Le guide unique des directives de l'UE en matière de cookies
Les cookies et technologies de suivi similaires (cookies) sont des outils permettant de collecter des données sur les internautes à des fins diverses, notamment de remarketing et de mesure d'audience. Lisez tout sur les directives relatives aux cookies ici.
Les cookies et technologies de suivi similaires (cookies) sont des outils permettant de collecter des données sur les internautes à des fins diverses, notamment de remarketing et de mesure d'audience. L'augmentation de la dépendance aux cookies de suivi placés par les sites Web sur les appareils de leurs visiteurs ou utilisateurs a suscité l'inquiétude des internautes. Afin de répondre à cette préoccupation croissante, les régulateurs utilisent tous les outils juridiques disponibles. Le règlement général sur la protection des données (RGPD) et la directive européenne ePrivacy éclairent déjà les exigences d'utilisation des cookies. En outre, les autorités nationales de protection des données de l'UE et le Comité européen de la protection des données (EDPB) ont publié des lignes directrices pour clarifier la manière dont les lois sur les cookies sont interprétées et sont susceptibles d'être appliquées.
Directives sur les cookies émises par l'EDPB
Le comité européen de la protection des données a publié ses lignes directrices sur le consentement en mai 2020. Les lignes directrices énoncent des règles, entre autres, concernant les cookies. Ces lignes directrices ont joué un rôle crucial dans l'établissement de certaines des règles fondamentales dans le domaine des cookies et autres technologies similaires.
Qu'est-ce que l'EDPB ?
Le comité européen de la protection des données (EDPB) est un organe indépendant qui contribue à l'application cohérente des règles de protection des données dans toute l'Union européenne (UE). Il promeut la coopération entre les autorités de protection des données (DPA) de l'UE. Le CEPD a été créé par le règlement général sur la protection des données (RGPD) et est basé à Bruxelles.
Le CEPD a remplacé le groupe de travail Article 29 (WP29), un groupe de travail européen indépendant qui traitait des questions relatives à la protection de la vie privée et des données personnelles jusqu'au 25 mai 2018, date d'entrée en application du RGPD.
Le CEPD est composé de représentants des APD nationales des États membres de l'UE et du Contrôleur européen de la protection des données (CEPD), qui est l'organe qui veille à ce que les institutions et organismes de l'UE respectent le droit des personnes à la vie privée lors du traitement de leurs données personnelles. Les autorités de contrôle de la Norvège, du Lichtenstein et de l'Islande sont également membres du comité européen de la protection des données sans droit de vote ni d'éligibilité à la présidence ou à la vice-présidence.
Le CEPD est chargé des tâches et devoirs suivants:
- Fournir des orientations générales (y compris des lignes directrices, des recommandations et des meilleures pratiques) afin de clarifier le RGPD et de contribuer à l'application cohérente du RGPD ;
- Rendre des avis formels sur la base de l'article 64 du RGPD ;
- Adopter des décisions contraignantes sur la base de l'article 65 du RGPD en cas de désaccord entre les APD nationales ;
- Promouvoir la coopération entre les APD nationales.
Quelles sont les directives de l'EDPB sur les cookies ?
Le 4 mai 2020, le CEPD a adopté les lignes directrices 05/2020 sur le consentement en vertu du règlement 2016/679 (« lignes directrices sur le consentement »). Ces lignes directrices sont également appelées « Lignes directrices relatives aux cookies ». Cependant, il convient de souligner que les Lignes directrices ne concernent pas principalement les cookies, mais qu'elles éclairent certains des principaux sujets liés aux cookies. Les lignes directrices du EDPB sur les cookies garantissent une approche harmonisée du consentement et de l'indication non ambiguë des souhaits.
Les deux clarifications les plus pertinentes qui sont ressorties des directives relatives aux cookies de l'EDPB concernent :
- La validité du consentement donné par une personne à l'utilisation de cookies lors de l'accès à un site Web est conditionnée à ce que cette personne donne ce consentement (aussi communément appelé « cookie wall ») ; et
- La validité du consentement donné par une personne à l'utilisation de cookies lorsque ce consentement est donné par la personne en faisant défiler un site Web.
Position de l'EDPB sur les murs de cookies
Les Lignes directrices stipulent que « pour que le consentement soit librement donné, l'accès aux services et fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage d'informations ou à l'accès à des informations déjà stockées dans l'équipement terminal de un utilisateur (ce que l'on appelle les murs de cookies). Il ressort clairement de cette disposition que les murs de cookies sont interdits.
Les murs de cookies ne donnent pas un véritable choix aux individus puisque l'accès au contenu ou aux fonctionnalités d'un site Web est conditionné à l'acceptation par les individus de tous les cookies, et ils se voient refuser le droit de refuser le placement de cookies sur leurs appareils.
Clarification du CEPD sur le défilement/glisser le site Web
Jusqu'à la publication des directives en mai 2020, de nombreux sites Web comptaient sur le défilement ou le balayage du site Web comme indication du consentement aux politiques de suivi des sites Web. L'EDPB a clairement indiqué que cette pratique est illégale, déclarant que "des actions telles que faire défiler ou balayer une page Web ou une activité utilisateur similaire ne satisferont en aucun cas à l'exigence d'une action claire et positive".
La justification de cette clarification est que le défilement ou le balayage n'est pas une indication sans ambiguïté du consentement d'un individu, car cela pourrait également être une indication de rejet. Puisqu'il n'est techniquement pas possible de différencier si les utilisateurs ont souhaité accepter ou refuser le placement de cookies en faisant défiler ou en balayant le site Web, cela ne remplit pas l'exigence de consentement sans ambiguïté en vertu du RGPD.
Les lignes directrices du EDPB sont-elles contraignantes ?
Non, les lignes directrices du EDPB ne sont pas contraignantes en elles-mêmes. Toutefois, il convient de noter que les lignes directrices reflètent la position et la compréhension communes que les autorités conviennent d'appliquer de manière cohérente. C'est pourquoi le respect des lignes directrices du EDPB est crucial pour garantir la conformité avec le RGPD et les lois nationales sur la protection des données.
Qui doit se conformer aux directives de l'EDPB ?
Étant donné que les directives du EDPB sur les cookies ne sont pas contraignantes, il n'y a aucune obligation directe pour les organisations de s'y conformer. Cependant, les lignes directrices clarifient la manière dont les APD nationales interpréteraient et appliqueraient les dispositions du RGPD. Ce fait fait des Lignes directrices un instrument juridique important. Par conséquent, les organisations soumises au RGPD sont encouragées à se conformer aux directives du EDPB sur les cookies afin d'éviter d'être sanctionnées pour violation du RGPD.
Les organisations soumises au RGPD sont celles :
- Établi dans l'UE ; ou
- Offrir des biens et des services aux personnes dans l'UE ; ou
- Surveiller le comportement des personnes dans l'UE.
Il est évident que les lignes directrices du EDPB sur les cookies ont des implications importantes pour les entreprises ayant un établissement dans l'UE et celles qui traitent avec des personnes de l'UE.
Directives sur les cookies des autorités nationales de protection des données
Certaines autorités nationales de protection des données des États membres de l'UE ont publié un ensemble de lignes directrices afin de réglementer l'utilisation des cookies par les sites Web et les applications mobiles sur leur territoire. Ces lignes directrices fournissent des règles non obligatoires, mais sont des éléments importants d'instruments juridiques non contraignants pour la conformité au RGPD et aux lois nationales sur la protection des données et les cookies.
Qu'est-ce qu'une Autorité de Protection des Données (APD)?
