Mise à jour en mai 2020 : le Comité européen de la protection des données (CEPD) a mis à jour ses lignes directrices en ce qui concerne les mécanismes de recueil de consentement recommandés. Pour en savoir plus, cliquez ici.
Quand on pense au droit des données et aux législations en matière de protection de la vie privée, on pense souvent aux cookies puisqu’ils se rapportent directement à ces deux sujets. On pense donc souvent à tort que la Loi cookies (la Directive ePrivacy) a été abrogée par le Règlement général sur la protection des données (RGPD), alors que ce n’est pas le cas. Au contraire, vous pouvez considérer que la Directive ePrivacy et le RGPD s’appliquent conjointement et se complètent.
La Directive ePrivacy 2002/58/CE (également appelée Loi cookies) a été promulguée afin de mettre en place des lignes directrices sur la protection de la vie privée électronique, y compris en matière de marketing par e-mail et d’utilisation des cookies. Elle est toujours en vigueur à ce jour. Comme nous l’avons mentionné plus haut, le RGPD n’a pas abrogé la Directive ePrivacy ; vous pouvez considérer qu’elle le « complète ».
À proprement parler, lorsque vous utilisez des cookies, vous devez vous mettre en conformité avec la Loi cookies avant de vous intéresser au RGPD. La Loi cookies est en effet une « loi spéciale » dans le jargon juridique, ce qui signifie qu’elle prévaut sur le RGPD.
De façon générale, les directives définissent des objectifs et des lignes directrices que les États membres sont alors tenus de transposer en droit national. À la différence des directives, les règlements sont des actes législatifs contraignants dans tous les États membres dès leur entrée en vigueur. Les règlements sont mis en application conformément aux règles établies dans l’ensemble de l’UE.
💡 Pour en savoir plus sur les règles de l’UE en matière de consentement aux cookies qui s’appliquent dans chaque pays, consultez notre Aide-mémoire sur le consentement aux cookies.
Cela dit, la Directive ePrivacy sera bientôt abrogée par le Règlement ePrivacy. Le Règlement ePrivacy devrait être finalisé prochainement. Il s’appliquera en plus du RGPD pour réguler l’utilisation des cookies, les communications électroniques ainsi que la protection des données et de la vie privée.
En réalité, la Loi cookies ne s’applique pas seulement aux cookies, mais plus largement à tout autre type de technologie qui dépose ou consulte des informations sur l’appareil d’un utilisateur (p.ex. pixel espion, empreinte d’appareil ou identifiant unique). Pour faire simple, toutes ces technologies, dont les cookies, sont couramment appelées traqueurs*.
De plus, la Loi cookies est en quelque sorte « neutre sur le plan technologique », ce qui signifie qu’elle s’applique non seulement aux sites Web et aux navigateurs, mais aussi à d’autres technologies, comme les applications pour smartphones, tablettes, télévisions connectées et autres appareils.
*Toutefois, dans ce guide, les termes « cookie » et « traqueur » sont utilisés de façon interchangeable.
La Loi cookies exige d’obtenir le consentement éclairé d’un utilisateur avant de déposer ou de consulter des informations sur son appareil.
Cela signifie que, lorsque vous utilisez des cookies, vous devez :
En pratique, vous devrez afficher un bandeau cookies (également appelé notification de cookie) lors de la première visite d’un utilisateur, mettre en œuvre une politique relative aux cookies et permettre à l’utilisateur de donner son consentement, excepté lorsque votre site Web n’utilise que des cookies exemptés, ce qui est peu probable. Vous ne devez installer aucun cookie (à l’exception des cookies exemptés) avant d’avoir obtenu le consentement de l’utilisateur.
Vous devrez afficher un bandeau cookies lors de la première visite d’un utilisateur, mettre en œuvre une politique relative aux cookies et permettre à l’utilisateur de donner son consentement. Vous ne devez installer aucun cookie (à l’exception des cookies exemptés) avant d’avoir obtenu le consentement de l’utilisateur
Le bandeau cookies doit :
Gardez à l’esprit que les exigences élémentaires mentionnées ci-dessus représentent le minimum exigé. Les exigences relatives au contenu du bandeau cookies peuvent varier d’un pays à l’autre en fonction du point de vue de chaque APD.
La politique relative aux cookies doit :
Les cookies de première partie sont ceux que vous gérez directement, en tant que propriétaire du site ou de l’application, tandis que les cookies tiers sont gérés par des tiers aux fins des services qu’ils fournissent. Les cookies tiers sont généralement présents lorsque votre site ou application utilise des services tiers, par exemple pour intégrer des images, des modules de médias sociaux ou de la publicité.
