La nouvelle lois sur les cookies risquent d'entraîner quelques changements dès la création d'un site web. Voici ce qu'il est permis et comment mettre en place concrètement cette nouvelle lois.
3. Ce que dit la loi
Loi existante Nouveau régime
• Obligation de fournir une
• Obligation de fournir une
information claire et
information claire et précise
précise à propos système
à propos du système de
de collecte de données.
collecte de données.
• L'utilisateur doit donner son
• L'utilisateur doit avoir la consentement après avoir
possibilité de refuser cette pris connaissance des
collecte sauf si c'est pour conditions.
facilité la communication ou si
c'est indispensable pour • L'utilisateur doit avoir la
fournir ce qui a été demandé. possibilité de refuser cette
collecte.
-> Opt-out pas toujours suffisant
4. Évolutions
La commission privée avait demandé d'ajouter le terme "précis/non
douteux" concernant le consentement nécessaire de l'utilisateur. Ce
qui aurait impliqué :
• un consentement explicite pour les cookies intrusifs (3ème partie) :
opt-in
• une exception pour les cookies non-intrusif (1ère partie) : opt-out
(browser setting et privacy policy suffisant)
Le législateur belge a pris la décision de ne pas ajouter au nouveau
régime les mots "préalable", "écrit" et "précis/non douteux". Il n'y a
donc pas de consentement explicite requis.
-> le consentement de l'utilisateur peut être acquis par des informations
claires et une redirection vers les browser settings.
5. Ce qui doit être mis en place
• l'utilisateur doit être informé des cookies qui sont placés lorsqu'il
consulte un site :
o qualité et visibilité de l'information
o instructions claires à propos de la procédure à suivre pour
désactiver les cookies
• Importance faible pour les cookies de 1ère partie et élevée pour les
cookies de 3ème partie
•
-> Pop-up dès la HP comportant :
•
un message informatif (consentement implicite)
un lien vers la documentation complète qui renvoie vers les
browser setting, le privacy policy ou une page de gestion dédiée.
Le lien vers l'explication doit toujours être visible sur le site.
9. OBA (cookie 3ème partie / retargeting)
Règles
• Afficher l'icône près de la pub ou sur la page à partir de icône OBA
laquelle les données sont collectées
• Un clic sur l'icône renvoie vers plus d'informations
• Les utilisateurs doivent pouvoir désactiver les cookies
OBA via youronlinechoices.eu
• Opt-in nécessaire pour la collecte d'URLs
Sanctions (gérées par l'EDAA)
• Des audits seront probablement conduits et les Ex d'icône de certification
consommateurs pourront se plaindre
• Une icône de certification sera attribuée aux sites
conformes
• des sanctions pourront être prises
15. Allemagne
• Opt-in pour les cookies qui collectent des données à caractère
personnel
• Opt-out pour les autres
16. UK
• Focus sur les informations données. Les browser settings ne sont
pas suffisants.
• Le consentement implicite n'est valable que si l'utilisateur comprend
que son approbation consiste en l'installation de cookies. Les
informations ne peuvent donc pas être cachées dans les privacy
policies et elles doivent être facilement compréhensibles.
• Exeptions : cookies pour le shopping basket, cookies techniques et
cookies pour la sécurité bancaire.
• Les WA ne sont pas exemptés mais le risque de confidentialité étant
faible, si les informations fournies sont claires et si il y a un
mécanisme facile d'opt-out, ces cookies peuvent persister.
17. France
• Consentement préalable et explicite nécessaire
• Browser settings non valides
• Sanctions : 300.000€
• Exceptions :
o WA sous certaines conditions
o Shopping basket
o cookies de sessions et de langues
o cookies qui assurent la sécurité
o cookies qui permettent d'afficher l'audio et la vidéo demandée
19. Quid?
• Site hébergé dans le pays 1
• Qui cible le pays 2
• Qui est géré dans le pays3
Dans ce cas, il faut tenter de répondre à toutes les lois -> utiliser la plus
stricte!