Les autorités de protection des données (DPA) sont des autorités publiques indépendantes qui surveillent l'application des lois sur la protection des données par le biais de pouvoirs d'enquête et de correction. Ils fournissent des conseils d'experts sur les questions de protection des données, traitent les plaintes déposées contre les violations du RGPD et des lois nationales sur la protection des données, et infligent des amendes et d'autres mesures correctives aux organisations qui enfreignent le RGPD et les lois nationales sur la protection des données. Chaque État membre de l'UE a sa propre DPA. Les exemples incluent la Commission Nationale de l'Informatique et des Libertés (CNIL) de France, l'Agencia Española de Protección de Datos (AEPD) d'Espagne et la Garante per la Protezione dei Dati Personali (Garante) d'Italie.
Consultez la liste complète des DPA dans l'UE ici.
Quelles sont les directives nationales sur les cookies ?
Les directives nationales sur les cookies sont des instruments juridiques non contraignants émis par les APD nationales de l'UE. Ces lignes directrices sur les cookies établissent des clarifications sur divers aspects de l'utilisation des cookies par les sites Web qui sont soumis à la juridiction d'autorités de protection des données particulières. Les exigences de consentement aux cookies, le rejet et le retrait du consentement, la validité des murs de cookies sont quelques-uns des problèmes courants qui sont traités dans les directives nationales sur les cookies. En savoir plus sur la conformité RGPD. Lisez notre blog pour obtenir une vision simplifiée des dernières directives de consentement aux cookies de l'EDPB.
Plusieurs APD nationales ont publié des directives sur les cookies, et beaucoup devraient publier des directives dans les mois ou les années à venir. Bien qu'il puisse y avoir quelques différences entre les directives nationales sur les cookies, les principes fondamentaux restent les mêmes, qui sont formés par les directives du EDPB sur les cookies et l'affaire Planet 49. Ces principes de base sont :
- Ne placez pas de cookies avant d'avoir obtenu le consentement ;
- N'utilisez pas de boîtes de pré-ticket (CJEU Cookie Ruling)
- N'utilisez pas de « cookie wall » ;
- Permettre aux utilisateurs de consentir séparément à chaque catégorie de cookies ;
- Affichez votre politique de confidentialité et/ou votre politique en matière de cookies avant d'obtenir le consentement.
Les directives nationales sur les cookies sont-elles contraignantes ?
En elles-mêmes, les directives nationales sur les cookies ne sont pas contraignantes. Cependant, il convient de noter que ces directives sur les cookies fournissent des références solides aux organisations pour anticiper la manière dont l'APD nationale peut mener ses enquêtes de conformité. En outre, les DPA nationales ont le pouvoir d'imposer des sanctions aux organisations, et il est probable qu'elles utiliseraient les directives sur les cookies qu'elles ont émises comme point de référence.
Qui doit se conformer aux directives nationales sur les cookies ?
Les directives nationales sur les cookies émises par les APD nationales de l'UE sont des instruments non contraignants. Cependant, comme elles mettent en évidence la manière dont les autorités nationales de protection des données utiliseraient ces directives sur les cookies pour caractériser un non-respect du RGPD et des lois nationales sur la protection des données, elles constituent des instruments juridiques importants pour les entreprises. Ainsi, le respect des directives nationales en matière de cookies est recommandé pour ceux qui relèvent du champ d'application territorial de la DPA concernée. Par exemple, les directives de la CNIL sur les cookies sont pertinentes pour les organisations ayant un établissement en France. De plus, puisque le RGPD s'applique de manière « extraterritoriale », c'est-à-dire aux organisations établies à l'extérieur, nous pouvons conclure que si une organisation qui n'est pas établie en France propose des biens ou des services ou surveille le comportement des Français, alors cette organisation devient soumise à l'autorité de la CNIL.
Pour résumer ce qui est indiqué ci-dessus, les directives nationales sur les cookies doivent être respectées par les organisations :
- Avec un établissement dans un pays de l'UE particulier ; ou
- Offrir des biens ou des services aux habitants d'un pays spécifique de l'UE ; ou
- Surveiller le comportement des citoyens d'un pays spécifique de l'UE.
Quelles sont les sanctions en cas de violation des directives nationales sur les cookies
Les directives nationales sur les cookies ne prévoient pas de sanctions pécuniaires ou d'autres sanctions en cas de non-conformité en elles-mêmes. Le non-respect des directives relatives aux cookies entraînera le non-respect des lois nationales sur la protection des données et du RGPD. Par conséquent, les amendes pécuniaires et autres sanctions prévues par le RGPD seront applicables.
Pour les infractions moins graves, le RGPD prévoit une amende pouvant aller jusqu'à 10 millions d'euros, soit 2 % du chiffre d'affaires annuel mondial de l'entreprise de l'exercice précédent, selon le montant le plus élevé. Pour les infractions les plus graves, les amendes peuvent s'élever à 20 millions d'euros, soit 4 % du chiffre d'affaires annuel mondial de l'entreprise de l'exercice précédent, selon le montant le plus élevé.
Le non-respect des règles en matière de cookies s'est soldé par d'énormes amendes pour les grandes entreprises. Par conséquent, les entreprises sont encouragées à ne pas tenir pour acquises les directives nationales sur les cookies et à allouer des ressources pour les comprendre et les respecter dans la mesure où elles leur sont applicables. Certaines DPA nationales sont particulièrement actives dans l'application des règles en matière de cookies, comme la CNIL - la DPA française.
Par exemple, en décembre 2020, la CNIL a infligé de lourdes amendes à deux grandes entreprises technologiques pour leur violation des règles en matière de cookies. Ces sociétés "plaçaient des cookies publicitaires sur les ordinateurs des utilisateurs... sans obtenir leur consentement préalable et sans fournir d'informations adéquates". À la suite de l'infraction, Google a reçu deux amendes d'un montant de 100 millions d'euros, et Amazon a reçu une amende de 35 millions d'euros. Les sanctions de la CNIL ne s'arrêtent pas aux amendes précitées. La DPA française a récemment infligé deux lourdes amendes à deux grandes entreprises technologiques multinationales.
Les directives de la CNIL en matière de cookies précisent que refuser le consentement à l'utilisation de cookies doit être aussi simple que de le donner. Cela signifie que si vous n'avez besoin que d'un seul clic pour placer des cookies sur les appareils des utilisateurs, vous devez activer le refus de consentement de la même manière - en un seul clic. La DPA française a récemment infligé des amendes importantes à Google et Facebook pour non-respect des règles susmentionnées. Google a été sanctionné à hauteur de 150 millions d'euros et Facebook a été sanctionné à hauteur de 60 millions d'euros. La justification de la CNIL était que ces sociétés (sites Internet) « proposent un bouton permettant à l'utilisateur d'accepter immédiatement les cookies. Cependant, ils ne proposent pas de solution équivalente (bouton ou autre), permettant à l'internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter ».
Par conséquent, il est fortement recommandé aux organisations de se conformer aux directives nationales sur les cookies afin d'éviter les lourdes amendes auxquelles elles pourraient être soumises.
Directives nationales sur les cookies expliquées
Les exigences des directives nationales sur les cookies se chevauchent principalement. Cependant, il existe certaines différences entre eux. Afin de vous assurer que vous êtes conforme, vous devez vérifier quelles directives vous sont applicables et vous assurer que vous comprenez et allouez des ressources pour vous conformer à leurs exigences.
1. Directives allemandes sur les cookies DSK
L'association des autorités de protection des données de l'État allemand - les directives DSK sur les cookies clarifient l'utilisation des cookies par les sites Web et les applications mobiles allemands.
1.1 Qu'est-ce que DSK ?
Les entreprises du secteur privé en Allemagne sont soumises à la juridiction des autorités nationales de protection des données (DPA) telles que Hamburg DPA (HmbBfDI), Berlin DPA (BlnBDI), etc. Le DSK (abréviation de "Datenschutzkonferenz" en allemand) est une association d'allemands autorités nationales de protection des données. Le DSK traite et commente les questions de protection des données en Allemagne. Il sert d'organe de coordination et ne prend aucune décision contraignante pour les organisations.
