Le PFPDT a récemment mis en ligne sur son site Internet la date limite du 22 janvier 2025. Guide du PFPDT concernant le traitement de données au moyen de cookies et de technologies similaires a été publiée. Un communiqué à ce sujet est encore attendu.
Le guide était attendu depuis longtemps, son élaboration n’a pas été facile en raison de la diversité des technologies utilisées pour le suivi. Le contenu des lignes directrices est en partie sans surprise, mais en partie aussi très important.
Le PFPDT demande en substance ce qui suit :
Exigence | Validité | Mise en œuvre |
---|---|---|
Information | Tous les cookies personnels ; exigences accrues pour les traitements délicats | Déclaration de confidentialité avec lien dans le pied de page |
Droit d’opposition | Tous les cookies non nécessaires, si aucun consentement n’est requis | Droit d’opposition, techniquement exerçable à tout moment (bannière/gestion des contenus) |
Consentement | Cookies non nécessaires qui sont qualifiés d’inattendus | Opt-in, éventuellement confirmation d’une case à cocher pré-cochée ; possibilité de révocation permanente (bannière/gestion des contenus) |
Consentement explicite | les cookies qui traitent des données personnelles sensibles ou qui effectuent un profilage à haut risque (organes fédéraux : tout profilage) | Opt-in actif (pas de case à cocher pré-cochée) ; possibilité de révocation permanente (bannière/gestion des contenus) |
Le guide est donc moins strict que l’attitude européenne qui exige des consentements plus étendus, mais il se lit comme le plus grand rapprochement possible avec le droit européen sur les cookies et surtout avec le RGPD, qui est encore compatible avec la LPD avec un peu d’ ”imagination juridique” (pour citer le PFPDT). Le guide n’est pas contraignant, mais il montre la volonté du PFPDT d’imposer sa propre conception d’une protection des données correcte. Dans la pratique, le guide ne conduira probablement qu’à une augmentation du nombre de bannières de cookies, qui sont déjà (trop) répandues.
Bases juridiques pertinentes
Le guide se base sur la LPD, mais fait également référence à l’article 45c LTC, la seule réglementation suisse explicite sur les cookies.
L’article 45c de la LTC n’exige pour les cookies, c’est-à-dire pour le traitement de données sur des appareils tiers, qu’une indication de ce traitement et de son but, et que les utilisateurs puissent “refuser” ce traitement. Dans la pratique, on comprend qu’une indication relativement générale suffit, qu’il faut signaler une possibilité de refus (par ex. en indiquant les possibilités de réglage dans le navigateur) et qu’un consentement n’est pas nécessaire.
En raison de cette réglementation relativement libérale, on peut se demander si L’art. 45c LTC, une lex specialis qui supplante la LPD. Le PFPDT répond par la négative :
L’art. 45c LTC constitue, en d’autres termes, une norme de droit public spéciale pour les processus de “télécommunication” qui passent sinon inaperçus et qui, en tant que norme du droit fédéral spécial de la protection des données, doit être respectée. cumulativement au droit général de la protection des données dans la LPD doit être respectée.
Ce n’est guère faux. D’une part, la LPD reste applicable à titre complémentaire pour les normes de lois spéciales et, d’autre part, l’art. 45c LTC n’est probablement pas une norme de protection des données (même si cela n’est pas clair).
Objet
Le guide s’applique de manière technologiquement neutre aux cookies et autres Technologies de suivi (p. ex. fingerprinting, pixels). Bien qu’il ne soit pas explicitement mentionné, il devrait également être utilisé pour les Apps s’appliquent. Des références directes à Publicité programmatique il ne contient pas.
Pivot I : la notion de données personnelles
Le guide ne peut s’appliquer qu’aux données personnelles. Par le passé, le PFPDT s’est montré extrêmement strict à ce sujet – sur le fond, il a Singularisation plus souvent que l’identification (par exemple, dans le cas de la Examen des faits dans l’affaire Ricardo/TX Group comme pour Digitec Galaxus).
Dont il s’éloigne maintenantCela a une signification qui va bien au-delà du guide. Toutefois, la question de savoir si une singularisation peut suffire n’est pas tranchée dans la doctrine. Le guide cite trois opinions à l’appui de cette affirmation : Celle de David Rosenthalselon laquelle la singularisation ne suffit pas ; celle de Philipp GlassL’article 2, paragraphe 1, de la directive sur la protection des données, qui ne veut appliquer la singularisation qu’en tant qu’indice d’un lien avec une personne, et l’article 2, paragraphe 1, de la directive sur la protection des données.
Il part plutôt du principe que Arrêt Logistep l’un des principaux arrêts sur cette question (avec l’arrêt de la Cour de justice de l’Union européenne). HGer ZH, HG190107‑O, du 4 mai 2021). Une identification suppose donc qu’une identification soit possible, qu’un service ayant accès aux données puisse procéder à l’identification sans trop de difficultés. Charges et qu’elle est un élément Intérêt a accepté de faire cet effort.
