Ce site web utilise uniquement des cookies fonctionnels, afin de prévenir les cas de fraude ainsi que pour améliorer la sécurité du site web. Plus d'infos
Ok
A Baker Tilly network member
Find us on LinkedIn

L’usage des cookies sur les sites web et applications. Petit rappel des principes, des exceptions et de la mise en œuvre en pratique.

Très rares sont les sites web et applications mobiles qui n’utilisent pas de cookies ou autres traceurs. Les cookies sont omniprésents, peu importe le contenu des sites web ou applications, ou encore le secteur dans lequel leurs propriétaires ou opérateurs sont actifs. 

Depuis la publication du Règlement Général sur la Protection des Données (« RGPD » en abrégé, « GDPR » en anglais) en 2016, et plus encore depuis son entrée en vigueur le 25 mai 2018, l’application aux cookies des (nouveaux) principes de la protection de la vie privée et du traitement de données à caractère personnel a fait couler beaucoup d’encre en Europe. Entre lignes directrices et recommandations, les autorités de contrôle des différents Etats membres se sont efforcées d’« encadrer » l’utilisation des cookies par les acteurs de l’économie digitale, avec pour dénominateur commun la limitation de l’ingérence dans la vie privée des citoyens. 

Fin janvier 2020, l’autorité de contrôle belge, à savoir l’Autorité de protection des données (« ADP »), publiait la version définitive de son Plan Stratégique 2019-2025. L’ADP listait alors la vie privée dans l’environnement numérique (ou « online privacy ») parmi les sujets prioritaires au niveau social et sociétal. Selon l’ADP, « La collecte de données relatives à des internautes, par exemple au travers de ‘‘cookies’’, constitue la base de la constitution de banques de données colossales comportant des données comportementales relatives à tous ces internautes ».

Récemment, l’ADP a mis à jour la page « Cookies » de la section « Professionnel » de son site web. Plus précisément, tout visiteur peut, dans la sous-section « FAQ », (re)trouver les lignes directrices et précisions consolidées de l’ADP quant aux règles et pratiques à suivre en matière de cookies. 

Du rappel des principes établis aux exigences récentes de l’ADP, nous faisons le point ci-dessous. 

Consentement. Ceci n’est pas une nouveauté. Tant en vertu de la législation nationale qu’européenne, l’installation de cookies (ou autres traceurs) sur l’ordinateur (ou tout autre appareil) d’un usager nécessite le consentement préalable de ce dernier. Dans son arrêt « Planet49 » du 1er octobre 2019, la Cour de justice de l’Union européenne a confirmé que le consentement tel que défini dans le RGPD est requis, et cela même lorsque les données traitées par les cookies ne constituent pas de données à caractère personnel. Concrètement, l’installation et l’usage de cookies nécessitent un consentement répondant aux conditions suivantes :

  • libre : il s’agit pour la personne concernée de pouvoir exercer valablement son choix, sans être exposée à des conséquences négatives si elle refuse de donner son consentement. Dès lors, la mise en place de cookie walls – c’est-à-dire bloquer l’accès à un site web ou une application en cas d’opposition au placement de cookies – est contraire au RGPD. Le consentement ne peut également pas être demandé en échange d’un avantage ou d’une récompense.
  • spécifique : le consentement général, pour l’utilisation des cookies, sans autre précision, n’est pas valable. En effet, le consentement doit être donné en lien avec les finalités spécifiques poursuivies par les cookies pour lesquels il est sollicité. A cet égard, l’ADP précise désormais que le choix « tout ou rien » n’est pas valide. 

A l’égard de la spécificité du consentement, l’ADP introduit une nouvelle exigence : le choix par cookie graduel. Dans une première strate d’information, l’exploitant des cookies doit permettre un choix par type de cookies (cookies de mesure d’audience, cookies de ciblage marketing, etc.) et, dans une seconde strate d’information, lorsque l’utilisateur a pu consentir par type de cookies, il devrait avoir la possibilité, s’il le souhaite, d’exprimer son consentement individuellement par cookie. 

