Skip to Main Content

Protection des données

Références

BAUDU, Irène. POILVE, Benjamin. Evolution des règles applicables en matière de cookies et autres traceurs : bilan et perspectives. Webinaire de la CNIL. 4 avril 2023 [en ligne] [Consulté le 29.05.2024]

CHARLET, Francois. Cookies et autres traceurs. In : Protection des données en entreprise. Guide pratique. Bâle : Helbing Lichtenhahn, 2023, pp. 276-292

DIAS MATOS, David. Champs d'application technique de la directive ePrivacy : le CEPD présente ses lignes directrices. 20 mars 2024 In: www.swissprivacy.law/289 [en ligne] [Consulté le 27.02.2024]

GONZALEZ, Lysia. Cookies informatiques : comment être en conformité ? 01.01.2024 Fiches pratiques legalstart. [en ligne] [Consulté le 27.03.2024]

GROUPE DE TRAVAIL "ARTICLE 29" SUR LA PROTECTION DES DONNEES. Document de travail no 02/2013 énonçant des lignes directrices sur le recueil du consentement pour le dépôt de cookies. [en ligne] [Consulté le 04.04.2024]

HUNGER, Lucian. La nouvelle LPD et la confusion des bannières de cookies : qu'est-ce-qui s'applique ? Blog Hostpoint. 24.08.2023 [en ligne] [Consulté le 26.03.2024]

METILLE, Sylvain. Nouvelles recommandations sur l'utilisation des cookies. Blog personnel : Sylvain Métille : Protection des données et nouvelles technologies. 22.11.2013 [en ligne] [Consulté le 04.04.2024]

PFPDT. Explications concernant le webtracking. [en ligne] [Consulté le 04.04.2024]

De quoi parle-t-on ?

Les cookies peuvent être catégorisés selon trois manières : 

 

  • Leur durée de vie : on a les cookies permanents qui restent sur l’appareil jusqu’à ce que l’utilisateur les purge (possibilité de les configurer pour une durée limitée) et les cookies de session qui sont détruits automatiquement quand l’utilisateur quitte son navigateur web.
  • Leur provenance : on a les cookies de première partie (provenant du site web visité) et les cookies tiers (provenant des sites web dont le nom de domaine est différent du site web visité)
  • Leur but
  • les cookies essentiels/nécessaires (indispensables au fonctionnement normal du site web)
  • les cookies fonctionnels/de préférence (permettent d’améliorer l’expérience utilisateur - proviennent du site visité ou d’autres : ex. chatbot)
  • les cookies analytiques/statistiques (permettent d’établir des statistiques sur les utilisateurs - en général anonyme mais pas tout le temps)
  • les cookies de publicité/marketing (permettent de faire du profilage de l’utilisateur - en général mis par des sociétés tierces)
  • les cookies de médias sociaux (utilisés lorsqu’un utilisateur clique sur un bouton d’interaction sur le site web visité)

! Les données de Google Analytics sont anonymes mais Google attribue un identifiant unique à chaque visiteur donc Google Analytics est aussi concerné par les lois en matière de protection des données.

 

La finalité des cookies 

  • mémoriser des informations concernant les utilisateurs (identifiant, préférences telles que langue etc.)
  • tracer la navigation (pour des statistiques ou dans un but publicitaire)

La réglementation suisse

Selon la Loi sur les télécommunications (LTC), art. 45c

“Les données enregistrées sur des appareils appartenant à autrui ne peuvent être traitées par voie de télécommunication que [...] a. pour fournir et facturer des services de communication ; b.lorsque l’utilisateur a été informé du traitement et de sa finalité et avisé qu’il a la possibilité de refuser ce traitement”.

 

Ce qui signifie que selon le droit suisse, pour les sites internet suisses, il suffit de mettre les informations sur le traitement des données et le droit de refus à la disposition des utilisateurs [= pas nécessaire d’obtenir le consentement de l’utilisateur par le biais de la bannière de cookies] 

 

Par contre, l’administrateur du site web doit respecter le refus de l’utilisateur pour tous types de cookies (yc les anonymes) selon la LTC. [nb : les cookies anonymes ne sont pas soumis à la LPD mais restent soumis à la LTC].

 

Selon la Loi sur la protection des données (LPD), art. 7, al.3 “Protection des données dès la conception et par défaut”

Le responsable du traitement est tenu de garantir, par le biais de pré réglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie, pour autant que la personne concernée n’en dispose pas autrement”

 

Dans cette mesure, le RT peut mettre à disposition de la personne concernée plusieurs options en matière de cookies et de protection des données. 

  1. Si le RT propose un tel choix (et que des données personnelles sont traitées), alors le paramètre par défaut doit être le plus protecteur possible.
  2. Par contre, si le site web ne propose pas de choix, il n’est pas nécessaire de procéder à des préréglages.