1.2 Quelles sont les directives de DSK en matière de cookies ?
Le DSK allemand a publié ses directives sur les cookies en avril 2019. Après l'entrée en vigueur de la loi fédérale allemande sur la réglementation de la protection des données et de la vie privée dans les télécommunications et les télémédias (TTDSG) le 1er janvier 2021, le DSK a publié ses directives pour les fournisseurs de services de télémédias, qui concernait principalement la « disposition relative aux cookies » de la nouvelle loi allemande. Les directives se concentrent sur les exigences de consentement du TTDSG et les exceptions pour le consentement aux cookies.
En savoir plus sur les directives de DSK en matière de cookies.
1.3 Quelles sont les exigences des directives allemandes sur les cookies DSK ?
Vous devez procéder comme suivi pour vous conformer aux directives allemandes de consentement aux cookies de DSK :
- Définissez des cookies de suivi uniquement si vous avez le consentement préalable explicite des visiteurs de votre site Web.
- Évitez d'obliger les utilisateurs à accepter les cookies de suivi pour accéder au contenu de votre site Web.
- Autoriser les utilisateurs à désactiver les cookies de suivi.
- Vous n'avez pas besoin d'obtenir un consentement de cookie RGPD valide pour les cookies essentiels
- Prenez des précautions avec le contenu intégré
- Divulguez tous les cookies que vous utilisez sur votre site Web et communiquez le but de chacun à vos utilisateurs dans vos politiques de cookies et de confidentialité.
- N'utilisez pas de cases de consentement précochées
En savoir plus sur les exigences des directives allemandes sur les cookies DSK
2. Directives sur les cookies de l'ICO
L'Information Commissioner's Office du Royaume-Uni (ICO) a publié ses directives sur les cookies en juillet 2019 qui concernent les cookies et autres technologies similaires.
2.1 Qu'est-ce que l'ICO ?
ICO signifie le Bureau du Commissaire à l'information du Royaume-Uni. Il s'agit de l'autorité publique du Royaume-Uni chargée de faire respecter les lois de protection des données du pays. Entre autres choses, il publie des directives qui aident les entreprises à se conformer facilement aux lois sur la confidentialité (UK Data Privacy Act 2018, UK GDPR).
2.2 Quelles sont les directives de l'ICO sur les cookies
Le 3 juillet 2019, les directives de l'ICO sur les cookies ont été publiées pour traiter en détail les cookies et les technologies similaires. Les lignes directrices sont essentielles pour les services en ligne tels que les sites Web et les applications mobiles. Les directives de l'ICO sur les cookies aident les entreprises à comprendre comment le RGPD et le règlement britannique sur la confidentialité et les communications électroniques (PECR) sont interprétés et appliqués.
Cliquez ici pour en savoir plus sur les directives de l'ICO en matière de cookies.
2.3 Quelles sont les exigences des directives de l'ICO sur les cookies ?
Les directives de l'ICO sur les cookies vous obligent à informer vos utilisateurs de l'utilisation des cookies. Une bonne pratique consiste à leur montrer une bannière de cookies où ils peuvent choisir leurs préférences de confidentialité et lire votre politique de confidentialité et votre déclaration de cookies.
Les utilisateurs doivent accepter les cookies par une action positive (c'est-à-dire en cliquant sur le bouton "ACCEPTER" ou quelque chose de similaire). L'utilisateur doit cocher les cases correspondant à chaque objectif de collecte/traitement. Les cases pré-cochées ne sont pas autorisées.
En général, les murs de cookies ne sont pas autorisés pour obtenir le consentement des utilisateurs. Cependant, l'utilisation de murs de cookies comme condition d'accès à un contenu spécifique du site Web est possible.
Rester ou naviguer sur le site n'implique pas l'acceptation des cookies et autres technologies de suivi.
3. Consignes relatives aux cookies de la CNIL
La DPA - CNIL a émis des lignes directrices et des recommandations concernant les cookies. Ces lignes directrices et recommandations fournissent des règles et des bonnes pratiques pour que les sites Web et les applications mobiles se conforment aux lois sur la protection des données et les cookies en France.
3.1 Qu'est-ce que la CNIL ?
CNIL signifie Commission Nationale de l'Informatique et des Libertés, l'autorité nationale française de protection des données. La loi Informatique et Libertés du 6 janvier 1978 a institué la CNIL France en tant qu'autorité administrative indépendante chargée d'assurer la protection des données personnelles dans les fichiers informatiques et les traitements, tant publics que privés. Ils ont le pouvoir de faire respecter les lois sur la protection des données en France.
3.2 Quelles sont les directives de la CNIL sur les cookies ?
Le 1er octobre 2020, la CNIL a publié sa charte cookies révisée, initialement publiée le 18 juillet 2019, et partiellement annulée par le Tribunal administratif supérieur de France. La CNIL a également publié ses recommandations finales sur les modalités pratiques d'obtention du consentement des utilisateurs (« Recommandations ») et un ensemble de questions-réponses sur les recommandations (« FAQ »).
En savoir plus sur les directives relatives aux cookies de la CNIL.
3.3 Quelles sont les exigences de la Directive Cookies de la CNIL ?
L'utilisateur doit pouvoir refuser son consentement à l'utilisation de cookies aussi facilement qu'il peut l'accepter. L'inaction ou le silence de l'utilisateur (tel que le défilement et la navigation) doit être interprété comme un refus d'utilisation des cookies. De plus, les utilisateurs doivent avoir le droit de retirer leur consentement à tout moment, et le retrait doit être aussi simple que de donner son consentement.
La CNIL n'interdit pas complètement les murs de cookies. Les murs de cookies sont autorisés et légaux dans certaines circonstances. Leur légalité doit être déterminée au cas par cas. Lorsque des murs de cookies sont utilisés, vous devez vous assurer que vous fournissez à l'utilisateur des informations claires sur les conséquences lorsque l'utilisateur accepte ou refuse son consentement et, en particulier, des informations sur l'impossibilité d'accéder au contenu ou au service sans consentement doivent être fournies.
Cliquez pour en savoir plus sur les exigences de la CNIL Cookie Guidelines.
3.4 Quelles sont les recommandations de la CNIL ?
En plus des directives de la CNIL sur les cookies, la DPA française a fourni des recommandations pour suivre les directives sur les cookies. Certains des points les plus importants des recommandations de la CNIL sont :
- Avant de présenter aux individus la possibilité d'accepter ou de refuser les cookies, la bannière de consentement aux cookies doit fournir des informations sur l'objectif des cookies ou la catégorie de cookies.
- L'objectif du cookie ou la catégorie de cookie doit être présenté avec un titre bref et mis en évidence, suivi d'une brève description de l'objectif.
- La bannière de cookies doit inclure un lien qui pointe vers une page de politique de cookies (ou politique de confidentialité) contenant des informations détaillées sur les cookies.
- Les boutons "Accepter tout" et "Rejeter tout" doivent être au même niveau et proéminence.
- Évitez les cases pré-cochées ou les interrupteurs à bascule pré-activés.
- Autoriser un consentement indépendant
- Renouveler le choix de cookie après 6 mois
4. Directives sur les cookies de l'AEPD en Espagne
La DPA espagnole - AEPD a publié ses directives sur les cookies qui établissent les règles de conformité aux lois sur les cookies en Espagne.
4.1 Qu'est-ce que l'AEPD ?
AEPD est l'abréviation d'Agencia Española de Protección de Datos qui signifie « Agence espagnole de protection des données ». Leur rôle est de garantir que les Espagnols respectent les lois européennes et nationales sur la protection des données. L'AEPD est l'autorité de contrôle officielle en matière de protection des données personnelles en Espagne.
