Site web et conformité des cookies selon l’APD belge
Mon site web est-il concerné par les exigences de l’Autorité belge de protection des données ?
Si votre site reçoit des visiteurs belges alors vous devez suivre les instructions de l’APD en ce qui concerne l’utilisation des cookies et autres traceurs. Vous êtes concerné peu importe le lieu d’hébergement de votre site, en Belgique ou ailleurs dans le monde.
Le consentement ne concerne pas uniquement les cookies que vous utilisez vous-même (cookies propres) pour le traitement des données mais aussi les cookies déposés par des tiers. Il est possible que vous ne soyez pas au courant de l’utilisation de ces cookies tiers et donc que, sans le savoir, vous ne garantissiez pas le droit au consentement de vos utilisateurs.
N’oubliez pas également que si vous recevez sur votre site des visiteurs situé en dehors de la Belgique, le traitement de leurs données doit être conforme aux législations locales, c’est-à-dire au CCPA en Californie, à la LGPD au Brésil, au POPIA en Afrique du Sud, et aux lignes directrices et autres recommandations des autorités de protection des données, comme celles de la CNIL en France ou l’AP au Pays-Bas.
Cela peut paraitre extrêmement complexe, mais n’ayez crainte, se mettre en conformité peut être beaucoup plus simple qu’il n’y parait grâce à une plateforme de gestion des consentements comme Cookiebot CMP.
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Pourquoi établir un consentement conforme ?
Fondamentalement, il s’agit de respecter les utilisateurs de votre site.
Demander le consentement avant de traiter leurs données est essentiel pour garantir le droit à la vie privée. Les règles définissant le consentement conforme permettent de protéger ce droit et d’uniformiser les pratiques.
Les différentes autorités de protection des données à travers le monde sont responsables de délivrer des sanctions si la législation en vigueur n’est pas respectée.
En Belgique, l’Autorité de Protection des Données (APD) effectue des contrôles réguliers. Il est donc important d’établir un consentement aux cookies conforme pour respecter le droit à la vie privée et ainsi éviter de lourdes sanctions.
L’Autorité de protection de données et les cookies
L’APD c’est quoi ?
L’Autorité de protection des données (APD) est l’autorité administrative responsable du contrôle et de la bonne application du RGPD en Belgique. Elle remplace la Commission de la protection de la vie privée depuis le 25 mai 2018, suite à la loi du 3 décembre 2017. Elle est en mesure de mener des audits et d’imposer des sanctions.
L’APD est à la fois guide et contrôleur. D’une part, elle veille à bien informer les internautes et propriétaires de site web quant aux règles en vigueur, par la publication de lignes directrices et recommandations par exemple, et d’autre part elle a le pouvoir de faire appliquer ces règles.
Sanctions de l’Autorité de protection des données
En cas de non-respect du RGPD, l’Autorité de protection de données peut exiger des mesures correctrices au responsable de traitement ou de son sous-traitant. Celles-ci comprennent la mise en conformité dans un délai déterminé, la limitation de traitement, la rectification ou effacement de données, mais aussi des sanctions financières dissuasives.
Le 17 décembre 2019, la Chambre Contentieuse de l’APD a condamné un site web belge à une amende de 15 000 euros pour atteintes commises par un site web à ses obligations de transparence et de consentement en matière de cookies comme établis dans le RGPD.
A l’occasion des deux ans du règlement général sur la protection des données (RGPD), le 25 mai 2020, l’APD a annoncé que le Service d’Inspection de l’APD, jusqu’alors principalement réactif, allait adopter une politique plus proactive en lançant des enquêtes de grande envergure.
Ainsi, le 14 juillet 2020, l’APD a infligé une amende de 600 000 euros à Google Belgium pour non-respect du droit à l’oubli. Bien que cette amende ne concerne pas directement l’utilisation de cookies, elle témoigne d’une ambition de mieux protéger la vie privée en ligne.
Missions de l’Autorité de protection des données
L’APD a pour objectif d’ « aider les citoyens à garder le contrôle sur leurs données à caractère personnel et guider les professionnels dans leur mise en conformité ». Elle oriente ses missions autour de 5 axes :
- Informer les citoyens et les acteurs privés et publics et intervenir en tant que médiateur
- Les conseiller et les aider à interpréter
- Les guider et surveiller les évolutions
- Constituer une jurisprudence cohérente et intervenir énergiquement
Consultez le site de l’APD ici.
En ce qui concerne les cookies, l’APB se rapporte à la législation en vigueur pour orienter son action.
