookies qui vont par exemple récolter l’adresse ip des visiteurs et leurs choix en matière de définition de langue afin de leur donner la meilleure expérience utilisateur possible.

Ce type de cookies est essentiel pour le fonctionnement de votre site (le fondement légal est l’intéret légitime) et ne nécessite pas de demander le consentement des visiteurs mais il faut bien sur penser à le mentionner dans votre politique cookies.

Les cookies non-fonctionnels”  

– les cookies dit “analytiques” qui permettent au propriétaire/gestionnaire du site d’obtenir des statistiques anonymes (Par exemple Google analytics) sur la fréquence de visite de son site et de chaque pages/articles.

– D’autre part, il y a également les “cookies commerciaux” qui récoltent des données à caractère personnel des visiteurs afin de permettre au propriétaire du site de pouvoir créer des campagnes de marketing ciblées (en fonction des habitudes/recherches du visiteur en question) ou envoyer une newsletter.

Pour placer ce type de cookies (non-fonctionnels), le responsable du traitement devra avoir récolté préalablement le consentement explicite, direct, préalable et informé de chaque visiteur pour chaque traitement envisagé (en général via une bannière cookies). Ceci se fait par le biais d’une bannière.

Les cookies de tiers :

Des cookies peuvent être placés soit par le propriétaire/gestionnaire du site en question mais aussi par des tiers.

Dans ce cas, soit ce tiers est responsable de ces cookies selon sa propre politique des cookies ou bien vous pourriez etre consideré responsable ou co-responsable.

Un exemple tiré de la jurisprudence de la cour de justice de l’union européenne ( Arrêt C-210/16 du 5 juin 2018 – Wirtschaftsakademie) rapelle que lors de la création d’une une page facebook pour une entreprise, l’entreprise est de facto co-responsable avec facebook du traitement des données a caractère personnel sur cette page. (Etant donné que Facebook partage avec vous des informations collectées sur les visiteurs de la page via ses cookies commerciaux).

Plus récemment, la cour de justice de l’union européenne a été encore plus loin ( CJUE, 29.07.2019, C-40/17 – Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV) ) et considère désormais que si une entreprise permet aux visiteurs de “liker” (aimer) une page ou un article de son site, elle est également considéré comme co-responsable du traitement avec facebook qui place des cookies via cet onglet. (Etant donné que vous permettez en pratique à facebook de collecter des informations sur les visiteurs de votre site qui cliquent sur la fonction like).

Dispositions légales en matière de cookies :

Les dispositions légales applicables dans le domaine des cookies sont les suivantes :

1/ Le règlement 2016/679 sur la protection des données (“RGPD” ou “GDPR” en anglais), applicable directement dans tous les états membres de l’union européenne depuis le 25 mai 2018.

Le RGPD fait peu de références directes aux cookies (seulement dans son considérant 30) mais il s’y applique néanmoins étant donné que des données à caractère personnel permettant d’identifier des individus (personnes physiques) directement ou indirectement sont souvent récoltées via les cookies.

2/ Il faut aussi tenir compte de la directive “vie privée et communications électroniques” (2002/58/EC) aussi connue comme la “EPrivacy directive“ applicable en tant que loi spéciale aux communications électroniques.

La EPrivacy directive complète le RGPD par des règles spécifiques applicables au secteur des communications électroniques  mais contient également des dispositions générales applicables aux cookies qui se superposent aux exigences du RGPD.

En pratique : quelles mesures devez-vous adopter ?

i)  Il est tout d’abord très important de savoir lister tous les cookies qui sont présents sur votre site/application ainsi que de savoir déterminer leurs fonctions et la durée de rétention des informations collectées par chaque type de cookie et reprendre sela dans votre politique des cookies.

ii) Si des cookies ne peuvent etre traités que sur base du consentement, il faut prévoir des mesures  comme une bannière cookies qui bloque les cookies à l’ouverture du site et permet au visiteur de marquer son approbation ou son refus pour chaque catégorie de cookies « non-fonctionnels ». 

Conclusion

En tant que commerçant en ligne ou développeur d’une nouvelle application numérique (ou même en tant que créateur d’un site vitrine/blog ), vous vous demandez peut-être : “Pourquoi dois-je savoir tout cela ? ” et surtout ; “Dois-je vraiment respecter toutes ces règles en tant qu’entrepreneur/petite entreprise ?”

La réponse est malheureusement oui. L’Autorité peut effectuer un controle d’office ou sur base d’une réclamation.

Ceci a d’ailleurs été prouvé récemment (en Belgique) par l’amende salée infligée par l’Autorité de protection des données à la plateforme Jubel.be qui ne respectait pas les règles applicables en matière de consentement. (Jubel est une Plateforme créée par une petite sprl qui propose des articles juridiques à ses lecteurs).

 

 

 

EN FR