4.2 Que sont les directives de l'AEPD sur les cookies ?
En novembre 2019, la DPA espagnole a publié ses directives sur l'utilisation des cookies et d'autres technologies de suivi similaires (« Lignes directrices relatives aux cookies »). La DPA a publié une version mise à jour des lignes directrices sur les cookies le 28 juillet 2020. Les lignes directrices mises à jour ont été publiées pour refléter les modifications apportées aux lignes directrices sur le consentement publiées par l'EDPB.
4.3 Quelles sont les exigences des lignes directrices de l'AEPD ?
Les directives espagnoles sur les cookies DPA vous obligent à respecter les directives en procédant comme suivi :
- Les utilisateurs doivent être informés des cookies de manière concise, compréhensible, claire et sans ambiguïté.
- Lors du recueil du consentement, les informations sur les cookies ne peuvent pas être à plus de deux clics de la première page. Les informations principales doivent être fournies en deux couches, la couche principale et une couche détaillée facultative, dans une notice clairement visible.
- Le consentement doit être une indication d'action positive. Le consentement peut être obtenu en cliquant sur les boutons "Je consens" ou "J'accepte" ou sur d'autres termes de nature similaire.
- Le choix des cookies, qu'ils soient acceptés ou refusés par les utilisateurs ne doivent pas être conservés indéfiniment. Il doit être renouvelé au moins tous les 24 mois.
- Les murs de cookies et les cases pré-cochées sont à éviter.
Cliquez pour en savoir plus sur les directives de l'AEPD en matière de cookies.
4.4. À quoi ressemble un bandeau cookie conforme à l'AEPD ?
Selon les directives espagnoles sur les cookies DPA, les informations sur les cookies peuvent être fournies en deux couches.
La première couche doit être identifiée par un terme généralement utilisé, tel que « cookies », et doit contenir les informations suivantes :
- L'identité du propriétaire du site Web.
- Identification des finalités des cookies utilisés sur le site.
- Des informations indiquant si ces cookies sont uniquement les cookies du gestionnaire du site Web ou si des cookies tiers sont également utilisés.
- Informations générales sur les types de données qui seront collectées et utilisées si le profilage de l'utilisateur est utilisé (par exemple, lorsque des cookies de publicité comportementale sont utilisés).
- La manière dont les utilisateurs peuvent accepter, configurer et refuser l'utilisation des cookies, y compris un avertissement indiquant que s'ils procèdent à certaines actions, il sera supposé que les utilisateurs acceptent l'utilisation des cookies.
- Un lien bien visible vers une seconde couche informative
La deuxième couche doit contenir des informations plus détaillées sur les cookies (c'est-à-dire la politique en matière de cookies).
Cliquez ici pour plus d'informations sur les bannières de cookies conformes à l'AEPD.
5. Lignes directrices sur les cookies AP Pays-Bas
L'APD néerlandaise a publié ses directives sur les cookies à la suite de son enquête auprès d'un certain nombre de sites Web néerlandais sur les exigences de consentement aux cookies conformes au RGPD.
5.1 Qu'est-ce que l'Autoriteit Persoonsgegevens ?
Autoriteit Persoonsgegevens (AP) est l'autorité néerlandaise de protection des données. Cet organe administratif indépendant a été désigné par la loi aux Pays-Bas comme autorité de contrôle pour le traitement des données personnelles. L'AP est situé à La Haye.
5.2 Quelles sont les directives néerlandaises sur les cookies de la DPA ?
En décembre 2019, l'autorité néerlandaise de protection des données a publié des directives sur le consentement aux cookies pour aider les propriétaires de sites Web aux Pays-Bas à déployer des cookies conformément au RGPD. Cela fait suite à l'enquête néerlandaise de la DPA sur un total de 175 sites Web aux Pays-Bas, qui a conclu que 50 % des sites audités se sont avérés non conformes aux exigences de consentement aux cookies du RGPD.
5.3 Quelles sont les exigences des directives néerlandaises sur les cookies de la DPA ?
Selon l'Autoriteit Persoonsgegevens (AP), vous devez ;
- Assurez-vous que votre site Web reste accessible si un utilisateur ne donne pas son consentement aux cookies (évitez les « murs de cookies »)
- Obtenir le consentement préalable avant de déployer des cookies non essentiels
- Donnez aux utilisateurs le contrôle de leurs choix de consentement
- Les cases pré-cochées ne sont pas autorisées
Cliquez ici pour plus d'informations sur les directives néerlandaises sur les cookies de la DPA.
6. Directives italiennes sur les cookies Garante
La DPA italienne a publié des directives mises à jour sur les cookies en juin 2021, qui établissent des règles mises à jour sur les cookies et les technologies similaires.
6.1 Qu'est-ce que la garantie italienne ?
L'Autorité italienne de protection des données (Garante per la protezione dei dati personali, ou simplement Garante) est une autorité indépendante créée pour protéger les libertés et droits fondamentaux en rapport avec le traitement des données à caractère personnel et pour assurer le respect de la dignité des personnes.
6.2 Quelles sont les Directives Garante sur les Cookies ?
L'APD italienne a adopté une résolution, le 8 mai 2014, sur les modalités simplifiées pour les avis d'information et l'obtention du consentement pour l'utilisation de cookies. Depuis lors, plusieurs modifications ont été apportées au cadre juridique applicable en Italie, notamment l'entrée en vigueur du règlement général de l'UE sur la protection des données (RGPD).
Le 10 juin 2021, la Garante a publié ses directives mises à jour concernant les cookies et autres outils de suivi (Cookie Guidelines). Les directives sur les cookies visent à garantir que les propriétaires de sites Web respectent à la fois le RGPD et la directive ePrivacy.
6.3 Quelles sont les exigences des directives de Garante sur les cookies ?
Les directives italiennes sur les cookies de la DPA stipulent que :
- Vous devez obtenir votre consentement avant de paramétrer des cookies non techniques (cookies qui ne sont pas strictement nécessaires au fonctionnement du site).
- Les utilisateurs visitant votre site pour la première fois doivent voir apparaître une bannière de cookies qui se distingue clairement des autres composants du site Web.
- Le défilement ne peut pas être invoqué comme moyen de consentement valide.
- Les murs de cookies ne sont pas légaux.
- Les cookies d'analyse peuvent être utilisés sans consentement uniquement lorsqu'il n'est pas possible d'isoler une personne concernée.
- Au moins 6 mois doivent s'écouler avant que vous puissiez afficher à nouveau votre bandeau cookie.
Cliquez pour en savoir plus sur les directives italiennes sur les cookies de la DPA.
7. Directives concernant les cookies Datatilsynet au Danemark
Au Danemark, plusieurs organisations, dont la DPA nationale - Datatilsynet, ont publié des directives sur les cookies. Ces directives fournissent les informations nécessaires pour que les sites Web et les applications mobiles se conforment au RGPD et aux lois nationales sur la protection des données et les cookies.
7.1 Qu'est-ce que Datatilsynet ?
L'Agence danoise de protection des données - Datatilsynet est l'autorité indépendante qui contrôle le respect des règles sur la protection des données personnelles. Datatilsynet fournit des orientations, des conseils, traite les plaintes et effectue des inspections.
7.2 Quelles sont les lois sur les cookies au Danemark ?
Au Danemark, il existe deux lois principales à prendre en compte en matière de cookies. Ils sont les suivants :
- La loi danoise sur les cookies (Cookiebekendtgørelsen) ; et,
- Le règlement général sur la protection des données de l'UE - GDPR (et la loi sur la protection des données du Danemark).