Lois sur les cookies : RGPD, ePrivacy, loi belge sur la protection des données
En Belgique, l’utilisation de cookies est soumise à deux types de législation : belge et européenne. Essayons d’y voir plus clair.
Le RGPD, ou règlement général sur la protection des données, est un règlement contraignant dans tous les États membres de l’UE depuis mai 2018. Ainsi, il n’a pas nécessité de transcription en droit belge. Il porte sur la protection des données à caractère personnel indépendamment du type de données (pas seulement les informations numériques des utilisateurs) et la manière dont les sociétés doivent garantir la transparence et documenter le consentement des utilisateurs. Il n’adresse donc pas en détail les problématiques liées aux cookies (le mot « cookie » n’est mentionné qu’une seule fois). En Belgique, le RGPD est placé sous l’autorité de l’APD.
Informez-vous sur le RGPD et lisez le texte de la loi RGPD.
La directive « vie privée et communications électroniques » ou ePrivacy, est un acte juridique plus ancien, adopté en 2002 et mis à jour en 2009, qui traite principalement des cookies, de la conservation des données numériques et des e-mails non sollicités. Il s’agit, comme mentionné précédemment, d’une directive et non d’un règlement, et elle nécessite donc d’être transcrite en droit belge..
Lisez la directive ePrivacy ici.
La loi sur la Protection des Données, de son nom complet la loi relative à la protection des personnes physiques relativement au traitement de données à caractère personnel, est une loi belge qui règlemente le traitement des données personnelles des citoyens belges. Elle est entrée en vigueur le 5 septembre 2018 pour inclure les règles du RGPD et remplace la loi sur la protection des données du 8 décembre 1992.
Jetez un coup d’œil à la loi sur la Protection des Données ici.
Ces trois documents de droit belge et européen représentent les bases juridiques sur lesquelles s’appuie l’APD. Grâce à une plateforme de gestion des consentements, vous pouvez facilement vous mettre en conformité avec toutes ces règles complexes.
Comment rendre mon utilisation des cookies conforme grâce à Cookiebot CMP ?
Le 9 avril 2020, l’APD a publié des lignes directrices sur son site web pour informer les internautes de leurs droits en ce qui concerne les cookies et autres traceurs. Bien que ces informations ne s’adressent pas directement aux propriétaires de site web et aux responsables de traitement des données, il est impératif de les connaître et de se conformer à ces exigences pour protéger les droits des utilisateurs de votre site web et ainsi éviter les sanctions de l’APD.
Cette publication fait suite à la recommandation n° 01/2020 relative aux traitements de données à caractère personnel à des fins de marketing direct, publiée le 17 janvier 2020, qui rappelle les contraintes imposées par le RGPD aux campagnes marketing.
Recueil du consentement par un bandeau cookie
De manière générale, il faut éviter la moindre ambigüité quant à la volonté de l’utilisateur de donner son consentement.
L’APD rappelle que le consentement aux cookies doit être préalable à l’insertion ou à la lecture de cookies sur le terminal de l’utilisateur.
Vous devez informer les visiteurs de votre site web des cookies que vous envisagez d’utiliser, ainsi que de leurs finalités et des données qu’ils collectent. Cette information doit être visible, claire et accessible dès qu’un visiteur commence sa navigation sur votre site web.
Comme le conseil l’APB, la solution la plus pratique est de recourir à un bandeau de consentement aux cookies. C’est que propose la solution Cookiebot.
Cookiebot CMP est une plateforme de gestion des consentements qui scanne tous les cookies et traceurs en utilisation sur votre site web pour établir une cartographie adéquate des cookies, comme l’exige l’APD. Ensuite, la solution Cookiebot génère automatiquement un bandeau cookie conforme aux exigences du RGPD.
Dans la suite de cet article, nous détaillons comment le bandeau Cookiebot répond aux exigences de consentement libre, spécifique, informé et activement donné.
Consentement libre, cases pré-cochées et cookie walls
D’après l’APD, le consentement aux cookies n’est valide qui s’il fait l’objet d’un choix réel, c’est-à-dire que l’utilisateur consent sans contrainte, pression ou autre influence extérieure. Cela implique qu’un utilisateur refusant un cookie nécessitant un consentement ne doit pas se voir refuser certains services ou avantages, tel que l’accès au site.
