Le règlement général sur la protection des données (RGPD) de l'UE a été adopté en 2016 et est appliqué depuis 2018. Bien que la plupart des entreprises aient adopté des bannières de cookies pour tenter de se conformer au RGPD, de nombreuses notifications de cookies ne répondent pas réellement aux exigences strictes du RGPD.
L'une des principales raisons pour lesquelles ces solutions ne sont pas RGPD RGPD est qu'elles utilisent des cases à cocher pré-cochées. En vertu du RGPD, les organisations ne sont pas autorisées à utiliser des méthodes d'opt-out ou de consentement implicite, y compris le silence, l'inactivité et les cases pré-cochées.
Lisez la suite pour savoir pourquoi les cases à cocher RGPD ne sont généralement pas autorisées pour obtenir le consentement aux cookies, quand elles le sont et comment vous pouvez générer une politique de cookies RGPD.
- Aperçu des exigences du RGPD en matière de consentement
- Tous les cookies nécessitent-ils le consentement de l'utilisateur ?
- Pourquoi les cases à cocher pré-cochées ne sont-elles pas autorisées ?
- Quand les cases pré-cochées sont-elles acceptables ?
- Que se passe-t-il si vous utilisez des cases à cocher pré-cochées pour les cookies ?
Aperçu des exigences du RGPD en matière de consentement
Comparé à d'autres lois sur la protection de la vie privée, le RGPD a une définition étroite du consentement. Comme le prévoit l'article 7, il est interdit aux organisations de recourir au consentement implicite ou à l'opt-out.
Au lieu de cela, le consentement doit être :
- Un acte affirmatif clair
- Librement consentie
- Spécifique
- Informé
- Sans ambiguïté
En outre, les entreprises doivent donner aux utilisateurs un moyen facile de retirer leur consentement une fois qu'ils l'ont donné. Poursuivez votre lecture pour savoir pourquoi les cases à cocher pré-cochées ne répondent pas à la définition d'un consentement valide selon le RGPD.
Tous les cookies nécessitent-ils le consentement de l'utilisateur ?
Le RGPD ne mentionne les cookies qu'une seule fois dans ses 88 pages. Pour plus d'informations, nous devons nous référer à un autre règlement de l'UE : la directive "vie privée et communications électroniques - surnommée la loi sur les cookies.
Si l'on rapproche le RGPD la directive "vie privée et communications électroniques", on constate que les cookies Internet nécessitent généralement le consentement de l'utilisateur. En effet, l'objectif de la directive "vie privée et communications électroniques " est de protéger les utilisateurs contre les ingérences dans leur "sphère privée". Cela inclut les risques associés aux identifiants cachés et aux fichiers similaires placés sur les appareils des utilisateurs à leur insu, en plus des données personnelles de ces derniers.
Toutefois, il existe deux types de cookies Internet qui ne nécessitent pas le consentement de l'utilisateur.
Cookies qui doivent être présents pour qu'un site puisse fournir des fonctions de base
Vous n'avez pas besoin du consentement de l'utilisateur si vous utilisez des cookies strictement nécessaires. Il s'agit de cookies qui doivent être présents pour que le site puisse fournir des fonctions essentielles, notamment :
- Cookies qui permettent à votre boutique en ligne de conserver les articles d'un client dans son panier.
- Cookies d'authentification
- Cookies de sécurité centrés sur l'utilisateur
- les plugins de médias sociaux pour le partage de contenu, à condition qu'ils ne soient pas utilisés pour suivre les utilisateurs
- Cookies de personnalisation de l'interface utilisateur
les cookies utilisés uniquement pour communiquer sur un réseau de communications électroniques
Ces types de cookies sont appelés cookies d'équilibrage de charge. Ils sont également considérés comme des cookies strictement nécessaires et ne requièrent pas le consentement de l'utilisateur tant qu'ils sont stockés sur l'appareil de l'utilisateur pour la durée de la session. Il s'agit par exemple des cookies qui :
- Échanger les données dans l'ordre prévu
- Envoyer des informations sur un réseau
- Détecter les pertes de données ou les erreurs de transmission
Tous les autres cookies - généralement liés à l'analyse et à la publicité - nécessitent un consentement parce qu'ils sont axés sur le bénéfice de l'entreprise et non sur celui de ses utilisateurs.
