Checklist pour une utilisation correcte des cookies - L’autorité de protection des données partage ses exigences en matière de politique relative aux cookies
L’Autorité de Protection des Données (APD) a publié sa tant attendue position sur l’ utilisation correcte de cookies sous la forme d'une checklist. Elle a également annoncé une mise à jour de sa page d'information sur les cookies.
L’APD commence par souligner que la checklist ne contient pas de nouvelles obligations. A proprement parler, c’est tout à fait exact, car la réglementation pertinente n’a pas été modifiée. Toutefois, l’APD a pris une position concrète sur un certain nombre de points sujets à discussion dans la pratique.
En outre, l’APD souligne aussi que la checklist n’est pas exhaustive. Dès lors, même si vous pouvez cocher l’ensemble des points de la checklist, vous pourriez encore être sanctionnés.
L'APD précise également que la checklist s’applique à la fois aux « cookies » et à d’autres technologies similaires (par exemple, les pixels de suivi).
Le principe : le consentement est requis sauf pour les cookies strictement nécessaires
L’APD confirme le principe du consentement libre et éclairé concernant le traitement des cookies.
Exceptionnellement, cela ne s’applique pas aux « cookies strictement nécessaires ». La checklist donne quelques exemples de cookies qui peuvent être considérées comme strictement nécessaires. Il s’agit d’une part des cookies techniques, par exemples qui partagent des informations sur les réseaux (« load balancing ») et, d’autre part, des cookies fonctionnels qui indiquent, par exemple, les préférences linguistiques, les préférences en matière de cookies, ou encore le contenu d’un panier d’achat.
Malheureusement, l’APD reste assez limitée dans ses exemples de cookies strictement nécessaires. Il n’est en effet pas toujours évident de déterminer clairement quels sont les cookies « nécessaires ». A cet égard, il existe un désaccord au sein de l’UE concernant la qualification des cookies analytiques.
Concernant les cookie walls, l’emplacement d’un bouton de refus et les techniques qualifiées de « deceptive design »
L’APD aborde ensuite certaines pratiques connues qui compromettent le « libre » consentement et conduisent à un consentement qui n’est pas valablement donné. Contrairement aux autorités d’autres pays européens, l’APD considère que les cookie walls (c’est-à-dire de conditionner intégralement l’accès aux services et aux fonctionnalités au consentement d’un utilisateur aux cookies) sont interdits.
L’APD exige également la présence d’un bouton permettant de refuser l’ensemble des cookies situé au même niveau que le bouton permettant d’accepter tous les cookies. Toutes les autorités nationales de protection des données en Europe ne partagent cependant pas le même point de vue à ce sujet.
Enfin, il n’est pas permis d’employer des « deceptive design ». Cela inclut par exemple l’utilisation de couleurs pour mettre en évidence le bouton d’acceptation, ou la modification éventuelle de la forme du bouton de refus de sorte à ce qu’il soit moins lisible. Une bonne pratique consiste à employer la même couleur et la même présentation tant pour le bouton d’acceptation de tous les cookies que pour le bouton de refus. Toutefois, l’APD ne se prononce pas sur la question de savoir s’il doit en être de même pour le bouton permettant de choisir ses préférences en matière de cookies.
Être aussi précis que possible
Pour recueillir un consentement spécifique, l’APD donne quelques exigences supplémentaires. Par exemple, au plus tard au deuxième niveau de la bannière de cookies, vous devez proposer la possibilité de donner ou non le consentement pour chaque finalité. La subdivision et la dénomination des catégories font l’objet de nombreux désaccords, mais l’APD n’apporte pas de clarifications.
L’APD réitère la position qu’elle a adoptée dans sa recommandation relative au marketing direct, à savoir qu’un consentement distinct doit être obtenu pour l’utilisation de cookies à des fins de publicité ou de profilage, et pour l’utilisation par des tiers. De plus, il doit être possible de donner le consentement pour chaque tiers.