Lorsqu’un utilisateur refuse les cookies, il ne peut être exposé à aucune conséquence négative et doit pouvoir continuer à accéder au site web. Ainsi, d’après l’APD, la mise en place d’un cookie wall n’est pas conforme au RGPD car cette pratique empêche de recueillir le consentement libre puisque l’utilisateur est obligé de consentir aux cookies pour pouvoir accéder au site web. Cette position sur les cookie walls est appuyée par les lignes directrices du Conseil européen de protection des données (EDPB) publiées en mai 2020.
Cookiebot CMP respecte l’exigence de consentement libre en proposant un bandeau de consentement aux cookies couvrant moins de la moitié de l’écran, avec une police de caractères uniformes, des boutons de même taille et de même couleur pour l’autorisation de tous les cookies ou seulement de ceux choisis, etc.
Le bandeau cookie Cookiebot répond à l’exigence de protection des données par défaut, c’est-à-dire qu’en l’absence de choix, aucun traceur n’est mis en place.
Consentement spécifique
Le RGPD requiert que le consentement aux cookies soit spécifique, c’est-à-dire que le consentement de l’utilisateur doit être demandé pour chaque type de finalité poursuivie par les cookies.
L’APD précise que le consentement ne peut pas être donnée pour une utilisation générale de tous les cookies sans autre précision sur les données récoltés via ces cookies ni sur les finalités pour lesquelles ces données sont collectées. Le RGPD requiert un choix plus détailler qu’un simple « tout ou rien » mais n’exige pas de consentement pour chaque cookie individuellement. Un consentement pour chaque type de cookies est suffisant pour être conforme.
Le bandeau cookie proposé par Cookiebot CMP donne accès en un clic à un menu déroulant comprenant le nombre de cookies, les noms des fournisseurs, un court descriptif sur la finalité de chaque cookie et la durée de vie des cookies. Pour proposer une solution conviviale et ergonomique, les cookies sont regroupés en 4 catégories de finalité : nécessaires, préférences, statistiques et marketing.
Consentement éclairé
Les informations sur le consentement doivent être visibles, complètes et mises en évidence. Elles doivent être rédigées en des termes simples et compréhensibles pour tout utilisateur et être disponibles dans toutes les langues du site. Si le site s’adresse à un public francophone et/ou néerlandophone, les informations sur le bandeau de consentement doivent être rédigées en français et/ou en néerlandais.
L’utilisateur doit avoir reçu des informations précises sur :
- l’identité du responsable du traitement (propre ou tiers),
- les finalités poursuivies par les cookies qui vont être déposés et/ou lus,
- les données collectées par ces cookies,
- leur durée de vie,
- un lien vers la politique complète en matière de cookies (différente des conditions générales),
- les droits établis par le RGPD comme le droit de retirer son consentement (art. 7 du RGPD).
Cookiebot CMP suit ces bonnes pratiques en donnant accès en 1 ou 2 clics à partir du bandeau cookie aux informations relatives aux cookies et au droit de retrait du consentement. Le bandeau Cookiebot est disponible en plus de 40 langues. Les informations sont succinctes mais suffisantes pour un premier niveau d’information. Des informations complémentaires sont facilement accessibles via des liens renvoyant à la déclaration relative aux cookies et à la politique confidentialité.
En ce qui concerne les cookies nécessaires, le consentement n’est pas requis mais les informations sur ces cookies sont néanmoins accessibles.
Consentement par un acte positif clair
Le consentement aux cookies ne peut résulter que d’un acte positif clair, comme un click ou l’activation d’un bouton par glissement après qu’une information claire ait été fournie. En d’autres termes, le consentement doit être explicite. Le silence ou l’inactivité d’un utilisateur ne peut pas être considéré comme une indication de son choix, pas plus que le simple fait qu’elle continue à utiliser un service ou qu’elle ne décoche pas une case pré-cochées.
L’APD rejoint ici la position du EDPB sur les cases pré-cochées et du jugement dans l’affaire Planet49 et établit qu’un consentement n’est pas valide s’il est récolté au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement.
L’APD précise également que le consentement aux cookies ne peut pas être déduit du simple fait que l’utilisateur poursuit sa navigation sur le site ou du fait qu’il a accepté les conditions générales d’utilisation du site web. Il ne vous est pas non plus possible, en tant que responsable d’un site web, de déduire le consentement du paramétrage du navigateur de l’utilisateur.