La loi danoise sur les cookies est administrée par l'autorité commerciale danoise (Erhvervsstyrelsen), tandis que le RGPD et sa mise en œuvre nationale sont administrés par Datatilsynet.
7.3 Que sont les directives danoises sur les cookies de la DPA ?
Trois lignes directrices relatives aux cookies ont été publiées par les autorités danoises.
- Les directives danoises sur le consentement aux cookies de la DPA (Datatilsynet) ont été publiées le 20 février 2020 afin de fournir des éclaircissements aux propriétaires de sites Web afin de faciliter la conformité aux exigences du RGPD en matière de traitement des données personnelles.
- La Danish Business Authority a publié des directives sur l'utilisation des cookies, le 10 décembre 2019.
- Datatilsynet, la Danish Business Authority et le Conseil danois pour la sécurité numérique ont publié le 12 février 2021 des directives conjointes sur les exigences d'utilisation des cookies.
Cliquez ici pour en savoir plus sur les directives danoises en matière de cookies.
7.4 Quelles sont les exigences des directives danoises sur les cookies de la DPA ?
Selon les directives danoises de consentement aux cookies de la DPA, vos activités de traitement des données personnelles sont conformes au RGPD si et seulement si les conditions suivantes sont remplies :
- Vous ne traitez pas les données avant d'avoir donné votre consentement préalable.
- Vous fournissez aux utilisateurs des informations sur les différents types de cookies que vous avez sur votre site Web, leurs objectifs et les raisons pour lesquelles vous devez traiter leurs informations personnelles.
- Vous recevez un consentement basé sur l'action positive lorsqu'un utilisateur visite votre site Web pour montrer qu'il a définitivement accepté le traitement de ses données personnelles.
- Conformément à l'exigence de consentement indépendant, vous faites en sorte qu'il soit simple pour le visiteur de donner son consentement à des fins spécifiques et non à d'autres.
- Vous permettez aux utilisateurs de retirer facilement leur consentement, tout comme vous leur permettez de le donner facilement. Cela inclut le texte ainsi que les éléments visuels de votre bannière de cookies.
- Vous conservez des journaux de ce à quoi les utilisateurs ont donné leur consentement et de la manière dont vous avez obtenu leur consentement.
Cliquez pour en savoir plus sur les exigences des directives danoises sur les cookies.
8. Directives belges sur les cookies DPA
Les directives belges sur les cookies de la DPA clarifient l'utilisation des cookies et d'autres technologies similaires.
8.1 Qu'est-ce que l'APD belge ?
L'Autorité de protection des données (en français L'Autorité de protection des données - APD, en néerlandais Gegevensbeschermingsautoriteit - GBA) est un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données personnelles. L'Autorité a été créée en décembre 2017 en tant qu'autorité nationale de protection des données.
8.2 Quelles sont les directives belges sur les cookies DPA ?
En décembre 2019, l'APD belge a imposé une amende réglementaire de 15 000 euros à un site Web qui fournit des informations juridiques dans le pays. L'utilisation illégale de cookies par l'entreprise était la principale raison de cette sanction. Cependant, la décision de l'APD belge a été contestée par différentes parties prenantes car il n'y avait pas de cadre clair en place pour aider les entreprises à se conformer aux exigences du RGPD en matière de cookies une fois que la loi européenne sur la confidentialité des données est entrée en vigueur.
En réponse à cela, le 9 avril 2020, la DPA a préparé et publié un nouveau Consolidated Cookie Guidance sur le site Web belge de la DPA.
8.3 Quelles sont les exigences des Belgium DPA Cookie Guidelines ?
Le Guide des cookies de la DPA belge fournit des directives claires que vous devez suivre pour vous assurer d'obtenir un consentement valide en matière de cookies conformément aux exigences du RGPD. Ils sont les suivants :
- Vous devez demander le consentement pour tous les cookies non essentiels.
- Pour que le consentement aux cookies soit considéré comme valable, il doit être renseigné.
- Vous devez autoriser les utilisateurs à fournir un consentement précis.
- L'obtention d'un consentement sans ambiguïté est obligatoire.
- Les murs de cookies ne sont pas valides selon le RGPD.
- Les utilisateurs doivent être autorisés à retirer facilement leur consentement.
- Vous devez apporter la preuve que vous obtenez un consentement valide pour les cookies RGPD de la part des utilisateurs de votre site Web.
En savoir plus sur les directives belges sur les cookies de la DPA.
9. Directives grecques sur les cookies DPA
Les directives grecques sur les cookies de la DPA ont été publiées à la suite de l'audit effectué par la DPA pour l'utilisation de cookies par les sites Web grecs les plus connus.
9.1 Qu'est-ce que la DPA grecque ?
L'Autorité hellénique de protection des données (HDPA) est une autorité publique indépendante en Grèce et a son siège à Athènes. L'AHPD est chargée de superviser la mise en œuvre du Règlement général sur la protection des données (RGPD), de la loi nationale sur la protection des données et des autres réglementations concernant la protection de la personne contre le traitement des données à caractère personnel, ainsi que l'exercice des missions qui lui sont systématiquement confiées.
9.2 Quelles sont les directives grecques sur les cookies DPA ?
Les lignes directrices grecques sur le consentement aux cookies de la DPA destinées à aider les entreprises à respecter les exigences de conformité au RGPD ont été publiées le 25 février 2020. Les lignes directrices ont été adoptées à la suite de l'achèvement d'un audit réalisé par l'HDPA pour l'utilisation de cookies par les sites Web grecs les plus célèbres, en lequel l'HDPA a constaté que la plupart des sites Web audités n'étaient pas conformes au RGPD.
Cliquez pour en savoir plus sur les directives grecques sur les cookies de la DPA.
9.3 Quels cookies nécessitent un consentement préalable en vertu des directives grecques sur les cookies de la DPA ?
Selon les directives grecques de consentement aux cookies de la DPA :
- Avant de placer des cookies ou une technologie de suivi similaire, vous devez d'abord obtenir le consentement préalable de l'utilisateur, que vous traitiez ou non ses données personnelles.
- Seuls les cookies et les traceurs jugés nécessaires soit au fonctionnement normal de votre site Web, soit à la fourniture du service clairement demandé par l'utilisateur sont exemptés de l'obligation de consentement préalable.
Cliquez pour en savoir plus sur les exigences de consentement préalable en vertu des directives grecques sur les cookies de la DPA.
9.4 Quelles sont les exigences de la DPA grecque pour une notification de cookie conforme ?
Les directives de consentement aux cookies de Hellenic DPA exigent que vous donniez aux utilisateurs des informations sur les cookies et pourquoi il est important pour eux de fournir un consentement préalable par le biais de mécanismes pertinents tels que des bannières de cookies ou des fenêtres contextuelles.
Cliquez pour en savoir plus sur les avis de cookies conformes à la DPA grecque.
9.5 Comment puis-je obtenir un consentement valide pour les cookies conformément aux directives grecques sur le consentement aux cookies de la DPA ?
En tant que contrôleur de données, pour vous conformer aux directives de consentement aux cookies de la DPA grecque, vous devez vous assurer que ;
- Le consentement préalable que vous recevez est donné par l'action positive de l'utilisateur. L'utilisation de cases de consentement précochées ou le recours à l'action de défilement d'un utilisateur n'est pas considéré comme un moyen valable d'obtenir un consentement valide.
- Vos utilisateurs disposent d'un moyen simple de retirer leur consentement de la même manière qu'il était facile de le donner.
- Vous permettez aux utilisateurs d'accepter ou de refuser l'utilisation de trackers non essentiels via le même nombre d'actions (par exemple, des clics)
- La conception de votre bannière de cookies n'a pas d'influence sur le choix de consentement de l'utilisateur en matière de cookies, par exemple, en ayant une conception qui met l'accent sur le bouton "ACCEPTER" sur le bouton "REFUSER". La DPA hellénique recommande que la conception de votre bannière de cookies ait la même taille de police et la même couleur pour tous les boutons et soit facile à lire.