Corrélativement, l’ADP estime que le simple paramétrage du navigateur par l’utilisateur ne permet pas, en tant que tel, de recueillir valablement le consentement dans la mesure où il n’est pas possible pour l’utilisateur d’exprimer son choix par type de cookies. 

La question se pose dès lors de savoir comment, en pratique, permettre ce choix graduel en deux phases. L’ADP ne donne aucune indication à cet égard. Les cookies (et autres technologies similaires) sont des outils technologiques plus ou moins complexes, tant dans leur fonctionnement propre que dans leurs interconnexions avec les autres éléments des réseaux de communications électroniques. Par ailleurs, certains cookies fonctionnent par groupe (par exemple, les cookies de Google Analytics). Quid si un utilisateur consent au placement d’un cookie et non à celui du ou des autres cookies avec lequel il doit nécessairement interagir pour la finalité poursuivie ? Plus fondamentalement, les propriétaires de site web/applications – dont la gestion technique est généralement sous-traitée à une société tierce – doivent, à terme, permettre à chaque utilisateur de sélectionner individuellement le cookie pour lequel il consent et cela, potentiellement à chaque nouvelle visite. Pour des sites web et autres applications qui font l’objet de dizaine de milliers de visites par heure, la mise en place d’un consentement « à la carte » soulèvera sans nulle doute de vives questions technico-pratiques auxquelles l’ADP sera amenées à répondre. 

  • informé : avant d’exprimer son consentement, l’utilisateur doit être informé de façon claire et précise sur (i) le traitement de données opéré au moyen des cookies concernés (identité du responsable du traitement, finalité(s) du placement et de la lecture des cookies, données collectée(s) par les cookies et durée de vie) ; et (ii) les droits de l’utilisateur en vertu du RGPD, tels que le droit pour l’utilisateur de retirer son consentement ultérieurement.
  • rétractable : l’utilisateur doit pouvoir retirer son consentement, à tout moment, aussi facilement qu’il l’a donné.

En tout état de cause, il appartient à l’exploitant des cookies de démontrer que le consentement a été valablement recueilli, par exemple par des logs ou d’autres fichiers gardant des traces des transactions.

Consentement actif. En plus d’être libre, informé, spécifique et rétractable, le consentement doit résulter d’une démarche active de la personne concernée. A l’instar de la CNIL (autorité de contrôle française), l’ADP indique que la poursuite de la navigation par l’utilisateur ne suffit pas à l’obtention d’un consentement valide au sens du RGPD. Une action de la personne concernée est requise telle qu’une case à cocher (les cases pré-cochées n’étant pas suffisantes), le fait de devoir cliquer sur un bouton ou faire glisser le curseur. 

Exception au consentement. L’exception demeure inchangée : seuls les cookies dit fonctionnels ne requièrent pas l’obtention du consentement préalable de la personne concernée. Il s’agit des cookies indispensables pour réaliser l’envoi d’une communication via un réseau de communications électroniques ou pour fournir le service expressément demandé par l’utilisateur du site web ou de l’application. Par ailleurs, il ressort des lignes directrices de l’ADP que les cookies fonctionnels doivent avoir une durée de validité limitée soit à la session, soit à une durée « légèrement » supérieure. 

Parmi les exemples de cookies fonctionnels listés par l’ADP figurent : les cookies de session (ou les cookies persistant limités à quelques heures) utilisés pour conserver les informations saisies par l’utilisateur lorsqu’il complète des formulaires en ligne sur plusieurs pages ou pour mémoriser les articles que l’utilisateur a sélectionnés dans son panier d’achat ; les cookies d’authentification utilisés, pour la durée d’une session, pour des services authentifiés tels que les services d’e-payment ou e-banking ; les cookies de session installés par les lecteurs multimédia (par exemple, les cookies de lecteur flash) pour la durée d’une session ; ou encore les cookies persistants de personnalisation de l’interface utilisateur, pour la durée d’une session (ou une durée légèrement supérieure), tels que les cookies relatifs à la préférence linguistique ou à celle de l’affichage des résultats. Si de tels cookies de personnalisation sont voués à subsister (beaucoup) plus longtemps que la session de l’utilisateur, le consentement préalable est requis. 