Pourquoi les cases à cocher pré-cochées ne sont-elles pas autorisées ?
En clair, les cases à cocher RGPD pré-cochées ne sont pas autorisées car elles ne constituent pas un consentement valable.
Cette question a été examinée en détail par la Cour de justice de l'Union européenne (CJUE) dans l'affaire 2019 Planet49.
En résumé, Planet49 a organisé une loterie sur son site web : Planet49 a organisé une loterie sur son site web et, pour y participer, les utilisateurs devaient cocher une case pour consentir à recevoir des messages publicitaires de la part de tiers. Les utilisateurs pouvaient également choisir de décocher une case pré-cochée pour consentir à l'utilisation de cookies.
Dans son arrêt, la CJUE a établi que les sites web doivent obtenir le consentement valable des utilisateurs pour stocker des cookies sur leurs appareils. En particulier, les sites web doivent donner aux utilisateurs la possibilité de donner leur consentement actif avant de placer des cookies sur leurs ordinateurs.
Le consentement actif signifie que l'utilisateur doit faire quelque chose pour indiquer son consentement.
Étant donné que les cases pré-cochées RGPD n'exigent pas de l'utilisateur qu'il fasse quelque chose pour indiquer son consentement, elles ne sont pas considérées comme un consentement valable. Au lieu de demander à l'utilisateur de cocher une case pour indiquer son consentement, les cases pré-cochées n'exigent rien de l'utilisateur, juste le silence et la passivité.
La CJUE a également noté que :
- Le consentement doit être donné "sans ambiguïté", et seul un comportement actif et affirmatif de l'utilisateur peut satisfaire à cette exigence.
- Il est impossible de déterminer objectivement si un utilisateur a donné son consentement éclairé en ne cochant pas une case pré-cochée. En effet, il se peut que l'utilisateur n'ait pas lu les informations figurant à côté de la case pré-cochée ou qu'il l'ait entièrement ignorée.
- Il n'est pas possible d'obtenir un consentement valable pour plusieurs objectifs dans le cadre d'une même demande. Par exemple, vous ne pouvez pas obtenir un consentement valable de la part d'un utilisateur s'il coche une case pour divulguer des informations à des sponsors et autoriser l'utilisation de cookies.
L'utilisateur doit pouvoir sélectionner activement la case à cocher pour laquelle il souhaite donner son consentement si l'on veut que celui-ci soit considéré comme non ambigu.
Autres éléments à prendre en compte pour déterminer le consentement
Selon les orientations de mai 2020 du Conseil européen de la protection des données (CEPD) sur le consentement RGPD , les entreprises doivent également renouveler tout consentement obtenu dans le cadre du régime juridique précédent.
Par exemple, avant le RGPD, la directive "vie privée et communications électroniques" autorisait les cases à cocher pré-cochées à condition qu'elles soient utilisées pour obtenir le consentement.
Cela signifie que si vous avez utilisé une case à cocher pré-cochée avant l'entrée en vigueur du RGPD , vous devez à nouveau demander le consentement en utilisant une méthode valide.
Quand les cases pré-cochées sont-elles acceptables ?
En résumé, les cases pré-cochées ne sont pas acceptables pour les cookies non essentiels car elles ne répondent pas aux exigences du RGPDen matière de consentement, mais vous pouvez les afficher pour les cookies essentiels.
Les cases à cocher pré-cochées sont-elles acceptables pour les cookies essentiels ?
Il n'est pas nécessaire d'utiliser des cases à cocher pré-cochées pour les cookies "essentiels" qui ne requièrent pas de consentement en premier lieu. Parce qu'ils ne requièrent aucune forme de consentement de la part de l'utilisateur, il n'est pas nécessaire de donner aux utilisateurs la possibilité de refuser les cookies essentiels.