Conformément aux principes généraux de la législation en matière de protection de la vie privée, qui interdisent tout traitement préalable au consentement, la Loi cookies interdit le dépôt d’informations ou la consultation d’informations déposées sur les appareils de l’utilisateur tant que ce dernier n’a pas donné son consentement. En pratique, vous devrez peut-être mettre en place un script pour bloquer les cookies jusqu’à l’obtention du consentement de l’utilisateur.
Le consentement aux cookies doit être donné librement, spécifique, éclairé et explicite, ce qui signifie qu’il doit être indiqué par un acte positif (d’acceptation) clair. Par conséquent, lorsque vous utilisez par exemple des cases à cocher, celles-ci ne doivent pas être pré-cochées.
D’après le document du Groupe de travail sur la Loi cookies :
Pour faire en sorte qu’un mécanisme de consentement de cookies satisfasse aux conditions posées dans chaque État membre, ce mécanisme devrait présenter chacune des principales caractéristiques suivantes : informations spécifiques, consentement préalable, manifestation de volonté exprimée par le comportement actif de l’utilisateur et capacité de choisir librement.
De nombreuses autorités de protection des données de l’UE ont publié des guides sur les cookies et les technologies similaires qui contiennent des conseils et des recommandations quant aux méthodes valables d’obtention du consentement.
Par ailleurs, l’APD italienne a récemment mis à jour ses lignes directrices relatives à l’utilisation de cookies et autres traqueurs. Celles-ci ont été adoptées en juin 2021. Pour en lire un résumé, cliquez ici.
Le Comité européen de la protection des données (CEPD) a mis à jour ses lignes directrices sur le consentement : Lignes directrices 05/2020 sur le consentement au sens du Règlement 2016/679. Cette mise à jour est importante, car elle vise à éliminer toute ambiguïté quant à sa position officielle sur plusieurs aspects de l’utilisation des cookies. Surtout, ces lignes directrices interdisent clairement les murs de traqueurs (« cookie walls ») et indiquent que le CEPD ne considère pas le défilement de la page ou la poursuite de la navigation comme un mécanisme de consentement valable.
💡 Pour en savoir plus sur les règles de l’UE en matière de consentement aux cookies qui s’appliquent dans chaque pays, consultez notre Aide-mémoire sur le consentement aux cookies.
Par ailleurs, la loi impose de « donner la possibilité » aux utilisateurs de refuser leur consentement ou de retirer ce dernier une fois qu’ils l’ont donné. Le document du Groupe de travail développe ce point en indiquant que vous devez fournir aux utilisateurs, à l’égard du retrait ou refus de consentement :
Vous n’êtes pas forcément tenu d’héberger directement ce moyen ou mécanisme. Dans certains cas, en vertu de la loi de certains États membres, les paramètres du navigateur sont considérés comme un moyen acceptable de retirer son consentement.
Les mécanismes de recueil de consentement considérés comme valables peuvent varier d’un État membre à un autre
En général, la directive ne vous impose pas spécifiquement de lister les cookies un par un. À la place, vous êtes explicitement tenu d’en indiquer clairement le type, la finalité et, s’agissant de cookies tiers, le tiers qui les gère (en incluant un lien vers sa politique de confidentialité ou de cookies).
Cette décision n’a certainement pas été prise par hasard, car demander de lister les cookies un par un imposerait aux propriétaires de sites Web et d’applications de surveiller constamment le moindre cookie tiers afin d’identifier des changements qui échappent à leur contrôle ; cette obligation serait fort déraisonnable, inefficace et probablement inutile pour les utilisateurs.
Pour aller plus loin, voici un extrait du Guide de l’ICO consacré aux cookies (l’ICO étant l’APD du Royaume-Uni) :
Il serait possible de lister tous les cookies utilisés, mais pour la plupart des utilisateurs, une explication plus générale du fonctionnement des cookies et des catégories de cookies utilisés sera la bienvenue. Une description des types de finalités des cookies d’analyse utilisés sur le site aura plus de chances de satisfaire les exigences qu’une simple liste exhaustive des cookies utilisés accompagnée de références élémentaires à leur fonction.
Un sentiment que partage l’autorité italienne de protection des données (la Garante Privacy) qui indique explicitement :
Il semblerait impossible d’imposer à un éditeur de fournir des informations sur les cookies installés par des « tiers » sur son propre site et d’obtenir le consentement à l’installation de ces cookies, et ce, pour plusieurs raisons.
En premier lieu, cela demanderait à un éditeur de disposer des outils et des compétences juridiques et commerciales nécessaires pour assumer lui-même les obligations de tiers. Ainsi, l’éditeur serait tenu de vérifier régulièrement que les déclarations des tiers correspondent aux finalités réellement visées par le biais des cookies. Il s’agirait d’une tâche très ardue, car un éditeur n’a souvent aucun contact direct avec l’ensemble des tiers qui installent des cookies par le biais de son site Web et connaît rarement la logique sous-jacente de chaque traitement.