Une bannière de cookies remplie d’informations
L’APD exige que les visiteurs d’un site web soient immédiatement informés, dès le premier niveau de la bannière de cookies, des finalités pour lesquelles le consentement est demandé.
Aussi, ce premier niveau doit également contenir des informations relatives aux entreprises responsables des cookies. En ce qui concerne les tiers qui placent des cookies, il suffit de nommer certains d’entre eux et d’ajouter un lien vers la liste complète. La bannière doit également expliquer comment les cookies peuvent être acceptés ou refusés, quelles en sont les conséquences, qu’il est toujours possible de retirer son consentement et la manière dont on peut le faire.
Dans un autre niveau de la bannière de cookies, il convient de reprendre une liste complète de tous les cookies utilisés, ventilés par catégorie, en indiquant leurs finalités, leur durée, et leurs destinataires. Il semblerait donc que l’APD estime qu’il n’est pas suffisant que ces informations puissent seulement être lues dans une politique en matière de cookies.
Le consentement doit être activement donné
L’APD confirme que les bannières de cookies indiquant qu’« En poursuivant la navigation, vous acceptez notre utilisation des cookies » ne sont pas autorisées.
En outre, les cases pré-cochées ne sont pas autorisées, le consentement ne peut pas être lié à l’acceptation des conditions générales, ni être déduit des paramètres du navigateur du visiteur du site web.
Facilité de retrait du consentement
L’entreprise doit offrir la possibilité de retirer facilement le consentement. Il doit être aussi facile de retirer le consentement que de le donner. Cela peut se faire par le biais d’un bouton ou d’un lien qui permet de gérer les paramètres de cookies, et qui permet au visiteur du site web de retirer son consentement en un seul clic. Une décision rendue par la chambre contentieuse de l’APD, antérieure à la checklist, indiquait que ce bouton ou ce lien devrait préférablement être placé au-dessus de la politique en matière de cookies.
Utilisation responsable
L’APD indique ensuite que vous ne pouvez conserver les cookies destinés à suivre les préférences en matière de cookies que pendant une période limitée. Dans la pratique, ceci influence le moment où vous devez à nouveau demander le consentement (après avoir initialement obtenu le consentement) ou le moment où vous pouvez à nouveau le demander (après un refus). L’APD estime qu’une période de six mois est raisonnable, rejoignant les avis précédents d’autres autorités.
En outre, les entreprises doivent également pouvoir être en mesure de démontrer comment leurs bannières et politiques en matière de cookies ont été adaptées au fil du temps, et doivent pouvoir fournir leur politique en matière de cookies en indiquant une date et un numéro de version.
Lignes strictes pour l'utilisation des cookies
Il est clair que, comparé à d’autres autorités au sein de l’UE, l’APD adopte une position stricte en ce qui concerne les cookies et les technologies similaires. La mise en conformité de vos bannières et politiques en matière de cookies doit être une priorité. En effet, l’APD a également annoncé des contrôles à cet égard.
Ces cinq lignes directrices peuvent vous aider à mettre au point votre politique en matière de cookies :
1. Minimiser le nombre de cookies et de technologies similaires. Dans la pratique, nous constatons que de nombreuses entreprises ne font pas grand-chose des données qu’elles obtiennent grâce aux cookies. En vous concentrant uniquement sur les cookies nécessaires, vous limitez également la responsabilité de l’organisation.
2. Utiliser suffisamment de cases à cocher. En effet, un consentement actif est requis.
3. Ne pas tromper. Ne donnez pas l’impression de vouloir tromper les visiteurs de votre site web en présentant une bannière de cookies peu lisible.
4. Démontrer que vous savez quels cookies et quelles technologies similaires se trouvent sur votre site web. Un site web est le panneau d’affichage numérique d’une entreprise. Les erreurs sont donc visibles, même pour les autorités. C’est pourquoi vous devez vérifier minutieusement chaque cookie que vous placez sur votre site web.
5. Soyez prudent avec les cookies américains. Lorsque vous utilisez des cookies américains, tels que Google Analytics, il y a généralement un transfert de données. Nous avons antérieurement abordé la question dans ce newsflash.