L’Autorité Garante pour la protection des données personnelles (le « Garant »), le 10 décembre 2020, a ouvert une consultation publique sur les « Lignes directrices sur l’utilisation des cookies ou d’autres instruments de traçage » (les « Lignes directrices ») rédigées le 26 octobre dernier.
L’intervention du Garant fait suite aux indications fournies par le Comité des Garants européens
(« CEPD » – « Comité Européen de la Protection des Données ») dans les « Lignes directrices 5/2020 sur l’accord donné selon le Règlement (UE) 2016/679 » du 4 mai 2020.
Les cookies sont de petites chaînes de caractères que les sites internet (dits « publishers » ou « première partie ») visités par l’usager ou d’autres sites ou serveurs internet (dits « tiers ») placent et archivent à l’intérieur du dispositif utilisé (par exemple Smartphone, PC ou tablette). Les cookies permettent d’obtenir des informations et d’améliorer la navigation de l’usager / de l’intéressé.
Le Règlement (UE) 2016/679 en matière de protection des données personnelles (« RGPD »), bien que ne modifiant pas directement la réglementation relative à ces instruments de traçage, réglemente de façon précise l’accord donné au traitement de ces données personnelles. Notamment, il dispose que l’accord doit être donné par les intéressés au moyen d’une « manifestation de volonté libre, spécifique, informée et sans ambiguïté » (cf. article 4 du RGPD).
Cela met l’accent, selon le « principe de responsabilité » sur l’application desprincipes de protection des données dès la conception et pour des configurations prédéfinies (« privacy by design » et « by default » – protection des données « dès la conception » et « par défaut »), rendant nécessaire une analyse des modalités correctes de communication de la note d’information en ligne aux usagers / intéressés et d’obtention, si nécessaire, de leur accord.
Ceci dit, les Lignes directrices, recevant les dispositions du CEPD, précisent, notamment, que :
- « le simple scrolling (c’est-à-dire « l’action permettant de faire défiler la page, de façon à en montrer sur l’écran la partie située sous la bannière contenant la note d’information brève ») n’est, en soi, jamais suffisant pour exprimer pleinement la manifestation de volonté de l’intéressé » ou
- la réitération dans l’obtention de l’accord, au cas où aucune modification au traitement des données n’aurait été apportée, au moyen d’une réapparition continue de la bannière (dite « note d’information brève» ) lors de chaque accès, est « redondante et intrusive ».
Les Lignes directrices ajoutent que chaque titulaire du traitement a le devoir de fournir à ses propres intéressés / usagers des informations précises sur le traitement de leurs données. Cette note d’information doit être fournie à un double niveau : (i) note d’information dite « brève » ou bannière contenant le lien de renvoi (ii) à la note d’information dans sa version intégrale.
Au terme de la consultation publique adressée aux chefs d’entreprise, aux consommateurs, aux usagers et aux opérateurs du secteur et de l’analyse, suivie de l’éventuelle réception des observations parvenues, l’Autorité émettra la décision finale.