Ces 6 Etats ont changé leurs règles sur les cookies en 2021
Maxime JAILLETL’entrée en vigueur du RGPD amène chaque Etat à revoir ses propres règles. Après la France, l’Espagne, les autres suivent. Italie, Finlande, Luxembourg, Allemagne et même Royaume-Uni font évoluer leurs guidelines ou revoient leurs lois. Si toutes ces décisions convergent progressivement vers une interprétation commune, chacune peut avoir quelques spécificités. Pour vous, ces décisions sont aussi l’occasion de collecter un benchmark de bonnes pratiques. On vous en parle. C’est notre actualité du jour.
Italie – La recette des cookies s’applique bientôt !
Si vous visez le marché italien, vous êtes certainement en train de vous occuper de ce sujet.
Après une consultation publique de six mois, le Garante (le régulateur italien des données) a publié ses lignes directrices, dépoussiérant ainsi un texte vieux de 2014.
La nouvelle mouture est mise en cohérence avec :
- les apports du RGPD pour ce qui est des conditions dans lesquelles recueillir le consentement ;
- les lignes directrices de l’EDPB.
Peu de nouveautés, l’autorité italienne est globalement en phase avec ses homologues. L’UI de la bannière de contenus diffère peut-être un peu, le régulateur étant plus pointilleux sur le contenu du message à faire apparaître.
Néanmoins, si vous vous intéressez au marché italien, vous aurez jusqu’au 09 janvier 2022 pour appliquer les règles.
Finlande – Les régulateurs se mettent d’accord sur les cookies
La saga touche maintenant à sa fin. Et quelle saga !
En mai 2020, le régulateur des données en Finlande, l’Ombudsman, a publié une décision et ordonné à une société de modifier la façon dont elle recueillait le consentement de ses utilisateurs.
Cette décision contredisait radicalement les guidelines précédemment publiées par l’Agence de contrôle du transport et des communications (Traficom).
La question était surtout de savoir si le consentement peut ou non s’exprimer au travers du paramétrage du navigateur, ce que l’Ombudsman a rejeté en s’appuyant sur la position du régulateur européen.
En 2021, la Cour administrative finlandaise a finalement réglé la question en considérant que les conditions de recueil du consentement devaient s’apprécier au regard des standards du RGPD. Traficom a donc dû revoir sa copie.
Après d’importants échanges entre les deux autorités, Traficom a annoncé en septembre dernier l’actualisation de ses guidelines.
Luxembourg – Après l’affaire « Amazon », les nouvelles guidelines sur les cookies
L’année a été chargée en actualités pour le régulateur du Grand duché du Luxembourg.
En juillet dernier, la CNPD a en effet rendu une décision non publique de sanction à l’encontre du géant américain Amazon. Si la Commission reste plutôt discrète sur son site, il est tout de même question d’une amende record de 746 millions d’euros dont Amazon entend par ailleurs faire appel.
Si la CNPD avait jusqu’ici souhaité être plus dans une optique d’accompagnement des entreprises que de répression, cette décision change quelque peu la donne.
En octobre dernier, le régulateur a également publié de nouvelles lignes directrices sur les cookies. Ces guidelines sont intéressantes notamment :
- parce que la Commission s’est penchée sur le recours à des dark patterns ;
- car on y trouve des exemples concrets de bonnes pratiques.
Portugal – Bientôt des lignes directrices ?
Contrairement à d’autres Etats, le Portugal n’a jamais élaboré ses propres lignes directrices sur les cookies.
Avec l’entrée en vigueur du RGPD, les questions n’ont néanmoins pas tardé à arriver.
Aussi, en juin 2021, la Comissão Nacional de Proteção de Dados (CNPD) a annoncé sur son site que la création de lignes directrices figurerait dans le plan d’action 2021.
Affaire à suivre.
L’Allemagne modifie sa loi sur les cookies
Au niveau européen, le sujet des cookies n’est pas réglementé par un règlement mais par une directive. Cela change tout puisque chaque Etat Membre doit la transposer dans sa législation nationale.
L’Allemagne a récemment fait ce travail. Au mois de mai 2021, le Parlement allemand a en effet adopté une loi TTDSG (Telekommunikation-Telemedien-Datenschutzgesetz). Cette loir églemente divers sujets et notamment celui des cookies et autres traceurs.
Le texte adopté entre en vigueur en ce mois de décembre…
Royaume-Uni – Bientôt de nouvelles règles sur les cookies ?
Le Brexit a décidément changé bien des choses au Royaume-Uni.
Quoique n’y étant pas tenu, le régulateur britannique (ICO) envisageait initialement de conserver des standards équivalents aux normes européennes.
Du reste, la sortie de l’Union Européenne n’a pas empêché le Royaume-Uni de prolonger l’application du RGPD sur le territoire pendant plusieurs mois.
Mais depuis, le Gouvernement a annoncé son intention de réformer la protection des données sur le sol britannique… dans un sens assez différent de celui imposé par le RGPD. Ce projet a d’ailleurs fait l’objet d’une consultation publique.
On attend donc d’en savoir plus sur l’évolution de la réglementation britannique qui affectera aussi le sort réservé aux cookies.
Du point de vue européen, cette évolution de la loi impactera aussi sensiblement la manière dont on pourra continuer de transférer des données personnelles vers le Royaume-Uni.
Europe – Pas encore de règlement mais une task force cookies
La directive ePrivacy a vocation à disparaître… mais quand ? L’adoption d’un règlement ePrivacy se fait toujours attendre à ce stade.
L’actualité, ce n’est donc pas du côté de la loi mais plutôt du régulateur.
Suite au dépôt de plus de 500 plaintes par l’association Noyb auprès des régulateurs nationaux, l’EDPB a annoncé le lancement d’une task force pour coordonner leur traitement.
Cette démarche devrait donc participer à construire une interprétation commune des règles sur les cookies en Europe.
Conclusion : Prêt à respecter les nouvelles règles en Europe ?
Depuis l’entrée en vigueur du RGPD en 2018, chaque Etat Membre se met progressivement au diapason. Soit pour se doter de règles nationales soit pour actualiser les guidelines existantes.
Faute de règles standards, si vous ciblez plusieurs marchés, vous devez donc rester au fait de ces évolutions et prendre en compte les spécificités que chaque Etat peut avoir.
Il est par conséquent essentiel de vous appuyer sur une Consent Management Platform conçue à partir de standards d’exigence élevés qui pourront ensuite être adaptés aux spécificités de chaque Etat.
Ainsi, si la solution d’Axeptio plaît beaucoup en France, elle s’exporte également ailleurs dans le monde : en Belgique, en Pologne, enAllemagne…
On s’en parle ?
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.