Le PFPDT se rallie à cette position. Il estime qu’un cookie ou les données qui y sont liées se rapportent à une personne “au plus tard” lorsque l’exploitant du site web ou un tiers intégré peut établir un lien entre les données et une personne déterminée sur la base d’un login ou d’ ”identifiants en ligne comparables”. Il n’y a certainement rien à redire à cela. Les points suivants sont toutefois intéressants :
- Le guide se lit comme si les UID ou Ad-IDLes numéros d’identification associés à un appareil mobile sont toujours liés à une personne (“un lien avec une personne peut exister, d’une part, si l’information traitée possède elle-même une caractéristique d’identification (par exemple, l’identifiant unique de l’utilisateur UID pour les appareils Android ou Ad-ID pour les appareils Apple)”). Ce n’est pas le cas, car la question n’est pas de savoir si Apple ou Google peut faire quelque chose avec ce numéro, mais bien l’exploitant du site web.
- Le PFPDT renvoie à un avis défavorable du TF dans Logistep : si A communique à B des données qui n’ont de rapport avec des personnes que pour B, la LPD applicable à la fois à A et à B. C’est ce que le TF a certes dit dans Logistep (probablement parce que seul l’expéditeur était en Suisse), mais c’est faux parce que cela contredit l’approche relative. Si l’exploitant d’un site web communique à un fournisseur tiers des données qui ne sont personnelles que pour ce dernier, l’exploitant ne tombe pas sous le coup de la LPD.
Aiguillage II : responsabilité
En principe, l’exploitant du site web sera le responsable de la protection des données (ce qui peut soulever des questions dans le contexte du groupe ; le guide ne se prononce pas à ce sujet).
Cependant, la CJCE a déclaré dans Décision Fashion ID un responsabilité partagée lorsque l’exploitant permet à un tiers, par exemple via un plugin social, de collecter des données sur les visiteurs du site web (pour cette opération d’acquisitionpas le traitement suivant). Le PFPDT reprend cette jurisprudence. Il cite même la CJCE, mais sans se poser la question de savoir si cette jurisprudence peut et doit être reprise :
Le propriétaire du site web, quant à lui, ne permet la collecte des données du tiers qu’en intégrant le service tiers sur son site web (moyens), même s’il n’a pas ou peu d’influence sur le traitement des données en aval. Il s’ensuit que pour le processus de collecte des données du tiers (en tant que traitement au sens de l’art. 5, let. d LPD) au moyen du site web, il faut partir du principe que la responsabilité est commune ou partagée.
Que l’on se précipite sur le RGPD pour aborder la question de la responsabilité conjointe est une chose. Mais la question des conséquences qui en découlent en est une autre. Contrairement à l’article 26 du RGPD, la LPD n’exige pas de contrat entre les responsables conjoints. Mais
Comme l’exploitant du site web a le contrôle sur les services tiers qui sont intégrés, il ne peut pas partir du principe que ses la responsabilité s’arrête là où s’appliquent les conditions d’utilisation des tiers.
Cela va à l’encontre de la délimitation du domaine de la responsabilité commune, qui se limite à l’opération d’obtention par un tiers ou à la communication au tiers et ne comprend justement pas le traitement suivant. Mais
[L’exploitant] est responsable de l’organisation de son site Internet conformément à la protection des données. Il doit par conséquent se renseigner sur le traitement des données des services tiers intégrés et s’assurer que les exigences de la loi sont respectées. En particulier, l’exploitant du site web doit s’assurer que toutes les obligations d’information sont remplies vis-à-vis des visiteurs du site web concernés.
L’exploitant doit donc apparemment assumer une responsabilité globale pour “le site Internet” et donc exiger du tiers (en général étranger) qu’il respecte également la LPD. Cela ne repose sur aucun fondement, surtout en dehors du domaine étroit d’une éventuelle responsabilité commune.
Aiguillage III : proportionnalité
Le guide contient essentiellement un examen du point de vue de la protection des données, c’est-à-dire qu’il suit le schéma d’examen habituel Information – Principes de traitement – Justification.
Lors de la Proportionnalité le PFPDT s’en tient à l’opinion qu’il a souvent défendue, à savoir que la proportionnalité ne se mesure pas à la finalité librement choisie par le responsable du traitement, mais à une finalité abstraite et donc déterminée par le PFPDT. Si un traitement dépasse ce cadre, le PFPDT le qualifie de disproportionné.
En conséquence, l’engagement n’est des cookies nécessaires proportionnels au but recherché. Le PFPDT cite à titre d’exemple les finalités suivantes :
- Cookie de panier d’achat
- Stockage intermédiaire des données dans un formulaire en ligne
- Connexion
- Choix de la langue
- Cookie opt-in et cookie opt-out
- Répartition de la charge (“load balancing”)
- Prévention des attaques par force brute
- Captchas
- Prévention de la surcharge des sites web
L’utilisation de tous les autres cookies, qui ne sont donc pas nécessaires dans ce sens, serait disproportionnée.
