Back to Blog

Belgique – Comment gérer la conformité RGPD de vos cookies ?

Maxime JAILLET

Quelles sont les règles à respecter en Belgique concernant vos cookies ? La conformité RGPD de vos sites web est aujourd’hui un sujet prioritaire pour le régulateur belge. D’autant qu’en complément du cadre légal, l’APD impose quelques spécificités nationales. Au programme : cookies walls, analytics, consentement,transparence. On vous dit tout. C’est notre product news du jour.

Pourquoi gérer la conformité RGPD de vos cookies en Belgique ?

Nous vous avons précédemment expliqué comment l’Autorité de la Protection des Données (APD) a inscrit les cookies dans son plan stratégique 2020-2025 et dans ses thématiques prioritaires de l’année 2020.

Le régulateur belge s’intéresse particulièrement aux sujets techniques.

Par exemple, dans un avis rendu en 2012, l’APD s’inquiétait déjà de technologies de tracing permettant de contourner les règles en matière de cookies !

« "Cookies persistants", "flash cookies", "supercookies"et "evercookies". Les caractéristiques de tels cookies sont inouïes. […] Il s'agit souvent de cookies "third party" faisant l'objet de très peu ou d'aucune information de la part des responsables, et qui requièrent une expertise et un logiciels pécifiques pour les supprimer ».

La politique de l’APD doit donc vous inciter fortement à remettre sur le haut de la pile la gestion de vos cookies :

  • L’autorité de régulation en a fait une de ses thématiques prioritaires de contrôle. Vos non-conformités sont d’autant plus gênantes qu’elles sont faciles à détecter dans le cadre d’un contrôle à distance.
  • L’APD s’est saisie de la question de la conformité du protocole TCF de l’IAB au regard de la réglementation. On attend pour l’instant sa position en la matière.
  • Depuis 2015, l’APD s’intéresse aux boutons et modules sociaux déployés par Facebook. En 2017, elle a d’ailleurs rendu un nouvel avis. Ce sujet majeur l’a conduit à recommander des mesures à Facebook mais aussi aux éditeurs de sites web qui intègrent ces fonctionnalités. Il fait l’objet actuellement d’une question préjudicielle de procédure auprès de la CJUE.

Comment gérer la conformité RGPD de vos cookies en Belgique ?

Comme toute autorité de régulation, l’APD se réfère à la directive ePrivacy et aux lignes directrices fournies par l’EDPB, le contrôleur européen. Mais chaque régulateur en Europe peut avoir ses spécificités. Le régulateur belge a aussi défini sa propre doctrine, notamment sur le recueil du consentement, les cookies d’audience ou les cookies walls.

L’APD favorable au format de la bannière

En pratique, respecter les obligations légales nécessitera d’implémenter un module de gestion sur votre site web.

Vous êtes libre du format que vous affichez sur le site web lorsque l’utilisateur visite votre site pour la première fois. Bandeau, popup...

L’APD est toutefois particulièrementf avorable au format de la bannière. Ainsi, avant de faire un choix, l’utilisateur recevra une information de premier niveau simple et claire :

  • sur les cookies déposés et leurs finalités ;
  • sur la possibilité et la manière de paramétrer des choix d’acceptation ou de refus des cookies.

Le consentement informé, un gage de qualité

Vous intégrerez les obligations légales dans le parcours utilisateur que vous proposez à votre audience. Chaque visiteur doit pouvoir accepter ou refuser en connaissance ce que sont les cookies et de leur impact.

L’APD exige donc qu’avant même de donner son consentement, l’utilisateur ait reçu une information précise sur :

  • le responsable de traitement ;
  • les finalités pour lesquelles des cookies sont utilisées ;
  • les données collectées ;
  • la durée de vie des cookies.

En pratique, il s’agit là d’un deuxième niveau d’information mis à la disposition de vos visiteurs. Ils cliqueront pour cela sur un lien, disponible dès la bannière et sur tout le site, ouvrant une rubrique d’information dédiée.

Le style d’écriture adopté sera clair et lisible. Selon l’APD, cela« implique, notamment, que l’information soit rédigée dans une langue qui est aisément compréhensible pour le « public cible » auquel elle s’adresse ».