Dans le bandeau cookie Cookiebot, vous pouvez choisir que seuls les cookies strictement nécessaires au fonctionnement de base du site web soient cochés par défaut. Tous les autres cookies et traceurs analogues sont détectés et bloqués automatiquement par le scanneur ultra-performant de Cookiebot CMP et ce jusqu’à l’obtention du consentement. Ainsi, un utilisateur peut continuer la navigation sur le site sans que les cookies soient activés par défaut.
Durée de vie des cookies et retrait du consentement
L’APD ne spécifie pas de durée de vie exacte des cookies. En revanche, elle précise que les cookies ne doivent pas être déposés et/ou lus au-delà du temps nécessaires à l’accomplissement de la finalité poursuivie, et ce même pour les cookies exemptés de consentement.
En ce qui concerne les possibilités de retrait du consentement, l’APD s’appuie sur le RGPD et demande qu’il soit aussi facile de retirer son consentement qu’il est de le donner. L’utilisateur doit être informé avant de donner son consentement des possibilités de le retirer ou modifier.
Cookiebot CMP produit pour chaque site un rapport de cookies qui peut être publié sur n’importe quelle sous page du site par la simple incorporation d’un code JavaScript.
Par exemple, sur le site web de Cookiebot CMP, cette déclaration relative aux cookies est accessible en 1 clic à partir de toutes les sous pages via le bandeau de bas de page.
Les responsables du traitement, tiers ou non, doivent également être dans la capacité de prouver le consentement ou le refus des utilisateurs.
En tant que propriétaire de site web, il est de votre responsabilité de conserver les consentements des utilisateurs et de pouvoir montrer ces preuves à l’APD en cas de contrôle.
Heureusement, Cookiebot CMP suit les conseils de l’APD et, en tant que plateforme de gestion des consentements, vous permet d’enregistrer automatiquement et de manière anonyme les informations liées au consentement à l’aide d’une clé chiffrée. Vous pouvez définir la période de renouvellement du consentement de l’utilisateur avant la réapparition du bandeau lors d’une nouvelle visite. Le consentement peut également être de nouveau requis en cas d’ajout substantiel de responsables de traitement détectés lors d’un audit mensuel automatisé.
Traceurs exemptés du recueil du consentement selon l’APD
Cookies fonctionnels vs. Non-fonctionnels
Le consentement est requis pour tous les types de cookies et autres technologies de traçage, à la seule exception des cookies dits strictement nécessaires ou fonctionnels.
Les cookies fonctionnels sont ceux qui sont nécessaires pour fournir un service explicitement demandé par un utilisateur ou pour réaliser l’envoi d’une communication via un réseau de communications électroniques.
Consultez l’article de Cookiebot CMP sur les cookies Internet pour en apprendre plus.
D’après l’APD, les cookies fonctionnels incluent par exemple :
- les cookies activés par l’utilisateur et définis pour la durée d’une session, qui sont utilisés pour garder une trace des informations saisies par l’utilisateur lorsqu’il remplit plusieurs formulaires en ligne ;
- les cookies d’authentification utilisés pour des services authentifiés (par exemple, un site web offrant des services bancaires en ligne), pour la durée d’une session ;
- les cookies de sécurité centrés sur l’utilisateur qui sont destinés à améliorer la sécurité du service que l’utilisateur a expressément demandé et qui sont utilisés en particulier pour détecter les authentifications illégales, pour une durée limitée et répétée
- les cookies de session créés par un lecteur multimédia, tels que les cookies de lecteur flash, pour la durée d’une session ;
- les cookies de personnalisation de l’interface utilisateur (tels que les cookies de préférence linguistique ou d’affichage des résultats), pour la durée d’une session (ou légèrement plus longue).
A l’inverse des cookies nécessaire, les cookies non-fonctionnels, eux, nécessitent un consentement de l’utilisateur.
L’exemption de consentement pour les cookies nécessaires doit être interprétée de manière restrictive, ce qui signifie qu’en principe, l’utilisation de cookies analytiques ou statistiques, tels que les cookies de mesure d’audience – y compris l’utilisation de Google Analytics – nécessite un consentement en Belgique.
Il en va de même pour les cookies marketing ou de publicités comportementales, et les plug-ins de réseaux sociaux qui utilisent des cookies pour permettre aux plateformes de suivre facilement les internautes.
Les cookies non fonctionnels doivent être paramétrés par défaut comme inopérants sur le site web.
C’est là que l’utilisation de Cookiebot CMP avec le mode consentement de Google peut être très avantageuse.