Cliquez pour plus d'informations sur le consentement valide des cookies conformément aux directives grecques sur les cookies de la DPA.
10. Directives irlandaises sur les cookies DPA
La Commission irlandaise de protection des données a publié une note d'orientation sur les cookies suite à l'examen des politiques et pratiques en matière de cookies d'un certain nombre de sites Web irlandais.
10.1 Qu'est-ce que le DPC irlandais ?
La Commission de protection des données (DPC) est l'autorité nationale indépendante en Irlande chargée de faire respecter le droit fondamental des individus dans l'UE à la protection de leurs données personnelles. Le DPC est l'autorité de contrôle irlandaise pour le règlement général sur la protection des données (GDPR) et a également des fonctions et des pouvoirs liés à d'autres cadres réglementaires importants, y compris le règlement irlandais sur la confidentialité des données électroniques (2011) et la directive de l'UE connue sous le nom de directive sur l'application de la loi.
10.2 Que sont les directives irlandaises sur les cookies DPC ?
En avril 2020, la Commission irlandaise de protection des données (DPC) a publié un rapport connu sous le nom d'"enquête sur les cookies", qui examinait les politiques et pratiques en matière de cookies de 38 entreprises anonymes opérant en Irlande.
Le DPC irlandais a utilisé un système de codage à trois couleurs pour évaluer le niveau de conformité des contrôleurs de données : rouge, vert et ambre. Alors que le vert dénotait une conformité totale, le rouge dénotait une non-conformité. Seules deux des 38 entités examinées ont reçu la note « verte » complète du DPC irlandais.
En savoir plus sur le « sondage sur les cookies ».
En avril 2020, le DPC irlandais a publié une note d'orientation concernant les cookies et les technologies similaires. Les organisations ont bénéficié d'un délai de grâce de 6 mois (jusqu'en octobre 2020) pour mettre leur utilisation des cookies en conformité avec les directives.
10.3 Quels sont les principaux points à retenir des directives irlandaises sur les cookies DPC ?
Selon le DPC, les entreprises doivent obtenir le consentement de l'utilisateur conformément aux exigences du RGPD. Cela signifie que le consentement doit être : donné librement, spécifique, éclairé et sans ambiguïté. Cependant, les lignes directrices prévoient deux exceptions cruciales, à savoir : l'exemption relative aux communications et l'exemption strictement nécessaire.
Si vous autorisez des tiers à ajouter des plugins, des widgets, des trackers de pixels ou des boutons "J'aime", vous devez être conscient du type de données partagées avec ces tiers.
Le DPC irlandais exige que vous obteniez un consentement préalable et valide pour les cookies GDPR des utilisateurs avant de placer cette catégorie de cookies dans leurs appareils. Bien qu'il soit peu probable que les cookies d'analyse propriétaires soulèvent des problèmes de confidentialité lorsqu'ils sont strictement limités à des fins statistiques sur votre site Web, les cookies d'analyse tiers sont soumis à des mesures d'application de la conformité au RGPD.
Si vous conservez des enregistrements du consentement de vos consommateurs à l'installation de cookies sur leurs appareils, la note d'orientation du DPC irlandais précise que la période après laquelle leur consentement doit être obtenu à nouveau ne doit pas dépasser six mois à compter du moment où il a été donné pour la première fois. De même, si un utilisateur refuse de consentir à l'utilisation de cookies, vous pouvez demander à nouveau son consentement après six mois.
En savoir plus sur les directives irlandaises sur les cookies de la DPA.
11. Lignes directrices luxembourgeoises sur les cookies DPA
L'APD luxembourgeoise a publié ses lignes directrices sur les cookies et les technologies similaires en octobre 2021 qui visent à aider les sites Web et les applications mobiles à se conformer au RGPD et aux lois nationales sur la protection des données et les cookies.
11.1 Qu'est-ce que la CNPD ?
La Commission Nationale pour la Protection des Données (CNPD) est une institution publique indépendante et agit en tant qu'autorité officielle de protection des données au Grand-Duché de Luxembourg. Elle vérifie la bonne pratique du traitement des données personnelles et veille à la protection des libertés individuelles et des droits fondamentaux en matière de protection des données et de la vie privée.
11.2 Quelles sont les Directives Luxembourg DPA sur les Cookies ?
La DPA luxembourgeoise - CNPD a publié ses lignes directrices sur les cookies et technologies similaires (Cookies) le 26 octobre 2021. Les lignes directrices visent à aider les opérateurs de sites Web et les opérateurs d'applications mobiles à se conformer au cadre juridique applicable au Luxembourg.
Les directives sur les cookies font la différence entre les cookies essentiels et les cookies non essentiels. Les cookies indispensables sont ceux pour lesquels le consentement n'est pas requis. En revanche, les cookies non essentiels nécessitent le consentement préalable des utilisateurs.
11.3 Quelles sont les exigences des Luxembourg DPA Cookie Guidelines ?
Afin de vous conformer aux directives Luxembourg DPA sur les cookies, vous devez vous assurer de répondre aux exigences suivantes :
- Il n'est pas nécessaire d'obtenir le consentement pour les cookies essentiels.
- Fournir des informations sur l'utilisation des cookies essentiels.
- Vous devez obtenir le consentement pour utiliser des cookies non essentiels.
- Vous ne pouvez pas utiliser de motifs sombres pour obtenir le consentement.
- Retirer son consentement doit être aussi facile que de le donner.
- Vous devez demander le consentement 12 mois après l'obtention du premier consentement.
- Ayez une bannière de cookies à deux couches.
En savoir plus sur les directives luxembourgeoises sur les cookies de la DPA.
12. Lignes directrices finlandaises sur les cookies de la DPA
L'Agence finlandaise des transports et des communications - Traficom a publié ses directives mises à jour sur les cookies en mai 2021 sur la base de la décision du DPA finlandais - Médiateur pour la protection des données.
12.1 Qu'est-ce que la Finlande DPA ?
Le Bureau du Médiateur pour la protection des données est une autorité nationale de contrôle en Finlande qui contrôle le respect de la législation sur la protection des données. Le Médiateur pour la protection des données impose des amendes administratives en vertu du règlement général sur la protection des données et publie des déclarations sur des questions importantes liées à l'application de la législation régissant le traitement des données à caractère personnel.
En savoir plus sur l'APD finlandaise.
12.2 Quelles sont les directives Traficom relatives aux cookies ?
En avril 2020, Traficom a publié une décision déclarant qu'il était possible de donner son consentement aux cookies via les paramètres du navigateur. Cependant, un mois plus tard, en mai 2020, la DPA finlandaise, le médiateur de la protection des données, a rendu une décision qui contredisait la décision rendue par Traficom.
En mai 2021, Traficom a modifié ses directives en matière de cookies pour refléter la décision du Médiateur.
En savoir plus sur les directives finlandaises sur les cookies de la DPA.
12.3 Les exigences des directives Traficom
Les directives relatives aux cookies de Traficom définissent les exigences pour les opérateurs de sites Web et les opérateurs d'applications mobiles. Les directives couvrent également des technologies de suivi similaires, y compris le stockage de session et local, les pixels de suivi, les balises Web, les balises et les technologies d'empreintes digitales.
- Les cookies non essentiels nécessitent un consentement préalable.
- L'intérêt légitime ne peut constituer un motif d'utilisation des cookies.
- Le consentement doit être libre, spécifique, éclairé et sans ambiguïté.
- Refuser les cookies doit être aussi facile pour l'utilisateur que de donner son consentement.
