Si les obligations introduites par le RGPD doivent être respectées par les éditeurs des sites belges et par les sites ciblant des résidents belges dans le cadre du dépôt de cookies, d’autres règles spécifiques doivent également être prises en compte lors du recours à ces outils. Celles-ci se retrouvent dans le règlement européen e-privacy, dans la loi belge sur la protection des données personnelles 1, et dans la loi relative aux communications électroniques 2. Des directives concernant l’utilisation des cookies ont également été publiées par l’APD et d’autres éléments ont été fournis par la recommandation n°01/2020 du 17 janvier 2020 sur les traitements de données à caractère personnel à des fins de marketing direct. Le sujet des cookies constitue d’ailleurs l’une des priorités de l’année 2023 de l’APD 3. Les éditeurs de sites internet et d’applications concernés par ces dispositions doivent dès lors veiller à mettre en place les mesures nécessaires pour assurer une utilisation conforme de ces fichiers.
Un consentement pas toujours imposé
Les exigences sur les cookies concernent non seulement les cookies intégrés par l’éditeur du site même, mais également ceux qui proviennent de sites tiers. Le consentement n’est pas exigé pour tous ces cookies, et certains cookies peuvent être déposés sans collecte préalable du consentement. Les cookies qui sont strictement nécessaires échappent en effet à cette règle générale de consentement. On parle de « cookies fonctionnels », c’est-à-dire de fichiers dont l’utilisation est indispensable dans le cadre de la fourniture d’un service ou de l’envoi de communications par voie électronique. L’APD fournit une liste de cookies appartenant à cette catégorie. Il peut s’agir, à titre d’exemple, des cookies utilisés pour conserver une trace des informations renseignées dans des formulaires en ligne, des cookies qui permettent d’assurer la sécurité d’un service demandé par l’utilisateur, des cookies permettant de personnaliser l’interface utilisateur, tels que ceux utilisés pour la conservation de la préférence linguistique de l’utilisateur ou encore l’affichage des résultats.
Cette exception se limite donc à certains cookies, et les plug-ins des médias sociaux ne sont pas concernés. Ces derniers utilisent des cookies qui permettent aux plateformes de suivre les utilisateurs, même s’ils n’ont pas de comptes sur ces plateformes et le consentement doit être obtenu avant leur intégration. De même, le recours à des cookies statistiques ou analytiques exige en principe la collecte préalable du consentement.
Ainsi, la Chambre Contentieuse de l’APD a prononcé une amende de 15 000 euros à l’encontre d’un site belge pour non-respect des exigences sur le consentement et l’information en matière de cookies. Elle précise ainsi que les cookies statistiques nécessitent la collecte préalable du consentement, car n’appartenant pas à la catégorie des cookies nécessaires. Elle ajoute aussi que la nécessité de recours au cookie doit être évaluée en tenant compte de l’intérêt des utilisateurs, non seulement de celui du fournisseur du service. Elle admet toutefois que dans certains cas, ces cookies peuvent être considérés comme étant nécessaires à la fourniture du service, tels que ceux permettant de détecter un problème de navigation.
Les critères à respecter
L’installation des cookies non-fonctionnels nécessite dès lors la collecte préalable du consentement. Cette collecte doit être accompagnée des informations nécessaires relatives notamment aux cookies qui seront déposés, à leurs fonctions, à leur durée, aux droits dont les personnes bénéficient, aux traitements des données personnelles qui seront collectées, etc. Cette information doit répondre aux exigences du RGPD sur la forme de sa présentation et être affichée de manière compréhensible, c’est-à-dire dans une langue permettant aux visiteurs belges de la lire, à savoir le français et le néerlandais. L’APD attire l’attention sur la nécessité de tenir compte du public cible. Elle précise ainsi que le langage utilisé doit être adapté lorsqu’il s’agit d’adolescents afin de permettre une compréhension effective de l’information. Bien que non concerné par cette exigence de consentement, le dépôt des cookies nécessaires est également soumis à cette obligation d’information.
Ce consentement doit par ailleurs résulter d’une action positive de l’utilisateur et le fait de décocher une case ne correspond pas à un consentement valide. Il ne doit, en effet, pas y avoir de doute quant à la volonté réelle de l’utilisateur de donner son accord. Ainsi, la poursuite de navigation sur le site ne peut à elle seule permettre d’admettre que la personne accepte les cookies.
Aussi, le consentement ne doit pas être imposé et l’utilisateur doit pouvoir donner son accord à l’utilisation des cookies sans aucune influence ou contrainte tout en étant possible de bénéficier du service malgré le refus. Le consentement doit également être collecté de manière spécifique, sans qu’il ne soit imposé de le recueillir pour chaque cookie. L’utilisateur doit néanmoins pouvoir faire son choix dans un premier temps concernant chaque type de cookies, et dans une deuxième strate d’information pour chaque cookie utilisé. Le consentement pour la « seule utilisation des cookies » n’est dès lors pas toléré et l’acceptation des conditions générales du site ne permet pas d’admettre la validité du consentement.