-> Il n’y a pas d’obligation concernant les bannières de cookies pour les sites web qui visent les utilisateurs suisses.

A quoi faut-il faire attention quand même : 

  • Lors du traitement de données personnelles, il convient de respecter la LTC et la LPD (analyse de la légalité des traitements, nécessité d’un consentement)
  • Si des cookies sont utilisés, le traitement et sa finalité doivent figurer dans la cookie policy (qui doit indiquer également que l’utilisateur peut refuser le traitement en modifiant les paramètres de son navigateur)

Résumé : 

  • cookies essentiels : peuvent être mis sans consentement mais l’utilisateur peut les refuser (ex par un paramétrage de son navigateur) : son choix doit être respecté.
  • cookies fonctionnels, analytiques, de publicité, de médias sociaux : peuvent être installés et exploités uniquement si l’utilisateur a été informé du traitement et de son but. Il doit pouvoir s’y opposer.
  • l’information doit contenir tous les éléments prévus par l’art. 19 LPD. (identité et coordonnées du RT, finalité du traitement, destinataires/catégories destinataires auxquels les données sont transmises, si les données sont communiquées à l’étranger : nom de l’Etat et garanties prévues)

Responsabilité 

  • Le PFPDT précise que le propriétaire d’un site web est responsable de tout traitement de données personnelles de personnes se trouvant en Suisse, même en cas d’appel à des prestataires de services de traçage web. (! l’adresse IP est considérée comme une donnée personnelle)
  • Le PFPDT précise également que lors de l’utilisation de cookies à des fins de suivi sur le web, l’exploitant d’un site web doit tenir compte des exigences de la directive ePrivacy.

La réglementation européenne

Dans certains cas, les entreprises suisses peuvent être tenues d’utiliser une bannière de cookies et de demander le consentement des utilisateurs en vertu du droit européen.

Si un site web est orienté vers l’UE, la directive ePrivacy peut s’appliquer. Selon cette directive, le stockage d’informations ou l’accès à des informations déjà stockées sur l’équipement terminal d’un utilisateur ne sont autorités qu’après le recueil de son consentement clair et éclairé, à moins qu’il ne s’agisse de données techniquement nécessaires pour fournir le service demandé en premier lieu.

 

Selon le droit européen, la collecte et le traitement d’informations nécessitent, contrairement à la législation suisse, un consentement préalable qui peut être obtenu par exemple au moyen d’une bannière de cookies.

 

Si une entreprise suisse propose (via son site web) des biens ou des services dans l’espace de l’UE ou observe le comportement de personnes dans l’UE, en plus de la directive ePrivacy, le RGPD peut s’appliquer.

 

Si des technologies sont utilisées pour observer les utilisateurs pendant plusieurs consultations et les utiliser ensuite pour établir des profils à des fins de marketing, un consentement est nécessaire, même si la personne visitant le site ne peut pas être identifiée.

 

Résumé

  • l’utilisateur doit avoir donné son consentement aux cookies (un comportement passif n’est pas applicable et le consentement par défaut non plus)
  • le gestionnaire du site web doit informer la personne concernée de manière concise, transparente, compréhensible et accessible au sujet des cookies (à quoi ils servent, combien de temps ils seront actifs, qui accède aux informations qu’ils stockent)
  • l’information donnée doit inclure la durée de fonctionnement des cookies et la possibilité ou non pour des tiers d’avoir accès à ces cookies
  • Le gestionnaire d’un site web qui insère un plug-in social peut être considéré comme RT conjoint.

Bonnes pratiques pour réduire les risques

Le bandeau cookie

  • Utilité   
  • Le bandeau cookie est le dispositif de collecte du consentement lors de la première visite sur le site web.
  • Où le mettre
  • Il peut prendre diverses formes et être affiché n’importe où.
  • Il doit s’afficher immédiatement lorsque l’utilisateur visite le site web et ne pas disparaître tant que la personne n’a pas interagi avec lui.
  • Il ne doit pas interpréter une activité de l’utilisateur, telle que le défilement ou la poursuite de la navigation sur le domaine comme un consentement (cela n’est plus possible depuis 2019).
  • Contenu
  • Il contient des informations faciles à comprendre sur les paramètres des cookies et les pratiques de traitement des données personnelles du site web.
  • Il informe sur les cookies utilisés, indique leur finalité, précise l’identité du RT et propose un lien vers la cookie policy.
  • L’information proposée est visible et facile d’accès et le système permettant de recueillir le refus l’est aussi.
  • Le texte doit s’afficher avec les choix (boutons pour accepter ou refuser les cookies) et d’autres permettant d’aller lire l’intégralité des infos sur les cookies et d’ajuster le consentement pour chaque catégorie de cookie (= 2 niveaux d’information).
  • Les boutons “tout accepter” et “tout refuser” doivent être de la même couleur, de la même taille et disposés au même endroit.Le consentement doit être granulaire (l’utilisateur doit pouvoir donner son consentement à certains cookies et pas à d’autres) les options proposées ne doivent pas se résumer à tout ou rien.
  • Consentement 
  • L’installation et la lecture des cookies soumis à consentement sont bloqués jusqu’à ce que l’utilisateur donne son consentement même s’il navigue sur le site web ou utilise le service sans donner ou refuser son consentement alors qu’il y a été invité.
  • L’utilisateur doit pouvoir afficher à nouveau la bannière en cliquant sur un lien (par ex dans la cookie policy) de manière à mettre à jour son consentement.
  • Le consentement doit être renouvelé tous les ans. 