ATTENTION : si le consentement préalable n’est pas de rigueur pour le placement et la lecture des cookies fonctionnels, l’obligation de fournir à l’utilisateur les informations claires et précises quant à de tels cookies et leurs finalités subsiste.  

Plug-ins de réseaux sociaux. Le consentement préalable de l’utilisateur doit être valablement recueilli avant l’activation de tout plug-in de réseaux sociaux sur le site web ou l’application mobile. En effet, de tels plug-ins (le bouton « J’aime » ou « Partager » de Facebook, Instagram, Twitter, LinkedIn, etc.) permettent la collecte de données même lorsque l’utilisateur n’a pas de compte sur les réseaux sociaux associés à ces plug-ins. 

Politique de cookies. Qu’il s’agisse ou non de cookies fonctionnels, le placement et la lecture de cookies sur l’appareil de l’utilisateur doit faire l’objet d’une information claire et précise. Le challenge pour l’exploitant de cookies est de transmettre cette information, en partie (très) technique, dans un langage aisément accessible. 

Ici encore, il ne s’agit pas d’une nouveauté. L’exploitant d’un site web ou d’une application qui fait usage de cookies doit y publier une politique de cookies (ou « cookies policy »). Que cette politique de cookies soit intégrée ou non à la politique de la vie privée générale du site web ou de l’application le cas échéant, elle doit reprendre au minium les informations suivantes : identité et coordonnées du responsable du traitement (et du DPO le cas échéant) ; identification des types de cookies utilisés, leurs finalités et leur durée de fonctionnement ; si des tiers ont accès ou non aux cookies et l’identification desdits tiers le cas échéant ; la manière dont l’utilisateur peut supprimer les cookies ; le fondement juridique du traitement opéré via les cookies (il s’agira nécessairement du consentement pour tous les cookies autres que fonctionnels) ; la durée de conservation des données (qui en aucun cas ne peut être plus longue que la durée nécessaire pour la réalisation de la finalité poursuivie) ; les droits de l’utilisateur et la manière de les exercer, tels que le droit de retirer son consentement à tout moment ou de déposer une plainte auprès de l’ADP ; et l’existence d’une prise de décision automatisée (par exemple, en cas de profilage). 

En pratique, l’usage de cookies est annoncé, lors de la première visite ou après que l’utilisateur ait supprimé les cookies du navigateur, dans un bandeau d’information (cookie banner) ou une fenêtre (pop-up) dédiée, qui renvoie à la cookies policy. Dans la mesure où la poursuite de la navigation ne suffisant plus pour le recueil du consentement pour le placement de cookies autre que fonctionnels, c’est à ce stade que l’exploitant des cookies doit permettre à l’utilisateur d’exprimer son consentement par une démarche active (les deux strates d’information et le choix par cookie graduel décrits ci-avant). La méthode communément mise en place est l’affichage d’un tableau des cookies utilisés et classés par type, avec, pour chaque type, la possibilité d’accepter ou non leur placement au moyen d’une case à cocher. 

Il est désormais bien établi que le texte générique sur la page d’accueil « En poursuivant activement votre visite de ce site, vous consentez à l’usage de cookies pour améliorer votre expérience de navigation » ne suffit plus à répondre à l’exigence du consentement au sens du RGPD. Tout placement de cookies autres que fonctionnels reposant exclusivement sur cette formule sera illicite et, partant, passible de sanctions. Ces dernières ne sont plus purement hypothétique comme cela fut le cas sous l’empire de l’ancienne loi vie privée du 8 décembre 1992. Par une décision du 17 décembre 2019, l’ADP a imposé une amende administrative de 15.000,00 EUR à l’exploitant d’un site web pour pratique et usage en matière de cookies non conformes au RGPD. 

* *

*

La réglementation de l’usage des cookies est un bel exemple de confrontation entre droit et la technologie et des difficultés pratiques qui en découlent. Mettre en place des pratiques en matière de cookies qui soient conformes au RGPD et autres dispositions liées n’est pas aisé et peut s’avérer fastidieux. Nous sommes à votre disposition pour répondre à vos questions.