Le consentement doit être spécifique et granulaire

Comic Strip "Cookies Ville"

Le RGPD impose qu’un consentement soit spécifique. L’APD considère logiquement :

« le fait d'activer le bouton de participation à un jeu, de confirmer un achat ou d'accepter des conditions générales ne suffit donc pas pour considérer que vous avez valablement donné votre consentement au placement ou à la lecture de cookies ».

Un bandeau vous demandant d’accepter que l’éditeur du site web dépose des cookies est-il valable ? La réponse est négative, le consentement proposé ne peut pas être global. Il doit être granulaire.

Il faut permettre à l’utilisateur d’accepter ou de refuser de grandes familles de cookies (analytics, publicitaires…). Dans un second temps, le module de gestion des cookies peut aussi lui permettre un choix cookies par cookies.

Les cookie walls pas conformes au RGPD

La pratique du paywall peut-elle être étendue aux cookies ?

La réponse de l’APD est claire :

« La mise en place d’un « cookie wall » - qui est une pratique qui consiste à bloquer l’accès à un site web ou à une application  mobile pour qui ne consent pas à l’installation de cookies « non fonctionnels » - n’est pas conforme au RGPD. Cette pratique empêche, en effet, de recueillir votre consentement libre puisque vous êtes obligé de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site web ou à l’application mobile »

Les cookies d’audience soumis au consentement

L’APD estime logiquement que tous les cookies non fonctionnels sont soumis au recueil d’un consentement préalable. Il s’agit là de tous les cookies qui ne sont pas strictement nécessaires au fonctionnement du site et à la délivrance du service.

Qu’en est-il des cookies de mesure d’audience ?

Si la CNIL a défini un régime d’exemption de consentement (sous conditions), tel n’a pas été le choix de l’APD.

« Dans l'état actuel de la législation, il n'y a pas d'exception au consentement pour les "cookies d'analyse de première partie", de sorte qu'un consentement préalable pour le placement de tels cookies est bel et bien requis. »
« La Chambre Contentieuse n'exclut pas que dans certaines conditions, certains cookies statistiques soient bel et bien nécessaires pour fournir un service (par exemple informatif) demandé par la personne concernée, pour détecter par exemple des problèmes de navigation. »

Conclusion : Où en êtes-vous de la conformité RGPD de vos cookies ?

L’autorité de régulation belge s’intéresse activement à la question des cookies. Et plus globalement, à la conformité de vos sites web.

Cet intérêt croissant ne doit pas vous conduire à la panique. Cela montre néanmoins que c’est le moment idéal pour vous d’accélérer sur ce sujet.

Le plus simple sera de vous appuyer sur une solution sur étagère qui embarque l’ensemble des exigences légales.

Le mieux sera de faire appel à une solution vous permettant de transformer une obligation légale en une sollicitation marketing. Et c’est exactement ce qu’Axeptio permet.

Share on social media: 

Ne partez pas si vite ... 

Webinar Spécial "cookies"

Webinar Spécial "cookies" le Mardi 2 mars 2021 - 11h00 Tous les éditeurs cherchent aujourd'hui à mettre en conformité leur site internet avec les nouvelles lois sur les données personnelles. À commencer avec les cookies ...

Lire la suite

Qu’est-ce que la publicité comportementale ?

La publicité comportementale vous amène à collecter et exploiter des données personnelles. Ceci pour identifier les centres d‘intérêts de vos utilisateurs et d’afficher des publicités qui leur correspondent. Vous l’utilisez donc pour améliorer la pertinence de votre ciblage. Elle connaît pourtant une forte effervescence car elle repose sur la technologie des cookies, aujourd’hui remise en cause.

Lire la suite

En 2020, la palme d’or des amendes au RGPD revient à… l’Italie

En 2020, l’Italie est le pays européen qui a prononcé le plus important montant d’amendes liées au RGPD. Un palmarès qui doit beaucoup à une activité intense de l’autorité de protection des données italiennes, le Garante. Le régulateur lutte notamment contre le télémarketing sauvage.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.