- Le retrait des cookies doit être aussi simple que le consentement.
- Les cases pré-cochées ne sont pas licites.
- Le consentement ne peut pas être intégré aux conditions du site Web.
- Fournissez des informations sur les cookies.
- Les murs de cookies ne sont pas autorisés.
- Se référer aux paramètres du navigateur pour refuser les cookies n'est pas licite.
- Le consentement doit être démontrable.
Cliquez pour en savoir plus sur les exigences des directives relatives aux cookies de Traficom.
13. Directives lettones sur les cookies DVI
L'APD lettone a publié ses directives sur les cookies en mars 2022, contenant des informations sur les exigences d'utilisation des cookies et un modèle de politique en matière de cookies.
13.1 Qu'est-ce que le DVI letton ?
Data State Inspectorate (DVI) est l'autorité nationale de protection des données (DPA) en Lettonie. L'autorité est chargée de faire appliquer le RGPD en Lettonie.
13.2 Que sont les directives lettones sur les cookies DVI
En mars 2022, juste après la publication des résultats de l'audit des cookies, l'Inspection d'État lettone Dast a publié ses directives sur les cookies (« Lignes directrices sur les cookies »). Les directives sur les cookies énoncent des informations sur les cookies et leurs catégories, les exigences d'utilisation légale des cookies par les propriétaires de sites Web et un modèle de politique de cookies pour les sites Web à publier sur leurs sites.
13.3 Quelles sont les exigences des directives lettones sur les cookies de la DPA ?
Afin de vous conformer aux directives lettones sur les cookies DVI, vous devez satisfaire aux exigences suivantes :
- Fournir des informations claires et compréhensibles aux utilisateurs
- Utiliser une approche multicouche
- Conservez l'avis de cookie jusqu'à ce que l'utilisateur prenne une décision
- Le consentement doit être conforme aux normes GDPR
- Avoir les options "Accepter" et "Rejeter"
- La fermeture de la bannière ne peut être considérée comme un consentement
- Ne vous fiez pas aux paramètres du navigateur pour le consentement
- Le consentement doit être démontrable
- Le consentement doit être retiré facilement
- Renouveler régulièrement le consentement
En savoir plus sur les directives lettones sur les cookies de la DPA.
Similitudes et différences entre les directives nationales sur les cookies DPA
Les directives nationales sur les cookies DPA incluent de nombreuses similitudes ainsi que certaines différences. Dans cette section, nous parlerons de ces similitudes et différences en détail.
Quelles sont les similitudes entre les directives nationales sur les cookies de la DPA ?
Les directives sur les cookies émises par la plupart des DPA nationales sont assez similaires les unes aux autres. En effet, ils s'appuient principalement sur les Consent Guidelines de l'EDPB (également appelées « Cookie Guidelines ») et sur l'affaire Planet 49. Les informations à retenir des sources susmentionnées sont :
Lignes directrices sur le consentement de l'EDPB
1. Les murs de cookies ne sont pas licites car ils ne donnent pas aux individus un véritable choix sur l'utilisation des cookies.
2. Le défilement/navigation ne peut pas être invoqué comme moyen d'indication du consentement car il ne satisfait pas à l'exigence d'une action claire et positive de la part des utilisateurs.
Le cas Planète 49
- Les cases pré-cochées permettant l'utilisation de cookies ne constituent pas un consentement valable.
- Lorsque le consentement est requis pour le placement de cookies en vertu de la directive ePrivacy, la norme de consentement GDPR s'applique (librement donné, spécifique, informé et sans ambiguïté).
- Le consentement ne peut pas être groupé car il ne répond pas à l'exigence de « spécificité » du RGPD. Ainsi, les sites Web doivent demander le consentement pour différentes finalités d'utilisation des cookies (consentement spécifique).
- Des informations doivent être fournies aux visiteurs, notamment la durée de vie des cookies et si des tiers auront accès à ces technologies, ainsi que les catégories de tiers destinataires des cookies.
- Indépendamment du fait que les cookies constituent ou non des données à caractère personnel, l'article 5, paragraphe 3, de la directive e-Privacy (la règle de consentement aux cookies) s'applique à toute information placée ou consultée à partir de l'appareil d'un individu.
Les directives sur les cookies émises par la plupart des DPA nationales sont formées autour des règles et principes susmentionnés. Il existe cependant quelques différences mineures entre eux.
Quelles sont les différences dans les directives nationales sur les cookies DPA ?
Les différences relatives aux directives nationales sur les cookies de la DPA concernent principalement des questions réglementées par certaines directives nationales sur les cookies de la DPA et non réglementées par d'autres. Il convient de noter que cela n'implique pas qu'il existe des différences majeures dans de tels cas. C'est juste que les directives de certains pays en matière de cookies ne sont pas aussi explicites que d'autres et ne définissent pas de règles sur certaines questions spécifiques relatives aux cookies. Par exemple, toutes les DPA nationales ne fournissent pas de règles concernant la conception de l'interface utilisateur des bannières de cookies (c'est-à-dire des règles relatives aux boutons « Accepter » et « Rejeter »).
En dehors de cela, quelques différences mineures existent entre les directives sur les cookies émises par les APD nationales. Ces différences, qui seront décrites ci-dessous, ne se contredisent pas sévèrement mais varient légèrement les unes des autres en fonction de certaines nuances. Par exemple, selon presque toutes les directives nationales sur les cookies de la DPA, les murs de cookies sont généralement interdits. Mais certains d'entre eux autorisent l'utilisation de cookiewalls dans certaines circonstances limitées (c'est-à-dire lorsque les cookiewalls ne sont utilisés que pour limiter l'accès à certaines sections du site Web si le consentement n'est pas fourni).
Vous trouverez ci-dessous les différences courantes trouvées dans la plupart des directives nationales sur les cookies DPA.
1. Durée de conservation du consentement aux cookies
Certaines directives relatives aux cookies définissent la durée de vie des choix de cookies effectués par les utilisateurs, qu'ils soient acceptés ou refusés. Ces règles de durée de vie peuvent varier d'un pays à l'autre. Par exemple, la CNIL, en tant que bonne pratique, considère qu'un délai de 6 mois est approprié pour la validité du choix effectué par un utilisateur. D'autre part, la DPA espagnole (AEPD) suggère que le choix des cookies soit renouvelé tous les 24 mois, et la DPA luxembourgeoise (CNPD) exige le renouvellement du consentement tous les 12 mois. L'autorité de protection des données italienne, Garante, partage le même point de vue que la CNIL française et considère qu'un délai de 6 mois est approprié pour le renouvellement du consentement.
Certaines directives nationales sur les cookies DPA ne fixent pas de période spécifique pour la validité du choix de consentement des cookies, mais exigent que la durée de vie du choix des cookies soit proportionnée et limitée aux fins pour lesquelles ils sont utilisés (c'est-à-dire ICO).
Cependant, certaines des directives nationales sur les cookies de la DPA sont muettes concernant la durée de vie du choix des cookies.
2. Murs de cookies
Les murs de cookies sont généralement déclarés illégaux par les directives de consentement de l'EDPB. La plupart des APD nationales suivent la norme établie par l'EDPB. Cela dit, il existe de légères différences concernant les règles sur les murs de cookies établies en vertu des directives nationales sur les cookies de la DPA.
Par exemple, les directives de la CNIL en matière de cookies n'interdisent pas entièrement les murs de cookies. Il autorise l'utilisation de cookie walls si sa légalité est appréciée au cas par cas. En dehors de cela, ICO déclare que l'utilisation de murs de cookies comme condition d'accès à un contenu spécifique du site Web est possible. Le contenu spécifique du site Web signifie que vous ne devez pas subordonner « l'accès général au site Web » à l'acceptation par les utilisateurs de cookies non essentiels, mais vous ne pouvez limiter certains contenus du site Web que si l'utilisateur n'y consent pas.
