Cookies, votre site est-il conforme au RGPD ?

par | Nov 19, 2021 | Protection des données à caractère personnel

Les cookies sont des petits fichiers placés sur votre serveur lorsque vous visitez un Site Web ou une Plateforme par le propriétaire du Site ou par des tiers.

Les cookies traitent dans la plupart des cas  vos données a caractère personnel car ils créent un identifiant associé à votre adresse ip qui rassemble toutes les données renseignées par vous sur le Site et question et parfois en dehors (recherches, formulaires, clics, actions etc..).

Il est donc raisonnablement possible de vous identifier et de créer un profil sur base de ces informations qui permettra notamment à ceux qui placent les cookies de faire des statistiques o d’envoyer des publicités personnalisées.

I. Les dispositions légales applicables en matière de cookies :

Les dispositions légales applicables dans le domaine des cookies sont les suivantes :

1/ Le règlement 2016/679 sur la protection des données (“RGPD” ou “GDPR” en anglais).

Le RGPD fait peu de références directes aux cookies (seulement dans son considérant 30) mais s’y applique néanmoins étant donné que des données à caractère personnel permettant d’identifier des individus (personnes physiques) sont souvent récoltées via les cookies.

L’application du RGPD implique donc que les données à caractère personnel traitées via ces cookies respectent un certain nombre de principes, notamment en matière d’information des personnes concernées, de licéité des traitements etc…

2/ La directive “vie privée et communications électroniques” (2002/58/EC) aussi connue comme la “e-Privacy directive“ applicable en tant que “loi spéciale”.

Cette directive qui devrait à terme être remplacée par un règlement a été transposée en droit belge  et impose l’obligation pour celui ou celle qui place les cookies de recueillir le consentement des visiteurs avant de pouvoir les placer sauf si les cookies en question ont “pour seul but de réaliser l’envoi d’une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l’abonné ou l’utilisateur final“.

II. Les différentes catégories de cookies

Les cookies peuvent potentiellement avoir un nombre illimité de finalités.

En pratique, ils sont souvent classés en deux catégories principales qui permettent de savoir si il faut ou non récolter un consentement préalable :

Les cookies nécessaires (dit fonctionnels) pour le fonctionnement du Site/Plateforme ou pour offrir le(s) service(s) demandé(s) expressément par le(s) visiteur(s) qui ne nécessitent pas un consentement préalable.

Il faut toutefois respecter le RGPD et informer les visiteurs du placement de ces cookies (par exemple pour permettre de retenir les commandes passées sur le site ou le choix de la langue) via une politique des cookies.

Les cookies non nécessaires (non fonctionnels) qui peuvent par exemple permettre à celui pu celle qui les placent de faire des statistiques ou de vous adresser des publicités personalisées.

Pour récolter le consentement préalable de ses visiteurs, il faut en pratique  installer une bannière cookies permettant de récolter ce consentement pour chaque catégorie de cookies non fonctionnels avant de les placer. (Donc quand un visiteur se connecte la première fois sur le Site ces cookies sont bloqués par défaut).

Cette bannière doit également intégrer les principes du RGPD comme les principes de “Privacy by design et by default”.

III. Les cookies placés par des tiers :

Des cookies  peuvent également être placés par des tiers sur le serveur de vos visiteurs par exemple lorsque vous partagez du contenu intégré (exemple : vidéos de Youtube)  ou vous prévoyez des liens de partage vers les réseaux sociaux ou possibilité de “liker” vos articles.

Ces cookies peuvent devenir très intrusifs pour vos visiteurs surtout si ils permettent à ces tiers de les suivre en dehors de votre Site et ensuite de leur envoyer des communications personnalisées.

Au niveau de la responsabilité pour le placement de ces cookies par des tiers, la jurisprudence à tendance a considérer que vous (le propriétaire du Site ou de la Plateforme ) sont considérés dans certains cas comme co-responsables du placement ces cookies avec le tiers concerné. (Et donc vous risquez des sanctions également pour le placement de ces cookies de tiers si ceux-ci ne sont pas compliant).

La cour de justice de l’union européenne (CJUE, 29.07.2019, C-40/17 – Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV) considère  que si une entreprise permet aux visiteurs de “liker” (aimer) une page ou un article de son Site, elle est également considérée comme co-responsable du traitement des cookies avec le tiers qui place des cookies lorsque le visiteur clique sur le bouton “like”.

Il faut donc tenir compte de ces risques lorsque  installez ces plug-ins vers les réseaux sociaux ou redirigez vos visiteurs vers des contenus intégrés.

Conclusion

En tant que commerçant en ligne, bloggeur ou exploitant d’une Plateforme numérique, vous vous demandez peut-être : “Pourquoi dois-je savoir tout cela ?” et surtout “Dois-je vraiment respecter toutes ces règles en tant qu’entrepreneur/petite entreprise ou personne qui (selon les cas) ne vend rien en ligne ?”

La réponse est positive, ces obligations ne sont pas liées à la vente en ligne ou aux activités de votre entreprise mais au traitement de données à caractère personnel.

Mieux vaut prévenir que guérir.

En cas de réclamation, l’Autorité de protection des données peut vous infliger une amende conséquente ainsi que d’autres sanctions.

Ceci a été prouvé récemment (en Belgique) par l’amende salée infligée par l’Autorité de protection des données à une petite plateforme d’informations juridiques qui ne respectait pas les règles applicables en matière de consentement. (Cases pré cochées pour le consentement aux cookies dans sa bannière et informations peu transparentes).

Il est donc important pour vous avant de mettre en ligne votre Site ou votre Plateforme d’analyser correctement les cookies présents sur votre site et de pouvoir les répertorier et les justifier dans votre politique de cookies. Le cas échéant vous devez  prévoir une collecte correcte des consentements nécessaires avant de pouvoir les placer.

Vous avez besoin d’aide pour rédiger votre politique vie privée et plus généralement pour vous aider à répondre à des questions concernant votre conformité au RGPD ?

N’hésitez pas à prendre contact en envoyant un mail à : info@md-lex.be 

 

 

 

EN FR