Comment le RGPD affecte-t-il les politiques de cookies ?

Les « cookies » ne sont mentionnés qu’une seule fois dans le Règlement Général Européen sur la Protection des Données (RGPD) mais les répercussions sont significatives pour les entreprises qui les utilisent pour surveiller les habitudes de navigations des utilisateurs.

Le considérant 30 du RGPD précise :

« Les personnes physiques peuvent se voir associer […] des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants […]. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Ces informations viennent renforcer le considérant 26, qui indique que toute information pouvant être utilisée pour identifier directement ou indirectement un individu est considérée comme étant une donnée personnelle.

 

Ce que cela signifie

Tous les cookies ne sont pas utilisés de manière à pouvoir identifier les utilisateurs, mais la majorité d’entre eux seront soumis au RGPD. Cela comprend donc les cookies utilisés à des fins analytiques, de publicité et de services fonctionnels tels que les sondages et outils de « Chat » (messagerie instantanée).

Les entreprises devront alors, pour se conformer, arrêter de collecter les « cookies » ou trouver une raison légitime de collecter et traiter ces données. La plupart des entreprises dépendent encore beaucoup du consentement (implicite ou opt-out) bien que le renforcement des exigences par le RGPD signifie que le consentement légitime sera bien plus dur à obtenir.

Les conséquences de cet article ont été abordés pendant la Conférence sur la Conformité de la Protection des Données de 2016 et ses conclusions sont décrites par la loi Cookie :

  • Le consentement implicite n’est plus suffisant. Le consentement doit être donné via une action affirmative claire telle que, cocher une case d’acceptation ou choisir les paramètres ou les préférences via un menu de configuration. La simple visite d’un site ne compte donc pas comme consentement.
  • Les messages tels que « en utilisant ce site, vous acceptez notre politique de cookies », ne suffisent pas non plus et ce pour les mêmes raisons. S’il n’y a pas de prise de décision légitime et libre alors le consentement n’est pas valide. Vous devez offrir la possibilité d’accepter ou non les cookies.
  • Il doit être aussi facile de retirer son consentement que de le donner. Si les entreprises souhaitent demander aux utilisateurs de bloquer les cookies dans le cas où ils ne donneraient pas leur consentement, elles doivent alors leur demander de commencer par accepter les cookies.
  • Les sites doivent fournir une option d’opt-out (désinscription). Après avoir reçu un consentement valide, les sites doivent offrir aux utilisateurs l’option de se désinscrire. Si vous demandez le consentement via des cases à cocher dans un menu de paramétrage, les utilisateurs doivent pouvoir retourner à ce menu afin de modifier leurs préférences.

 

Se conformer

Le consentement via « soft opt-in » est probablement le meilleur modèle de consentement selon la loi Cookie : « Cela signifie, donner l’opportunité d’agir avant que les cookies ne soient réglés lors d’une première visite sur un site. S’il y a un avertissement raisonnable, continuer la navigation peut dans la plupart des cas être considéré comme étant un consentement valide via action affirmative. »

Vous souhaitez gagner en expertise sur le Règlement Général Européen sur la Protection des Données ? Bénéficiez de nos formations certifiées d’introduction et de spécialisation au RGPD.

Ces formations ont pour but de vous aider à acquérir une compréhension pratique des outils et méthode nécessaires à la mise en place et à la gestion d’un cadre de conformité efficace. Elles mettent l’accent sur le fonctionnement pratique des principes de protection des données, les politiques et procédures nécessaires ainsi que la mise en place d’un programme de conformité de la confidentialité et de la sécurité de l’informations.

En savoir plus sur notre formation d’introduction au RGPD

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.