L’APD considère d’ailleurs que le paramétrage du navigateur ne permet pas le recueil d’un consentement valide, dans la mesure où le critère de spécificité du consentement ne peut être respecté en recourant au paramétrage, l’utilisateur ne pouvant pas effectuer son choix en fonction des différents types de cookies.
En plus de ces exigences, la personne doit pouvoir revenir sur son choix et retirer son consentement à tout moment, de manière simple. Cette information sur la possibilité de retirer le consentement doit d’ailleurs être fournie au moment de sa collecte. Elle doit aussi être transmise dans le cas où des cookies non fonctionnels sont utilisés.
La Chambre Contentieuse de l’APD a examiné les pratiques de sites de presses belges concernant la gestion des cookies. Elle a ainsi prononcé une amende de 50 000 euros au groupe Rossel 4 gérant plusieurs de ces sites en raison de manquements liés au consentement. Certains de ces manquements concernent l’absence de collecte préalable du consentement pour les cookies d’audience et de réseaux sociaux, la non-exhaustivité de l’information délivrée, le recours à des cases pré-cochées, l’absence de prise en compte effective du retrait du consentement de l’utilisateur, etc…
Une durée limitée
Le principe de limitation de la conservation introduit par le RGPD exige que les cookies ne soient conservés que le temps nécessaire pour atteindre les finalités définies. Ces fichiers ne peuvent dès lors être stockés pour une période indéterminée et les données personnelles collectées via ces cookies ne doivent être conservées que pendant une durée limitée.
L’APD ne fournit pas de précisions sur cette durée. Elle attire toutefois l’attention sur le fait que l’effacement de ces fichiers « en temps utile » peut parfois s’avérer impossible, comme dans le cas d’une interruption inattendue de la communication. Elle précise ainsi que les informations sur la modalité d’effacement des cookies doivent être communiquées à l’utilisateur afin de permettre à la personne de procéder elle-même à cette suppression.
L’APD précise par ailleurs que ce principe de limitation de la conservation concerne également les cookies qui ne requièrent pas la collecte du consentement. Elle considère que ces cookies doivent, en principe, expirer à la fin de la session de navigation ou même avant. Elle admet toutefois que des exceptions peuvent exister, et que les « attentes raisonnables de l’utilisateur moyen » doivent être prises en compte lors de la définition de la durée de conservation. Le cookie permettant de sauvegarder un panier d’achat peut alors être conservé au-delà de la session de navigation, dans la mesure où l’utilisateur peut s’attendre à retrouver le contenu du panier lorsqu’il se reconnecte au site.
Des cookies walls interdits
Pouvoir effectuer un choix réel quant à l’acceptation ou pas des cookies non nécessaires est une condition essentielle pour leur conformité. L’APD remet ainsi en cause la validité des cookies walls en ce que le refus de consentir implique une privation de certains services ou avantages. Elle précise que la personne ne doit être exposée à aucune conséquence négative en cas de refus et doit pouvoir continuer à accéder au site internet en question. Elle considère ainsi que cette pratique n’est pas conforme au RGPD, car ne permettant pas à la personne d’effectuer un choix libre. Cette position est identique à celle du CEPD admettant que l’accès aux services ne doit pas être conditionné par la collecte préalable du consentement quant au dépôt ou pas des cookies et autres traceurs, au risque que ce consentement ne soit considéré comme étant invalide.
Des moyens à disposition des utilisateurs
Dans un objectif d’assurer une protection effective des utilisateurs lors de la navigation en ligne, l’APD fournit un certain nombre de consignes dans l’objectif de limiter le dépôt des cookies et autres traceurs :
- Naviguer en mode privé, qui permet d’effacer les informations de navigation après fermeture du navigateur et donc d’éviter de laisser des traces liées à la navigation
- Configurer les paramètres du navigateur en autorisant ou en refusant de manière permanente l’enregistrement des cookies. Le choix pouvant être effectué peut toutefois ne pas être précis et cela dépend du navigateur en question
- Effacer les données de navigation via les paramètres de configuration
- Installer des extensions permettant d’empêcher l’exécution de certains scripts
1 La nouvelle loi du 30 juillet 2018 sur le droit à l’image de l’APD
2 Loi belge relative aux communications électroniques
3 L’APD définit ses priorités pour l’année 2023
4 Rapport d’Inspection de l’APD concernant l’utilisation de cookies sur le site web du groupe Rossel
