Les cookies et la loi Obligations et exemples

La Belgique

Ce que dit la loi

Loi existante

• Obligation de fournir une

information claire et précise

à propos du système de

collecte de données.

• L'utilisateur doit avoir la

possibilité de refuser cette

collecte sauf si c'est pour

facilité la communication ou si

c'est indispensable pour

fournir ce qui a été demandé.

-> Opt-out pas toujours suffisant

Nouveau régime

• Obligation de fournir une

information claire et

précise à propos système

de collecte de données.

• L'utilisateur doit donner son

consentement après avoir

pris connaissance des

conditions.

• L'utilisateur doit avoir la

possibilité de refuser cette

collecte.

Évolutions

La commission privée avait demandé d'ajouter le terme "précis/non

douteux" concernant le consentement nécessaire de l'utilisateur. Ce

qui aurait impliqué :

• un consentement explicite pour les cookies intrusifs (3ème partie) :

opt-in

• une exception pour les cookies non-intrusif (1ère partie) : opt-out

(browser setting et privacy policy suffisant)

Le législateur belge a pris la décision de ne pas ajouter au nouveau

régime les mots "préalable", "écrit" et "précis/non douteux". Il n'y a

donc pas de consentement explicite requis.

-> le consentement de l'utilisateur peut être acquis par des informations

claires et une redirection vers les browser settings.

Ce qui doit être mis en place

• l'utilisateur doit être informé des cookies qui sont placés lorsqu'il

consulte un site :

o qualité et visibilité de l'information

o instructions claires à propos de la procédure à suivre pour

désactiver les cookies

• Importance faible pour les cookies de 1ère partie et élevée pour les

cookies de 3ème partie

-> Pop-up dès la HP comportant :

• un message informatif (consentement implicite)

• un lien vers la documentation complète qui renvoie vers les

browser setting, le privacy policy ou une page de gestion dédiée.

Le lien vers l'explication doit toujours être visible sur le site.

Exemples http://www.bbc.co.uk/

http://www.guardian.co.uk/

http://www.bbc.co.uk/privacy/cookies/managing/cookie-settings.html

Exemples http://www.radisson.com/

http://www.fr.ford.be/

OBA

OBA (cookie 3ème partie / retargeting)

Règles

• Afficher l'icône près de la pub ou sur la page à partir de

laquelle les données sont collectées

• Un clic sur l'icône renvoie vers plus d'informations

• Les utilisateurs doivent pouvoir désactiver les cookies

OBA via youronlinechoices.eu

• Opt-in nécessaire pour la collecte d'URLs

Sanctions (gérées par l'EDAA)

• Des audits seront probablement conduits et les

consommateurs pourront se plaindre

• Une icône de certification sera attribuée aux sites

conformes

• des sanctions pourront être prises

icône OBA

Ex d'icône de certification

En pratique

Exemple

youronlinechoices.eu

• information OBA

• Gestion de ses préférences

• Pan européen

L'Europe

Europe

Allemagne

• Opt-in pour les cookies qui collectent des données à caractère

personnel

• Opt-out pour les autres

UK

• Focus sur les informations données. Les browser settings ne sont

pas suffisants.

• Le consentement implicite n'est valable que si l'utilisateur comprend

que son approbation consiste en l'installation de cookies. Les

informations ne peuvent donc pas être cachées dans les privacy

policies et elles doivent être facilement compréhensibles.

• Exeptions : cookies pour le shopping basket, cookies techniques et

cookies pour la sécurité bancaire.

• Les WA ne sont pas exemptés mais le risque de confidentialité étant

faible, si les informations fournies sont claires et si il y a un

mécanisme facile d'opt-out, ces cookies peuvent persister.

France

• Consentement préalable et explicite nécessaire

• Browser settings non valides

• Sanctions : 300.000€

• Exceptions :

o WA sous certaines conditions

o Shopping basket

o cookies de sessions et de langues

o cookies qui assurent la sécurité

o cookies qui permettent d'afficher l'audio et la vidéo demandée

Pays-Bas

Quid?

• Site hébergé dans le pays 1

• Qui cible le pays 2

• Qui est géré dans le pays3

Dans ce cas, il faut tenter de répondre à toutes les lois -> utiliser la plus

stricte!