L’APD surveille la conformité RGPD de vos cookies - Belgique
Maxime JAILLETConnaissez-vous l’Autorité de Protection des Données (APD) ? Cet organe est chargé de contrôler le respect du RGPD en Belgique. Il exerce ses pouvoirs d’enquêtes sur la base d’un programme d’action sur 5 ans. Et devinez quoi ? En 2020, les cookies sont au menu des priorités. On vous dit tout. C’est notre actualité marché du jour.
Qu’est-ce que l’Autorité de Protection des données (APD) ?
Comme les autres Etats européens, la Belgique s’est dotée d’un régulateur en matière de protection des données personnelles. Appelée initialement Commission de Protection de la Vie Privée, cette autorité est devenue en 2018 l’Autorité de protection des données.
Elle assure plusieurs missions :
- Accompagner les entités responsables de traitement dans leurs démarches d’intégration des exigences du RGPD.
- Traiter les plaintes, diligenter des enquêtes et le cas échéant prononcer des sanctions en cas de violations des obligations légales. En 2018 puis 2019, l’APD intègre en effet de véritables pouvoirs de contrôle qui lui permettront d’assurer l’effectivité de la protection des données personnelles en Belgique.
Pourquoi les enquêtes de l’APD vous feront accélérer sur votre conformité RGPD ?
Le rapport annuel 2019 de l’APD témoigne d’une montée en puissance progressive des actions de l’Autorité. Celle-ci a en effet traité :
- 5168 dossiers d’information ;
- 331 dossiers de médiations.
Dans ce cadre, pourquoi se préoccuper de votre conformité RGPD ?
- Comme dans d’autres pays, les entreprises belges ont pris du retard dans leurs démarches de conformité RGPD. Deux ans après l’entrée en vigueur du Règlement européen, beaucoup reste à faire.
- Désormais, l’obligation de notification à l’autorité des violations de données personnelles s’applique à tous et pas uniquement aux opérateurs. Le bilan montre l’importance de vérifier son niveau de cybersécurité : en 2019, l’APD a reçu pas moins de 869 notifications.
- Tout en continuant d’accompagner les acteurs, l’APD assure l’effectivité des obligations légales. En 2019, elle a ouvert 77 dossiers de contrôle. Entre mai 2019 et mai 2020, 59 sanctions ont été prononcées, dont 9 amendes.
- Les plaintes constituent une source non négligeable de contrôle. Mais l’APD adopte en outre une démarche plus proactive. En veille sur les évolutions et tendances en matière d’exploitation de la donnée, elle initie de plus en plus des contrôles sur de grandes thématiques.
Comme ses homologues européens, l’Autorité de Protection des Données ne favorise pas la répression. l’APD se veut d’abord une autorité d’accompagnement et la sanction, notamment l’amende, est en quelque sorte le dernier recours.
Gare toutefois à la tentation du laxisme :
- Si le montant des amendes s’est souvent limité à quelques milliers d’euros, l’APD améliore régulièrement son record. Dernier exemple en date, une amende de 600 000€ à l’encontre de Google pour non respect du droit à l’oubli.
- Les décisions publiques de l’APD ont une fonction éducative à l’égard du marché. Publier une sanction permet à l’Autorité de Protection des Données d’inciter l’ensemble des entreprises à se mettent en conformité sur un sujet donné.
Comment l’APD s’assure-t-elle de la conformité RGPD des cookies ?
L’Autorité de Protection des Données a notamment publié une FAQ détaillant les obligations qu’elle entend imposer aux éditeurs de sites web.
Le programme d’action de l’APD est déterminé via le plan stratégique 2020-2025. Celui-ci identifie :
- Des secteurs prioritaires : télécommunication et médias ; autorités publiques ; marketing direct ; enseignement ; PME ;
- l’effectivité de certains instruments de protection prioritaires du RGPD : le rôle du DPO ; la légitimité du traitement des données ; les droits du citoyen ;
- des thématiques sociales prioritaires : l’utilisation de photos et caméras ; la protection des données en ligne ; les données sensibles.
