Vous êtes ici : Accueil / Quoi de neuf ? / Actualités / Les cookies brûlent-ils ?

Les cookies brûlent-ils ?

Illustration de l'actualité - cliquer pour agrandir
Êtes-vous à jour sur les cookies ?  Laura Cerrato, DPO du Centre Informatique pour la Région bruxelloise, vous donne quelques conseils.

Le cadre légal

L’industrie des cookies est régulé. Cookies ? Les cookies (et autres traceurs) qui analysent le comportement des usagers de sites web et autres mobiles app. Ils existent sous différents parfums : cookies de tiers, cookie fonctionnels, cookies dits analytics, …. Les cookies de tiers sont dans le collimateur.

Le cadre légal est :

  • La Directive européenne ePrivacy (en passe de devenir un Règlement) transposé dans le code belge en 2012 qui exige le consentement absolu des personnes concernées avant téléchargement de traceurs ;
  • Le Règlement Européen sur la Protection des données (RGPD) qui exige que tout traitement de données personnelles identifiant directement ou indirectement une personne concernée ait une base légale (ex : le consentement explicite et spécifique) sans quoi aucun traitement ne peut avoir lieu.

Une situation brulante

Qui n’a pas entendu parler de l’affaire « Planet49 »? En 2020, la Cour de Justice de l'Union Européenne (CJUE) a rendu un arrêt définitif dans ce dossier référencé C-673/17. L’arrêt statue essentiellement qu’il est interdit de pré-cocher des cases sur un cookies banner, considérant qu'un consentement valable ne pouvait être basé que sur une action positive et affirmative de l'utilisateur. Cette décision a eu un effet domino sur l'ensemble du secteur de la publicité, ce qui a conduit l’Advertising Bureau Europe (IAB Europe) à mettre à jour son cadre de transparence et de consentement (TCF) à l’époque.

Et le 2 février 2021, l’Autorité de Protection des Données belge (APD) a jugé la framework « Transparency & Consent Framework  (TCF) » du même IAB non-conforme au RGPD et une amende de 250.000€ a été donnée.

Depuis 2021, NOYB – None of Your Business - l’ONG de Max Schrems qui a réussi à faire invalider le Privacy Shield, cible les sites web européens et la conformité des cookies banners. NOYB a lancé son offensive en vertu de l’article 80.1 du RGPD. Son mode opératoire : L’organisation NOYB envoie des projets de plaintes auprès de responsables de sites web identifiés comme étant non-conformes, en les enjoignant à se mettre en conformité avec la législation en matière de cookies. Sans réponse de leur part, l’association transmettra ces plaintes aux autorités de protection des données concernées. 

Et puis tout récemment, l’Autorité de protection autrichienne juge que Google Analytics viole le Chapitre V du RGPD concernant les transferts internationaux. Expliquer en détails les facteurs de non-conformités serait trop long. Votre DPO est là pour vous assister.

Que faire face à ce feu ?

  • Vérifier que votre banner cookies soit techniquement conformes aux normes légales (référez-vous à votre web développer) : 
    • Aucun cookie ne peut être téléchargé sans une action du visiteur du site ;
    • Le visiteur ne peut être empêché de poursuivre sa navigation même s’il refuse les cookies, voir même ne réagit pas au cookie banner. Il n’existe pas de consentement implicite !
  • Vérifier que votre politique vie privée ou page web cookies dédiée soit la plus transparente possible et inclure les informations collectées par les cookies installés, la base légale associée … ainsi que les transferts internationaux opérés (le cas échéant) avec les risques associés (art. 49 RGPD). Votre Délégué à la Protection (DPO) pourra vous assister dans cette mise en conformité.
  • Si vous recevez un email de l’organisation NYOB, vous aurez 1 mois pour vous conformer sans cela une plainte sera introduite à l’encontre de votre organisation.

Avec ou sans Google ?

Le jugement autrichien se limite au territoire autrichien. La décision n’empêche donc dès lors pas l’exploitation de Google Analytics dans d’autres pays.
Toutefois, les différentes APD font une interprétation uniforme du Règlement Européen. Par conséquent, elles prendront une position similaire. Il ne faut pas oublier qu’un visiteur autrichien peut porter plainte auprès de sa propre APD au sujet de votre site web.

S’il est décidé de poursuivre avec Google Analytics et afin d’améliorer votre conformité (qui reste non-garantie) en tant que Responsable de traitements :

  1. activer la fonction "anonymisation IP" de Google Analytics ;
  2. demander le consentement spécifique pour l'utilisation de Google Analytics et les transferts internationaux de données associés (vers les États-Unis) dans la bannière de cookies ;
  3. réaliser et documenter une évaluation appropriée de l'impact des transferts concernant (TIA – suivant les recommandations de l’EPBD 01/2020) l'utilisation de Google Analytics ;
  4. désactiver Google Analytics pour les utilisateurs autrichiens et suivre de près l'évolution de la situation dans les autres États membres de l'UE.

Il existe également des alternatives à Google. Pour ne citer qu’un exemple parmi d’autres : Matomo.

Pour conclure

En plus des obligations légales, les cookies posent un débat de fonds : le respect des articles 7 « Respect de la vie privée et familiale» et 8 « Protection des données à caractère personnel ». Le secteur public doit garantir ces droits. Le caractère éthique posé par ces droits fondamentaux doit également faire partie du processus de décision. N’étant pas des droits absolus, une mise en balance doit être faite par le Responsable de traitement.

À une personne concernée qui déposera une requête en vertu du RGPD/e-Privacy pour cette question de cookies, qu’allez-vous répondre ? En l’absence d’une réponse conforme, la personne pourra porter plainte auprès de l’APD. La facilité d’emploi ou la gratuité d’un outil, l’absence de base légale au traitement ou l’intérêt légitime … ne seront pas les bons arguments à fournir.