Par ailleurs, il n’est pas rare que des preneurs de licence s’interposent entre l’éditeur et ces tiers, s bien qu’en fin de compte, l’éditeur aurait de grandes difficultés à suivre toutes les activités de l’ensemble des parties prenantes.
En second lieu, les tiers peuvent modifier leurs cookies au fil du temps, et il serait irréaliste d’imposer aux éditeurs de suivre également ces modifications ultérieures.
De plus, il ne faut pas oublier que les éditeurs – une catégorie qui inclut des personnes physiques et des PME – sont souvent la partie « faible » dans ce cadre. À l’inverse, les tiers sont habituellement de grandes sociétés au poids économique important qui travaillent en règle générale avec plusieurs éditeurs, si bien qu’un éditeur a souvent affaire à un nombre de tiers considérable.
Pour toutes les raisons mentionnées ci-dessus, cette APD estime que les éditeurs ne devraient pas être tenus d’inclure, sur la page d’accueil de leur site Web, de déclaration relative aux cookies installés par des tiers par le biais du site Web concerné.
Pour en savoir plus à ce sujet, cliquez ici.
D’après la loi, le consentement recueilli doit être donné librement par l’utilisateur pour être jugé valable. Le recours à des méthodes coercitives pour obtenir le consentement peut invalider ce dernier. La loi fait quelques concessions (dans la limite du raisonnable) dans les cas où le consentement ou l’absence de ce dernier affecte directement la capacité réelle d’un site à fournir certains services.
D’après le document du Groupe de travail :
Les sites Web ne devraient pas subordonner « l’accès général » au site à l’acceptation de l’ensemble des cookies et ne peuvent limiter que certains contenus lorsque l’utilisateur ne consent pas aux cookies.
Par conséquent, bien que certains contenus (dans la limite du raisonnable et pour des motifs légitimes) puissent être limités en fonction des préférences en matière de cookies, vous ne devez ni empêcher les utilisateurs d’accéder à l’ensemble de votre site lorsqu’ils ne donnent pas leur consentement ni les forcer à le donner.
À cet égard, gardez à l’esprit que dans leurs lignes directrices et recommandations, le CEPD et plusieurs APD de l’UE interdisent explicitement l’utilisation des murs de traqueurs (« cookie walls ») sur la base d’une approche « à prendre ou à laisser » qui impose aux utilisateurs de donner leur consentement pour accéder au contenu d’un service en ligne. Les murs de traqueurs ne sont pas considérés comme un moyen valable d’obtenir le consentement de l’utilisateur, puisque ce dernier n’a pas réellement le choix.
Update L’APD italienne (Garante Privacy) a déclaré dans ses dernières lignes directrices sur les cookies et autres outils de suivi qu’elle interdit actuellement l’utilisation des murs de traqueurs sauf si le site web offre à l’utilisateur une alternative équivalente permettant d’accéder au contenu ou aux services sans donner un consentement aux cookies ou autres mécanismes de suivi, ce qui devra être évalué au cas par cas.
Nous suivons les évolutions à ce sujet depuis que le Garante a publié un communiqué de presse pour annoncer qu’une analyse de cette solution – qui a d’ailleurs été mise en place par certains éditeurs italiens – est en cours.
iubenda, comme toujours, surveillera de près cette affaire et vous tiendra informé de potentiels futurs jugements.
La Loi cookies prévoit deux exemptions de l’exigence de consentement, à savoir :
Exemple : vous utilisez un cookie d’équilibrage des charges pour distribuer le trafic du réseau sur différents serveurs. Ce cookie a pour seule finalité l’identification de l’un des serveurs (soit un point terminal de communication) et, en tant que tel, bénéficie de l’exemption de communication.
Exemple : votre site e-commerce utilise un cookie de session qui permet à ses utilisateurs de « conserver » des articles dans leur panier tant qu’ils utilisent le site ou pendant la durée d’une session. Dans ce scénario, le cookie est nécessaire au fonctionnement du service d’achat explicitement demandé par l’utilisateur lorsqu’il indique qu’il souhaite ajouter l’article à son panier. De la même façon, les cookies utilisés pour retenir les préférences linguistiques d’un utilisateur peuvent bénéficier de l’exemption de stricte nécessité.
Il est essentiel de comprendre que lorsque ces exceptions à l’exigence de consentement s’appliquent, vous devez tout de même informer l’utilisateur de votre utilisation de cookies et de technologies similaires par le biais d’une politique relative aux cookies. Le bandeau cookies n’est pas forcément obligatoire dans ces cas précis, à condition que la politique relative aux cookies soit facile d’accès et visible depuis chaque page du site.
Les cookies et autres traqueurs utilisés à des fins d’analyse sont-ils susceptibles de bénéficier d’une exemption ?