! Une acceptation de conditions générales d’utilisation d’un site web ne vaut pas consentement aux cookies

 

Exemple de bandeau cookies

Ce site web utilise des cookies. Les cookies nous permettent de personnaliser le contenu et les annonces, d’offrir des fonctionnalités relatives aux médias sociaux et d’analyser notre trafic. 

Nous partageons également des informations sur l’utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d’analyse, qui peuvent combiner celles-ci avec d’autres informations que vous leur avez fournies ou qu’ils ont collectées lors de votre utilisation de leurs services.

En cliquant sur “tout autoriser” vous consentez aux finalités ci-dessus conformément à nos politiques cookies(lien)  et données personnelles (lien). Vous pouvez à tout moment modifier vos choix de cookies en bas de nos pages.

  • un bouton (tout autoriser)
  • un bouton (tout refuser)
  • un bouton (personnaliser) avec sélections (ou paramétrer / gérer mes cookies / définir mes préférences)

La cookie policy

  • Informe la personne concernée au sujet de tous les cookies
  • Doit être à jour et complète
  • Doit être accessible directement (à mettre à côté de la privacy policy)

Le système de gestion des cookies conforme  

  • Documente et respecte le consentement ou le refus de chaque utilisateur
  • S’assure que le système gérant les cookies, l’information et le consentement de l’utilisateur fonctionne et prend correctement en compte les préférences de l’utilisateur notamment en vérifiant qu’aucun cookie soumis à consentement n’est installé après le refus de l’utilisateur.
  • Permet à l’utilisateur de modifier en tout temps ses préférences relatives au consentement de la même manière qu’il a fait part de ses préférences antérieurement

Le consentement 

Les données collectées grâce aux cookies sont considérées comme des données personnelles. Les cookies rentrent pleinement dans le champ d’application de la réglementation en matière de protection des données.

 

D’une manière générale, il est illégal de déposer un cookie avant d’avoir obtenu un consentement. Tout ce que fait un utilisateur avant de donner son consentement ne peut pas être tracé et enregistré.

 

Pour être valable le consentement doit être libre, positif, spécifique et éclairé. Il peut être retiré aussi facilement qu’il est donné (par exemple par un accès à un centre de gestion des préférences situé dans le pied de page du site)

 

Les cookies qui nécessitent le consentement sont :

  • Tous les cookies qui tracent les utilisateurs  à des fins statistiques, d’analyse, de marketing …
  • Les cookies qui ne nécessitent pas de consentement doivent être des cookies de session.

Pour la mise en place technique, la meilleure solution consiste à déployer une plateforme de gestion de cookies (= Consent Management Platform) qui va permettre de gérer les consentements, d’éditer le bandeau cookies et le centre de préférences.

  • Renouvelle le consentement périodiquement, au moins tous les douze mois et en tout cas à chaque ajout de nouveaux cookies soumis au consentement
  • Préfère les cookies de session aux cookies permanents quand c’est possible
  • Limite la durée de vie des cookies de performance (enregistrement de parcours) à 13 mois au max et les autres à 25 mois max (mesure d’audience).
  • Active l’anonymisation IP dans Google Analytics : Cela masque une partie de l’adresse IP de l’utilisateur, rendant plus difficile (voir impossible) l’identification de l’individu. Pour activer l’anonymisation IP dans Google Analytics, on peut modifier les paramètres du compte directement sur la plateforme ou ajouter une ligne de code au script de suivi Google Analytics. Le code à ajouter est : ga('set', 'anonymizeIp', true); Cela doit être ajouté avant la ligne de code qui envoie la pageview, comme ceci : ga('set', 'anonymizeIp', true); ga('send', 'pageview'). L’anonymisation IP doit être activée uniquement si l’utilisateur n’accepte pas le cookie statistique. Si l’utilisateur accepte le cookie, on peut collecter l’adresse IP complète.
  • Utilise un centre de préférence permettant à l’utilisateur de modifier à tout moment ses choix en matière de cookies ou de retirer son consentement.