Belgique – Comment gérer la conformité RGPD de vos cookies ?
Maxime JAILLETQuelles sont les règles à respecter en Belgique concernant vos cookies ? La conformité RGPD de vos sites web est aujourd’hui un sujet prioritaire pour le régulateur belge. D’autant qu’en complément du cadre légal, l’APD impose quelques spécificités nationales. Au programme : cookies walls, analytics, consentement,transparence. On vous dit tout. C’est notre product news du jour.
Pourquoi gérer la conformité RGPD de vos cookies en Belgique ?
Nous vous avons précédemment expliqué comment l’Autorité de la Protection des Données (APD) a inscrit les cookies dans son plan stratégique 2020-2025 et dans ses thématiques prioritaires de l’année 2020.
Le régulateur belge s’intéresse particulièrement aux sujets techniques.
Par exemple, dans un avis rendu en 2012, l’APD s’inquiétait déjà de technologies de tracing permettant de contourner les règles en matière de cookies !
« "Cookies persistants", "flash cookies", "supercookies"et "evercookies". Les caractéristiques de tels cookies sont inouïes. […] Il s'agit souvent de cookies "third party" faisant l'objet de très peu ou d'aucune information de la part des responsables, et qui requièrent une expertise et un logiciels pécifiques pour les supprimer ».
La politique de l’APD doit donc vous inciter fortement à remettre sur le haut de la pile la gestion de vos cookies :
- L’autorité de régulation en a fait une de ses thématiques prioritaires de contrôle. Vos non-conformités sont d’autant plus gênantes qu’elles sont faciles à détecter dans le cadre d’un contrôle à distance.
- L’APD s’est saisie de la question de la conformité du protocole TCF de l’IAB au regard de la réglementation. On attend pour l’instant sa position en la matière.
- Depuis 2015, l’APD s’intéresse aux boutons et modules sociaux déployés par Facebook. En 2017, elle a d’ailleurs rendu un nouvel avis. Ce sujet majeur l’a conduit à recommander des mesures à Facebook mais aussi aux éditeurs de sites web qui intègrent ces fonctionnalités. Il fait l’objet actuellement d’une question préjudicielle de procédure auprès de la CJUE.
Comment gérer la conformité RGPD de vos cookies en Belgique ?
Comme toute autorité de régulation, l’APD se réfère à la directive ePrivacy et aux lignes directrices fournies par l’EDPB, le contrôleur européen. Mais chaque régulateur en Europe peut avoir ses spécificités. Le régulateur belge a aussi défini sa propre doctrine, notamment sur le recueil du consentement, les cookies d’audience ou les cookies walls.
L’APD favorable au format de la bannière
En pratique, respecter les obligations légales nécessitera d’implémenter un module de gestion sur votre site web.
Vous êtes libre du format que vous affichez sur le site web lorsque l’utilisateur visite votre site pour la première fois. Bandeau, popup...
L’APD est toutefois particulièrementf avorable au format de la bannière. Ainsi, avant de faire un choix, l’utilisateur recevra une information de premier niveau simple et claire :
- sur les cookies déposés et leurs finalités ;
- sur la possibilité et la manière de paramétrer des choix d’acceptation ou de refus des cookies.
Le consentement informé, un gage de qualité
Vous intégrerez les obligations légales dans le parcours utilisateur que vous proposez à votre audience. Chaque visiteur doit pouvoir accepter ou refuser en connaissance ce que sont les cookies et de leur impact.
L’APD exige donc qu’avant même de donner son consentement, l’utilisateur ait reçu une information précise sur :
- le responsable de traitement ;
- les finalités pour lesquelles des cookies sont utilisées ;
- les données collectées ;
- la durée de vie des cookies.
En pratique, il s’agit là d’un deuxième niveau d’information mis à la disposition de vos visiteurs. Ils cliqueront pour cela sur un lien, disponible dès la bannière et sur tout le site, ouvrant une rubrique d’information dédiée.
Le style d’écriture adopté sera clair et lisible. Selon l’APD, cela« implique, notamment, que l’information soit rédigée dans une langue qui est aisément compréhensible pour le « public cible » auquel elle s’adresse ».
Le consentement doit être spécifique et granulaire
Le RGPD impose qu’un consentement soit spécifique. L’APD considère logiquement :
« le fait d'activer le bouton de participation à un jeu, de confirmer un achat ou d'accepter des conditions générales ne suffit donc pas pour considérer que vous avez valablement donné votre consentement au placement ou à la lecture de cookies ».
Un bandeau vous demandant d’accepter que l’éditeur du site web dépose des cookies est-il valable ? La réponse est négative, le consentement proposé ne peut pas être global. Il doit être granulaire.
Il faut permettre à l’utilisateur d’accepter ou de refuser de grandes familles de cookies (analytics, publicitaires…). Dans un second temps, le module de gestion des cookies peut aussi lui permettre un choix cookies par cookies.
Les cookie walls pas conformes au RGPD
La pratique du paywall peut-elle être étendue aux cookies ?
La réponse de l’APD est claire :
« La mise en place d’un « cookie wall » - qui est une pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à l’installation de cookies « non fonctionnels » - n’est pas conforme au RGPD. Cette pratique empêche, en effet, de recueillir votre consentement libre puisque vous êtes obligé de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site web ou à l’application mobile »
Les cookies d’audience soumis au consentement
L’APD estime logiquement que tous les cookies non fonctionnels sont soumis au recueil d’un consentement préalable. Il s’agit là de tous les cookies qui ne sont pas strictement nécessaires au fonctionnement du site et à la délivrance du service.
Qu’en est-il des cookies de mesure d’audience ?
Si la CNIL a défini un régime d’exemption de consentement (sous conditions), tel n’a pas été le choix de l’APD.
« Dans l'état actuel de la législation, il n'y a pas d'exception au consentement pour les "cookies d'analyse de première partie", de sorte qu'un consentement préalable pour le placement de tels cookies est bel et bien requis. »
« La Chambre Contentieuse n'exclut pas que dans certaines conditions, certains cookies statistiques soient bel et bien nécessaires pour fournir un service (par exemple informatif) demandé par la personne concernée, pour détecter par exemple des problèmes de navigation. »
Conclusion : Où en êtes-vous de la conformité RGPD de vos cookies ?
L’autorité de régulation belge s’intéresse activement à la question des cookies. Et plus globalement, à la conformité de vos sites web.
Cet intérêt croissant ne doit pas vous conduire à la panique. Cela montre néanmoins que c’est le moment idéal pour vous d’accélérer sur ce sujet.
Le plus simple sera de vous appuyer sur une solution sur étagère qui embarque l’ensemble des exigences légales.
Le mieux sera de faire appel à une solution vous permettant de transformer une obligation légale en une sollicitation marketing. Et c’est exactement ce qu’Axeptio permet.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.