François Charlet

Actualités, opinions et analyses juridiques et technologiques internationales et suisses

Incompatibilité entre le RGPD et les cookie walls

26/03/2019 3 Min. lecture Droit François Charlet

L’autorité de protection des données des Pays-Bas a indiqué il y a quelques semaines, après avoir reçu de nombreuses plaintes, que les cookie walls n’étaient pas conformes au RGPD.

Un cookie wall est un dispositif qui empêche un internaute d’accéder à un service (par ex. un site web) s’il n’a pas accepté que des cookies de tracking soient installés sur son périphérique. Un tel cookie wall n’est donc pas admissible au sens du RGPD car l’internaute n’est pas libre de donner son consentement à un traitement de données visant à analyser son comportement. En effet, l’internaute est confronté à un choix qui exerce sur lui une pression non négligeable : soit il renonce à un peu de vie privée pour accéder au service, soit il n’y accède pas. Le choix n’est donc ni libre, ni réel, puisque l’internaute s’expose à des conséquences en cas de refus.

Le suivi et l’enregistrement numériques du comportement de surf sur Internet via un logiciel de suivi ou d’autres méthodes numériques constituent l’un des traitements les plus importants de données à caractère personnel, car presque tout le monde est actif sur Internet. Pour protéger la vie privée, il est donc important que les parties demandent la permission des visiteurs du site web. De cette manière, les personnes peuvent faire un usage conscient et correct de leur droit à la protection des données personnelles. Si un site web demande la permission de suivre les cookies et si l’accès au site web ou au service lui est refusé, les personnes cèdent leurs données personnelles sous pression, ce qui est illégal.

Aleid Wolfsen, président de l’autorité néerlandaise de protection des données

L’autorité de protection ajoute qu’il n’y a rien de mal à ce qu’on site ait besoin de cookies pour assurer ses fonctions de base, y compris par l’analyse générale des visites effectuées sur ledit site. Cependant, des analyses plus précises et profondes du comportement des internautes nécessitent une autorisation qui doit pouvoir être donnée en toute liberté, sans pression aucune.

Comment alors ?

Premièrement il faut prévenir, dès l’accès au service, que des cookies sont utilisés et, surtout, quels types. On distingue en général les cookies essentiels (préférences, panier d’achats, etc.) des cookies non-essentiels (marketing, analytics, social media, etc.).

Dans l’information montrée au visiteur, qui contiendra des renseignements succincts ainsi qu’un lien vers la politique de confidentialité, deux options au moins doivent être présentées :

  • tout accepter (c’est l’option que le service souhaiterait que le visiteur choisisse)
  • sélectionner les cookies non-essentiels qu’on accepte, étant précisé que les cookies essentiels n’ont pas à obtenir d’autorisation.

La manière dont ces options sont présentées importe peu, tant que tout est clair pour le visiteur et qu’il peut facilement prendre une décision.

Protection des données Sphère privée
© 2008 - 2024 François Charlet
This work is licensed under a Creative Commons Attribution 4.0 International License