Mode consentement de Google et Cookiebot CMP
Avec le mode consentement de Google et Cookiebot CMP, vous pouvez faire fonctionner tous les services Google de votre site web en fonction de l’état de consentement de vos utilisateurs finaux – une conformité totale au RGPD avec des données analytiques optimisées et des revenus publicitaires grâce à une solution simple.
Cookiebot CMP gère le consentement des utilisateurs de votre site web, puis communique les états de consentement à l’API qui exécute le mode consentement de Google, qui régit alors tous vos services favoris (comme Google Analytics et Google Ads) en fonction de l’état de consentement de chaque utilisateur individuel de votre site web.
Un utilisateur n’a-t-il pas consenti aux cookies statistiques ou marketing ? Cookiebot CMP indique au mode consentement de Google, qui s’assure ensuite que vous obtenez toujours des informations globales et non identifiables sur les performances de votre site web et la possibilité d’afficher des annonces contextuelles au lieu d’annonces ciblées – en respectant la vie privée des utilisateurs tout en optimisant votre site web.
Avec Cookiebot CMP et le mode consentement de Google, obtenez une conformité au RGPD simple et instantanée, ainsi que des données analytiques optimisées et des revenus publicitaires en une seule solution.
Lancez-vous avec le mode consentement de Google.
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Scannez gratuitement votre site web pour voir quels cookies et traceurs sont utilisés.
Résumé
Dans cet article, nous avons décrit les exigences en matière de cookies pour les sites web recevant des visiteurs belges.
Être en conformité avec les législations belges et européennes en vigueur permet d’éviter de lourdes sanctions administratives, délivrées notamment par l’APD, mais surtout de respecter la vie privée des internautes en créant de la transparence.
Cookiebot CMP et le mode consentement de Google vous accompagnent pour donner aux utilisateurs de votre site web un véritable choix pour le traitement de leurs données et ainsi entretenir leur confiance.
Scannez gratuitement votre site web dès aujourd’hui pour découvrir quels cookies sont utilisés sur votre site web et si ce dernier est conforme.
FAQ
Qu’est-ce que la gestion du consentement conforme au RGPD ?
Selon le RGPD, votre site web doit informer ses utilisateurs de tout traitement de données personnelles qui a lieu sur le domaine, demander le consentement pour l’activation de cookies qui traitent les données personnelles, documenter et stocker de manière sécurisée les consentements obtenus et renouveler le consentement régulièrement.
Qu’est-ce qu’une plateforme de gestion des consentements ?
Une plateforme de gestion des consentements (CMP) est une technologie qui aide les sites web à se conformer aux exigences du RGPD en matière de traitement légal des données personnelles. Les plateformes de gestion des consentements scannent les sites web pour trouver les cookies et les traceurs qui traitent les données à caractère personnel et permettent aux utilisateurs du site web de donner leur consentement à ces cookies avant de traiter les données à caractère personnel.
Essayez Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.
Qu’est-ce qu’un bandeau de consentement conforme selon le RGPD ?
Un bandeau de consentement sur votre site web doit comporter des informations faciles à comprendre sur la configuration des cookies et les pratiques de traitement des données personnelles de votre site web. Un bandeau de consentement valide ne doit pas comporter de cases cochées (cookies activés par défaut), ne doit pas pousser ou forcer les utilisateurs à donner leur consentement (cookie walls) et ne doit pas interpréter comme un consentement l’activité de l’utilisateur telle que le défilement ou la poursuite de la navigation sur le domaine.
Essayez Cookiebot CMP gratuitement pour une conformité totale au RGPD
Les cookie walls sont-ils légaux en Belgique ?
Non, selon l’Autorité de protection des données (APD) et les lignes directrices du Comité européen de protection des données (EDPB) sur le consentement valide dans l’UE, les cookie walls qui conditionnent le consentement à l’accès à un site web sont un moyen illégal d’obtenir le consentement. Au contraire, le consentement doit être granulaire et donné librement. Les utilisateurs doivent pouvoir choisir entre certains cookies et pas d’autres, lorsqu’ils donnent leur consentement.
Ressources
RGPD et consentement aux cookies
Lignes directrices du EDPB sur les cookies et autres traceurs (en anglais)
Directive ePrivacy (« Vie privée et communications électroniques »)
Lignes directrices de l’APD sur les cookies et autres traceurs
Bilan de l’APD pour les 2 ans du RGPD
Recommandation de l’APD sur le marketing direct
Documents et outils pratiques de l’APD
AP néerlandaise sur les cookie walls (en néerlandais)
Lignes directrices de la CNIL sur l’utilisation des cookies en France