3. Cookies analytiques
L'une des principales différences constatées dans les directives nationales sur les cookies de la DPA est de savoir si les cookies d'analyse nécessitent ou non un consentement préalable. En règle générale, les cookies d'analyse sont soumis à l'exigence d'un consentement préalable. Cependant, certaines directives nationales sur les cookies exemptent les cookies d'analyse dans certaines limites strictes. Par exemple, la CNIL prévoit que certaines solutions d'analyse pourraient être exemptées de l'obligation de consentement. L'exemption de consentement pour les cookies d'analyse s'applique sous réserve des conditions suivantes :
- Ces cookies doivent se limiter à mesurer l'audience du site uniquement pour le compte du propriétaire du site ;
- Ils ne doivent être utilisés que pour produire des données statistiques anonymes ;
- Ils ne doivent pas permettre le suivi de personnes sur différents sites ;
- Elles ne doivent pas être combinées avec d'autres données et ne doivent pas être partagées avec des tiers.
En outre, les directives italiennes DPA - Garante Cookie Guidelines stipulent que les cookies d'analyse peuvent être considérés comme des cookies techniques (et donc exemptés de l'exigence de consentement) dans des conditions strictes. Pour que les cookies d'analyse soient traités comme des cookies techniques, il est essentiel d'empêcher l'identification directe de la personne concernée ou, en d'autres termes, de garder vos utilisateurs anonymes.
4. Prédominance des options de cookies offertes aux utilisateurs
Certaines directives relatives aux cookies exigent que les sites Web suivent certaines règles relatives à la conception des bannières de cookies. Ces exigences concernent principalement les options données aux utilisateurs pour accepter ou refuser les cookies et l'importance de ces options.
Alors que la plupart des directives nationales sur les cookies sont assez strictes à cet égard, plusieurs directives nationales sur les cookies sont muettes sur le même sujet.
A titre d'exemple, la CNIL précise que les boutons « Tout accepter » et « Tout rejeter » doivent être mis en évidence de manière égale (au même niveau, avec la même apparence). Il constitue un moyen clair et simple pour permettre aux utilisateurs d'exprimer leurs choix.
ICO considère qu'un mécanisme de consentement qui met l'accent sur le bouton "accepter" plutôt que sur le bouton "rejeter" représente une approche non conforme, car le service en ligne influence les utilisateurs vers l'option "accepter".
L'APD grecque prévoit que la conception de votre bannière de cookies ne doit pas influencer le choix de consentement de l'utilisateur en matière de cookies (c'est-à-dire en ayant une conception qui met l'accent sur le bouton "Accepter" plutôt que sur le bouton "Rejeter". L'APD hellénique recommande que la conception de votre bannière de cookies ait la même taille de police et la même couleur pour tous les boutons et être facile à lire.
La DPA danoise suggère que vous devez offrir une opportunité égale d'accepter et de refuser l'utilisation de cookies et de ne pas induire les utilisateurs en erreur avec la taille ou la couleur des boutons. La DPA néerlandaise suggère également que les options « Rejeter » et « Accepter » (sous forme de boutons ou de liens) devraient avoir la même importance.
Au contraire, certaines directives nationales sur les cookies de la DPA ne fournissent aucune règle relative aux options de cookies. Par exemple, les directives nationales sur les cookies émises par la DPA belge et la DPA finlandaise ne prévoient aucune exigence explicite à ce sujet.
Conformité aux directives relatives aux cookies avec confidentialité sécurisée
Cette section explique comment vous pouvez vous conformer aux directives sur les cookies émises par les directives nationales de l'UE sur les cookies DPA avec Secure Privacy.
Qu'est-ce que Secure Privacy ?
Secure Privacy est une société proposant un logiciel de gestion du consentement aux cookies. Secure Privacy fournit une solution complète pour votre site Web et vos besoins en matière de consentement aux cookies. Il propose une interface simple et facile à utiliser qui vous permet de gérer et d'automatiser votre conformité aux cookies.
Quelles sont les fonctionnalités du logiciel Secure Privacy ?
Le logiciel Secure Privacy possède les fonctionnalités suivantes :
1. Bandeau de consentement aux cookies personnalisable
Vous pouvez ajouter des bannières de consentement aux cookies hautement personnalisables sur votre site Web. Il est simple à utiliser et peut être mis sur votre site Web en quelques minutes.
2. Générateur de cookies et politique de confidentialité
Vous pouvez générer rapidement une politique de confidentialité/cookie pour vous conformer au RGPD, au CCPA et à d'autres lois sur la confidentialité des données. La politique de confidentialité/cookie peut être modifiée au sein de la plateforme sans avoir besoin d'un développeur.
3. Analyse automatisée des cookies du site Web
Le logiciel d'analyse des cookies du site Web Secure Privacy analysera tous les cookies et autres outils de suivi sur votre site Web et vous aidera à vous conformer aux exigences du RGPD, du CCPA et de la LGPD.
4. Centre de préférences de consentement
Le centre de préférences de consentement permet aux visiteurs d'un site Web d'activer ou de désactiver les cookies à tout moment. Cette fonctionnalité permet aux visiteurs de retirer leur consentement aussi facilement qu'ils donnent leur consentement aux cookies.
5. Enregistrement automatisé du consentement aux cookies
Secure Privacy enregistre automatiquement toutes les acceptations et refus de cookies pour ses clients.
6. Prise en charge multilingue
Secure Privacy prend en charge plus de 70 langues.
Comment obtenir un consentement valide pour les cookies RGPD avec Secure Privacy ?
Avec la bannière de cookies RGPD de Secure Privacy, vous pouvez obtenir un consentement valide des utilisateurs en matière de cookies. Notre solution vous aide à vous assurer que :
- Vous mettez en œuvre une approche en couches pour rechercher et expliquer le consentement des utilisateurs aux cookies. Avec la bannière de cookies Secure Privacy, vous pouvez d'abord informer les utilisateurs de la nécessité d'utiliser des cookies et pourquoi leur consentement est requis pour leur placement. Deuxièmement, notre bannière vous aide également à expliquer aux utilisateurs les différents types et outils d'analyse que vous utilisez dans votre avis sur les cookies.
- Vous ne regroupez pas les consentements. Au lieu de cela, la bannière de cookies GDPR de Secure Privacy garantit que le consentement est obtenu à toutes fins en permettant aux utilisateurs de sélectionner les types de cookies auxquels ils consentent.
- Vous incluez un opt-in pour chaque type de cookie sur votre site Web qui n'est pas pré-vérifié pour montrer le consentement de l'utilisateur.
- Vous fournissez des informations sur la manière de retirer votre consentement à l'utilisation de cookies dans votre avis sur les cookies et un mécanisme garantissant que vos visiteurs réaffirment leur consentement tous les six mois.
- Vous enregistrez les consentements de manière à montrer la capacité de retrait des visiteurs.
- Vous incluez un lien vers la politique de cookie pour donner aux utilisateurs des informations supplémentaires, telles que les tiers qui auront accès à leurs données personnelles au cas où ils donneraient leur consentement à l'installation d'un cookie d'analyse tiers.
Notre livre électronique GDPR gratuit fournit une analyse simplifiée étape par étape des deux lois pour vous aider à comprendre ce dont vous avez besoin pour vous conformer au GDPR.
Si vous souhaitez recevoir des informations supplémentaires sur les directives de l'EDPB ou des APD nationales en matière de cookies ou si vous souhaitez que notre expert en protection des données effectue un rapide « contrôle » de votre site Web, de votre bannière de consentement aux cookies ou de votre politique en matière de cookies, contactez-nous ou réservez un appel aujourd'hui.