Comment le RGPD impacte-t-il les politiques de cookies ?

Les Cookies ne sont mentionnés qu’une seule fois dans le Règlement Général Européen sur la Protection des Données (RGPD), pourtant les répercussions sont importantes pour les entreprises utilisant les Cookies pour suivre les activités de navigation de ses utilisateurs.

Le Préambule 30 du RGPD indique :

« Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« Cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

En bref : lorsque les Cookies peuvent identifier un individu via l’appareil qu’il utilise, cela est considéré comme étant des données personnelles.

Cela appuie le Préambule 26, qui indique que toute donnée pouvant être utilisée afin d’identifier un individu de manière directe ou indirecte (seul ou avec d’autres information) est considérée comme donnée personnelle.

 

Ce que cela signifie

Tous les Cookies ne sont pas utilisés de manière à identifier les utilisateurs, mais la majorité le sont et sont donc concernés par le RGPD. Cela comprend les cookies utilisés pour les services fonctionnels, publicitaires et d’analyse tels que les études et outils de chat.

Afin de se conformer, les organisations devront soit arrêter de collecter les cookies soit trouver une raison légitime leur permettant de collecter et traiter les données.

La plupart des entreprises utilisent le consentement (implicite ou opt-out), mais les exigences renforcées par le RGPD rendent le consentement bien plus difficile à obtenir de manière légitime. Les conséquences de cette nouvelle règlementation ont été abordées durant la conférence sur la conformité de protection des données et les conclusions ont été décrites par la loi sur les cookies :

  • Le consentement tacite ne suffit plus. Le consentement doit être donné via une action positive claire, telle que : cocher une case d’opt-in, choisir des paramétrages ou des préférences via un menu de configuration. La simple visite d’un site internet ne peut être considérée comme consentement.
  • Pour les mêmes raisons, les messages ‘En utilisant ce site internet, vous acceptez notre politique de cookies’ ne suffisent plus. S’il n’y a pas de vrai, libre choix, le consentement n’est pas valide. Vous devez donner l’option d’accepter ou de rejeter les cookies. Cela signifie que :
  • Il doit être aussi facile de retirer son consentement que de le donner. Si les entreprises souhaitent proposer aux visiteurs ne souhaitant pas donner leur consentement de bloquer les cookies, elles devront alors dans un premier temps les faire accepter les cookies.
  • Les sites internet devront proposer une option d’opt-out. Même après avoir obtenu un consentement valide, les sites internet doivent offrir aux visiteurs l’option de changer d’avis. Si vous obtenez le consentement via des cases d’opt-in dans un menu de paramétrages, les utilisateurs devront toujours avoir la possibilité de retourner à ce menu afin de modifier leurs préférences.

 

Se conformer

Selon la loi sur les cookies, le consentement via soft opt-in est probablement le meilleur model de consentement : « Cela signifie, offrir la possibilité d’agir avant que les cookies soient mis en place dès la première visite. Si un avertissement raisonnable est affiché, alors continuer la navigation peut dans la plupart des cas constituer un consentement valide via action affirmative claire. »

Si vous travaillez sur votre projet de mise en conformité avec le RGPD, il pourrait être intéressant pour vous de vous inscrire à notre formation d’introduction et de spécialisation au Règlement Général Européen sur la Protection des Données (RGPD).

Cette formation vous aide à obtenir une compréhension pratique des outils et méthodes de mise en place et de gestion d’un cadre de conformité efficace. Elle met l’accent sur la façon dont les principes de protection des données fonctionnent ainsi que les politiques et procédures à mettre en place. Elle propose également des conseils pratiques concernant la meilleure méthode de mise en place d’un programme efficace de conformité dans le domaine de la confidentialité et de sécurité de l’information.

En savoir plus sur nos formations d’introduction et de spécialisation au RGPD >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.