Toutefois, si vous le souhaitez, vous pouvez choisir d'inclure une case à cocher pré-cochée pour les cookies essentiels. L'utilisation d'une case à cocher pré-cochée pour les cookies essentiels peut aider le public à comprendre la différence entre les cookies essentiels et non essentiels et à savoir qu'il a la possibilité d'accepter les cookies non essentiels.
Les cases à cocher pré-cochées sont-elles acceptables pour d'autres cookies ?
Non, les cases à cocher pré-cochées ne sont pas acceptables pour les cookies non essentiels. Comme nous l'avons vu plus haut, les cookies non essentiels requièrent un consentement valable. Cela signifie que vous ne pouvez pas utiliser une case à cocher pré-cochée pour obtenir ce consentement.
Que se passe-t-il si vous utilisez des cases à cocher pré-cochées pour les cookies ?
L'UE est toujours à l'affût des entreprises qui enfreignent le RGPD et les normes strictes de la directive "vie privée et communications électroniques". Voici deux exemples récents illustrant ce qui pourrait arriver si vous ne respectez pas les règles de l'UE en matière de cookies.
L'amende de 121 millions de dollars infligée par Google pour les cookies
Le 10 décembre 2020, la Commission nationale de l'informatique et des libertés (CNIL), l'autorité française chargée de la protection des données, a infligé à Google une amende colossale de 121 millions de dollars (100 millions d'euros) pour n'avoir pas obtenu de consentement préalable avant de placer des cookies non essentiels sur les navigateurs des utilisateurs.
La CNIL a découvert que lorsque les utilisateurs se rendaient sur le site Google.fr, des cookies publicitaires étaient automatiquement placés sur leur navigateur sans qu'aucune action ne soit requise de leur part. Google n'a pas utilisé de case pré-cochée, mais n'a pas donné aux utilisateurs la possibilité d'exercer leur droit d'opposition.
Google.fr n'avait qu'une bannière d'information au bas de la page, qui contenait un rappel de confidentialité de Google et deux boutons, "Accéder maintenant" et "Me rappeler plus tard".
Il n'y avait pas non plus d'information sur les cookies publicitaires non essentiels qui avaient déjà été placés sur les ordinateurs des utilisateurs lorsqu'ils arrivaient sur Google.fr.
L'amende de 42 millions de dollars infligée à Amazon pour ses biscuits
Le même jour, la CNIL a infligé à Google une amende de 35 millions d'euros (42 millions de dollars) à Amazon.
Comme Google.fr, Amazon.fr place automatiquement des cookies sur les ordinateurs des utilisateurs sans leur demander de faire quoi que ce soit pour indiquer leur consentement. Les informations fournies sur les cookies n'étaient également "ni claires ni complètes".
Comme pour Google.fr, le site bannière de cookies d'Amazon n'offrait pas aux utilisateurs la possibilité d'accepter les cookies, et le site plaçait des cookies sur les appareils des utilisateurs avant qu'ils n'aient eu la possibilité de lire le site politique de cookies d'Amazon ou d'exercer leur droit de refus. Au lieu de cela, il a déclaré que les utilisateurs étaient réputés avoir accepté l'utilisation de cookies par le site en utilisant le site web.
Ces affaires montrent clairement que le fait de s'appuyer sur un consentement implicite ou sur des cases à cocher pré-cochées expose votre organisation à des sanctions importantes. En vertu du RGPD et de la directive "vie privée et communications électroniques", le consentement doit être explicite, éclairé et fondé sur une action claire de l'utilisateur, et non sur des suppositions.
Pour vous assurer que vos pratiques en matière de cookies respectent les normes légales, utilisez une solution telle que la plateforme de gestion du consentement deTermly, qui vous aide à recueillir des consentements valides, à gérer les préférences et à tenir des registres appropriés sur l'ensemble de votre site.