Il est impossible de répondre à cette question de façon catégorique. En effet, les autorités de protection des données de l’UE ont des points de vue différents en la matière. Par exemple, d’après les lignes directrices de l’ICO du Royaume-Uni, les cookies d’analyse ne bénéficient pas de l’exemption de stricte nécessité et requièrent donc toujours le consentement de l’utilisateur. Les APD belge et irlandaise ont des points de vue similaires. À l’inverse, les APD française, allemande, néerlandaise et italienne estiment que les cookies d’analyse peuvent bénéficier de l’exemption de stricte nécessité dans des situations précises (p.ex. lorsqu’il s’agit de cookies de première partie, que les données sont anonymisées en cas de refus ou de retrait du consentement et que le suivi sur plusieurs domaines n’est pas activé). En conclusion, vous devriez vérifier avec le plus grand soin quelles règles s’appliquent aux cookies d’analyse dans votre pays de référence.
Après avoir affiché le bandeau cookies lors de la première visite d’un utilisateur, vous n’avez pas à l’afficher de nouveau à chaque visite ultérieure de cet utilisateur. Toutefois, il est préférable de donner aux utilisateurs la possibilité de faire réapparaître la bannière ultérieurement, au cas où ils auraient besoin de modifier leurs préférences.
Si l’utilisateur n’a pas donné son consentement, ou a donné son consentement seulement à l’utilisation de certains cookies, le bandeau ne doit pas être présenté à nouveau, sauf dans les cas spécifiques suivants :
Il existe un certain nombre de raisons pour lesquelles vous devriez donner la possibilité à vos utilisateurs de retirer leur consentement. Certaines autorités de protection des données exigent que les utilisateurs aient facilement accès aux préférences qu’ils ont exprimées et puissent les modifier. Par exemple, l’APD italienne (le « Garante ») suggère d’afficher une icône constamment visible lors de la navigation et qui récapitule les choix exprimés par l’utilisateur. Pour en savoir plus et comprendre les exigences d’autres APD à ce sujet, consultez notre Aide-mémoire sur la conformité RGPD du consentement aux cookies. Il est bon de mentionner que ceci est également un point fondamental pour les ONG sur la protection de la vie privée comme Noyb, qui requiert la possibilité pour les utilisateurs de retirer leur consentement.
Assurez-vous de bien donner la possibilité à vos utilisateurs de rouvrir votre bandeau cookies. Pour ce faire, activez le widget de confidentialité dans l’outil Privacy Controls and Cookie Solution.
Gardez également à l’esprit que de nombreuses raisons et situations peuvent nécessiter une nouvelle demande du consentement des visiteurs et, par conséquent, un nouvel affichage du bandeau cookies.
Prenons pour exemple l’utilisation d’un nouveau cookie tiers qui ne bénéficie d’aucune exemption. Dans cette situation, vous devez obtenir un nouveau consentement, car le consentement déjà donné par l’utilisateur n’est valable que pour les tiers que vous aviez déclarés au moment du recueil du consentement précédent.
Pour vous aider à satisfaire cette exigence, nous vous permettons de renouveler facilement le recueil de consentement à chaque mise à jour de votre politique relative aux cookies.
Veuillez noter que certaines APD de l’UE ont précisé quelle période de validité du consentement aux cookies peut être considérée comme raisonnable. Par exemple, d’après l’APD française, une période de six mois est considérée comme raisonnable. Notre produit Privacy Controls and Cookie Solution vous permet de définir facilement cette période. Pour en savoir plus sur les périodes de validité du consentement aux cookies, consultez notre Aide-mémoire sur le consentement aux cookies.
Bien que la Loi cookies n’exige pas explicitement la tenue d’un registre des consentements (seulement la conservation de preuves), dans la plupart des cas, les cookies traitent des données personnelles, de sorte que les exigences de tenue de registre prévues par le RGPD peuvent s’appliquer. De nombreuses autorités de protection des données à travers l’UE ont donc aligné leurs règles en matière de cookies et traqueurs sur les exigences du RGPD.
Le Registre des Préférences Cookies et Consentements est désormais disponible dans Privacy Controls and Cookie Solution. Activez cette fonctionnalité d’un simple clic pour conserver et gérer facilement les preuves du consentement de vos utilisateurs exigées par le RGPD.
Notre solution complète de gestion des cookies simplifie la mise en conformité avec les dispositions de la Loi cookies de l’UE. En tant que plateforme de gestion du consentement (CMP) validée par l’IAB, notre produit Privacy Controls and Cookie Solution vous permet de respecter les normes du secteur et de transmettre les préférences en matière de consentement aux annonceurs en toute conformité.
Elle vous permet de :
Privacy Controls and Cookie Solution fournit aux utilisateurs des informations adéquates sur :
Notre solution permet d’obtenir un consentement actif par le biais :
Elle vous propose des options supplémentaires pour :