Les cookies figurent donc dans ce programme. Au point d’être un thème d’action prioritaire en 2020. Le plan de gestion de l’APD repose en effet sur deux actions majeures :
- une enquête sur la politique de gestion des cookies initiée par les médias les plus populaires en Belgique ;
- des contrôles qui seront initiés après finalisation de l’enquête.
L’APD a-t-elle déjà sanctionné des acteurs pour leurs gestion des cookies ? Oui.
- En 2019, elle inflige une amende de 15 000€ contre le site jubel.be. Cette sanction publique se veut aussi un avertissement lancé à l’ensemble des éditeurs de sites belges dont beaucoup ne respectent pas les règles.
- En 2015, l’ancienne Commission de la vie Privée initie une enquête à l’encontre de Facebook pour ses pratiques de collecte de données via ses modules, des cookies et des pixels. Cette procédure demeure en cours, faisant l’objet d’une question préjudicielle auprès de la CJUE.
- Des investigations sont en cours concernant les enchères en temps réel. En 2020, le service des investigations a finalisé un rapport concluant à la non-conformité du framework TCF proposé par l’IAB.
Comment gérer la conformité RGPD de vos cookies ?
Surtout, pas de panique. L’intérêt croissant de l’APD pour les cookies ne veut pas dire que vous serez forcément contrôlé ni même sanctionné.
Vous devez par contre mettre en place une politique de gestion des cookies sur vos sites.
- Priorisez la mise en conformité RGPD de vos sites web. La gestion des cookies, l’UX design de votre bannière, la revue des formulaires de collecte de données, l’actualisation de la politique de confidentialité ne doivent pas (plus) être négligées.
- Mettez en place une veille, suivez les prises de position et décisions à venir de l’Autorité de Protection des Données. A plus long terme, un règlement européen devrait venir remplacer la directive traitant actuellement de ces questions. Vous devez respecter les exigences d’aujourd’hui et connaître celles de demain.
- Installez une solution de gestion de cookies sur vos sites. Cette solution vous permettra de prendre en charge la collecte et le stockage des consentements et oppositions au dépôt de cookies.
Conclusion : Grâce à l’APD, priorisez la conformité RGPD de vos cookies
Passée une période d’installation, l’Autorité belge de protection des données a clairement endossé son rôle d’autorité de contrôle.
Son programme d’actions prioritaires est clair et les cookies en font partie.
Pour vous, c’est une opportunité réelle de revoir la manière dont vous interagissez avec vos utilisateurs. Leur donner le contrôle sur les cookies est un véritable service. Prêt à basculer dans une approche de marketing choisi ?
Alors n’attendez plus, à vos sites web. Besoin d’aide ? Axeptio peut vous fournir un module efficace et user-friendly.
Ne partez pas si vite
Séisme dans le monde des CMP : le protocole TCF de l’IAB est déclaré illégal !
La décision du 02 février 2022 rendue par l'APD belge est un vrai cataclysme pour l'IAB et le protocole TCF ! Christophe Landat, avocat et DPO d'Axeptio, en présente le contenu.
Mise à jour septembre 2022 : Condamnée par l'Autorité de Protection des Données (CNIL Belge) pour violation du RGPD, notamment à une amende de 250 000€, la division européenne de l’Interactive Advertising Bureau a fait appel de cette décision.
5 conseils pour réussir la mise en conformité RGPD de votre mairie
Maxime JAILLETVotre mairie doit intégrer les exigences du RGPD et de la directive ePrivacy et ce, compte tenu de risques croissants liés à votre activité. Ca vous effraie ? Pas de panique car la tendance est à la mutualisation des ressources : le Data Protection Officer comme les outils IT. Et pour gérer la conformité de votre site web, il suffit de faire comme dans la vraie vie.
Cybersécurité, données de santé et cookies, priorités de la CNIL en 2021
Maxime JAILLETLa CNIL a dévoilé son programme de contrôles pour 2021. Quels seront les thèmes prioritaires ? La sécurité IT des sites web ; le traitement des données de santé (ce qui concernera les acteursdu secteur de la santé mais pas seulement) et les cookies. On vous dit tout.