Ces documents définissent officiellement les cookies comme des données personnelles pour la responsabilité extraterritoriale ainsi que l’imposition d’énormes amendes aux propriétaires de sites pour l’usage illégale de ce type des fichiers.
Vu l’absence de poursuites judiciaires et de punition réelle, les représentants d’entreprises se sentaient en sécurité. Autrement dit: “quand le chat n’est pas là, les souris dansent.” Pourtant le chat est toujours là. L’une des plus lourdes amendes est celle imposée à Vueling Airlines par l’Agence espagnole de protection des données, pour la violation de la loi sur des cookies en octobre 2019 ce qui représente 30,000 euros. Cela est arrivé à cause de l’absence de la possibilité de refuser l’installation de cookies tiers.
A la suite d’une autre analyse de ce type, il est devenu évident que de nombreuses entreprises ont aussi mis en ordre leurs ressources web en aspirant à appliquer les exigences du RGPD. Tout de même, il semble qu’en raison de la mauvaise compréhension des exigences ou d’un manque de volonté de “gâcher“ l’interface utilisateur du site web, une organisation sur deux exerce incorrectement la politique de cookies sur ses ressources.
Sommaire
Vous devez respecter ces règles si le site utilise des cookies pour créer un profil d’utilisateur dans le réseau. Cependant, cela n’implique pas:
- Les cookies qui sont strictement nécessaires au bon fonctionnement du site.
- Les cookies qui sont strictement nécessaires à fournir un service en ligne, comme lorsque l’utilisateur remplit un formulaire en ligne, utilise un panier d’achat ou s’authentifie sur le site pour se connecter au système de prestation des services en ligne.
Alors, revenons aux règles essentielles qui sont les suivantes:
- Les cookies doivent être installés selon le consentement préalable de l’utilisateur.
- Ce consentement doit être donné avec une action claire confirmant le choix de l’utilisateur et s’ il y a une coche dans un formulaire, cette coche ne peut pas être configurée par défaut.
- L’utilisateur doit recevoir des informations claires et compréhensibles sur les objectifs des cookies, l’objectif de l’installation, la durée et les tiers à qui les données de l’utilisateur sont transmises.
- L’utilisateur doit pouvoir changer ou retirer son consentement à tout moment.
- Tous les consentements aux cookies doivent être enregistrés puisque le propriétaire du site en tant que contrôleur ou gestionnaire de données doit pouvoir confirmer que le consentement a été obtenu.
Jetons un œil sur les trois exemples de mauvaise mise en œuvre de la politique en matière de cookies, qui sont les plus fréquents sur les sites web disposant de contrôleurs et de gestionnaires de données à caractère personnel.
Cette pratique est répandue parmi les ressources web. Conformément aux politiques en matière de cookies, fournies sur le site web, l’utilisateur aura installé des cookies techniques, des cookies fonctionnels et des cookies des entreprises de marketing tierces.
Toutefois, les avertissements sur la bannière en bas de la page se lit d’habitude comme suit: « Ce site web utilise des cookies techniques et analytiques ainsi que des cookies de profilage de tiers. Si vous sélectionnez “Continuer” ou accédez à notre site web sans le faire, vous consentez à utiliser des cookies. Pour en savoir plus et refuser d’utiliser des cookies, cliquez ici.”
Dans les cas ci-dessous, nous observons la violation de toutes les règles susmentionnées:
- Les cookies sont installés automatiquement lorsque l’utilisateur accède au site web.
- Le fait de continuer à utiliser le site web ou de cliquer sur le bouton “Continuer” ne constitue pas une confirmation claire, parce que l’utilisateur n’a pas le droit de choisir et qu’il ne peut pas refuser d’installer des cookies.
- Les informations fournies dans le cadre de la politique en matière de cookies ne contiennent pas de périodes de stockage spécifiques pour certains cookies.
- Il n’y a pas de mécanisme servant à retirer le consentement d’utiliser des cookies sur le site web; Vous ne pouvez que désinstaller les cookies via les paramètres de votre navigateur.
- Comme il n’existe pas de mécanisme clair pour obtenir le consentement, il est tout simplement impossible de confirmer que ce consentement a été obtenu.
Exemple 2. Une bannière contenant le consentement correct qui ne fonctionne sur toutes les pages du site web
En guise d’exemple, considérons une boutique en ligne française.
La bannière de consentement affichée sur la page principale du site web se conforme aux règles et au guide de protection des données, auxquels il est fait référence dans le texte, fournit une description détaillée de la politique de l’entreprise en matière de cookies. Mais, si vous allez plus loin et ouvrez une autre page, la magie peut se produire.
Ce qui parait magique c’est que la bannière qui semble répondre à toutes les exigences à vrai dire ne fonctionne pas. L’installation de cookies, même si cela est strictement nécessaire, n’est pas bloquée avant qu’on obtienne le consentement, ce qui signifie que le site web ne respecte pas toutes les règles. Dans ce cas, nous pouvons dire que seules les deuxième et troisième règles sur les cinq ont été suivies.
Il arrive aussi que l’entreprise ait mis au point un mécanisme visant à obtenir le consentement, mais n’a pas fourni d’informations sur l’objectif de certains cookies et leur durées de stockage de manière transparente.
Le site web dispose de la bannière de consentement pour gérer les cookies spécifiques, et ce qui est important c’est que le mécanisme de blocage fonctionne. Toutefois, les informations sur les cookies ne sont pas très précises; il n’y a pas de renseignements sur les entreprises dont les cookies tiers sont installés, ni de données sur la durée de stockage d’au moins certains types de cookies sur le site web. Dans ces cas-là, l’un des plus important principe du RGPD, la transparence de traitement, est violé, et donc la troisième règle est aussi violée. Ce qui peut être utilisé en matière d’exemple d’une politique totalement transparente en matière de cookies, est la politique publiée sur le site web de la Commission européenne
C’étaient des exemples clairs des erreurs communes dans la mise en œuvre des exigences du droit européen en matière de protection des données et de la vie privée. Ils démontrent également que le travail des régulateurs européens laisse s’inquiéter de nombreux contrôleurs et gestionnaires des données à caractère personnel à cause des problèmes de conformité. Il y a deux ans personne n’abordait le sujet de l’utilisation des cookies sur la plupart des sites, mais aujourd’hui la situation a radicalement changé. Cela devrait plaire aux utilisateurs qui veulent contrôler les données, puisque selon la Commission européenne sur la protection et la sécurité des données, c’est le but essentiel du RGPD.
Deux options s’imposent …
La pratique montre qu’actuellement les propriétaires de sites qui sont contrôleurs ou gestionnaires ont deux options. La première option consiste à assurer la conformité absolue aux règles établies d’une manière indépendante ou avec la participation de spécialistes tiers. La seconde option consiste à refuser l’utilisation des cookies à l’exception de ceux qui permettent le bon fonctionnement du site web et la fourniture de services de base aux clients, comme cela se fait sur le site web de l’Agence espagnole de protection des données.