C’est faux, non pas parce que cette opinion est inconfortable – ce qu’elle est – mais parce qu’elle est contraire à l’essence même du droit de la protection des données. Le droit de la protection des données et donc le PFPDT ne définissent pas de finalité. Le TAF l’a clairement établi (dans le Jugement Helsana, E. 5.4.3) :
En outre, d’un point de vue systématique, la loi sur la protection des données ne se prononce pas sur les finalités pour lesquelles les données personnelles peuvent être traitées et celles pour lesquelles elles ne le peuvent pas.
En adoptant cette position, le PFPDT s’arroge des pouvoirs de police économique. D’un point de vue dogmatique, cette conception ne pourrait être sauvée qu’en examinant la proportionnalité au sens strict, c’est-à-dire l’exigibilité (dont il faudrait se demander si elle s’applique au domaine privé). L’utilisation de cookies non nécessaires au sens du PFPDT devrait donc être tout simplement déraisonnable pour être considérée comme disproportionnée. Or, le guide ne contient rien à ce sujet.
Il est juste que le responsable soit libre de déterminer lui-même les objectifs d’un site web. Si ces objectifs exigent l’utilisation d’autres cookies, cela est autorisé et proportionné. Si l’on ne veut pas de tels cookies, il faudrait les interdire par une loi spéciale.
Il est également intéressant de noter que l’opérateur doit
s’assurer, par le biais de boutons correspondants avec des préréglages appropriés, conformément à l’article 7, alinéa 3 de la LPD, que l’utilisation de cookies est limitée au minimum nécessaire pour l’usage prévu.
Ce n’est pas vrai. “Protection de la vie privée par défaut“n’exige jamais que des boutons soient mis à disposition. Ce n’est que si le responsable conçoit des traitements comme des variantes optionnelles et qu’il offre en outre à la personne concernée la possibilité de choisir parmi ces variantes qu’il doit opter pour le paramétrage par défaut économe (et seulement s’il s’agit effectivement d’un choix et pas simplement de l’exercice du droit d’opposition existant de toute façon ; car ce dernier existe toujours – appliquer le Privacy by Design aux cas d’opposition reviendrait en fin de compte à exiger un consentement pour tous les traitements non obligatoires).
Conséquence : nécessité de se justifier
Comme le PFPDT estime que l’utilisation de cookies qui ne sont pas nécessaires à ses yeux est disproportionnée, elle doit être justifiée (art. 30 LPD). Comme la loi ne devrait pas constituer un motif justificatif dans la grande majorité des cas, l’intérêt prépondérant et le consentement entrent en ligne de compte (art. 31 al. 1 LPD).
Variante 1 : Principe – intérêts prépondérants
La question de savoir si l’utilisation mentionnée est justifiée par des intérêts prépondérants Examen au cas par cas. Le guide doit toutefois aborder cet examen de manière plus schématique :
Droit d’opposition (out-out)
Tout d’abord toujours d’accorder un droit de révocation. Pour le PFPDT, cela découle non seulement du fait que, dans le cas contraire, aucun intérêt prépondérant ne pourrait s’appliquer – le guide est clairement de cet avis -, mais aussi de l’art. 45c LTC. Ce droit de révocation doit apparemment être techniquement facilitée.
Voici quelques remarques à ce sujet :
- Contrairement au RGPD, la LPD ne prévoit pas d’obligation de faciliter les droits des personnes concernées, y compris le droit d’opposition. Il n’existe pas de base juridique pour l’exigence générale d’une facilitation technique.
- Si les intérêts d’un traitement de données ne pouvaient prévaloir qu’à cette condition, le législateur aurait pu et dû l’écrire à l’article 31, alinéa 2 LPD.
- Le droit d’opposition est un droit légal (art. 30, al. 1, let. b LPD). La loi est toutefois considérée comme connue, comme le prouve l’art. 20, al. 1, let. b LPD. Les personnes concernées connaissent donc le droit d’opposition.
- L’art. 45c LTC ne prescrit pas d’opérationnalisation technique du droit d’opposition.
- Il existe déjà un droit d’opposition technique : les paramètres du navigateur. Ils ne sont toutefois pas exhaustifs ; contre un fingerprinting, par exemple, les paramètres du navigateur ne peuvent pas faire grand-chose (à part bloquer l’exécution des scripts qui provoquent le fingerprinting et prendre des mesures auxiliaires comme la suppression des cookies, l’utilisation d’un VPN, etc.)
Le PFPDT ne pourrait donc en fait exiger une mise en œuvre technique du droit d’opposition que sur la base de la bonne foi et alors seulement au cas par cas.
Cas d’intérêt supérieur
Comme nous l’avons mentionné, la question de savoir si l’intérêt à l’utilisation de cookies est prépondérant est une question qui se pose au cas par cas. L’art. 31 al. 2 LPD prévoit toutefois des cas qui indiquent une telle prépondérance. Le PFPDT se penche ici sur deux cas :
- Lien avec un contratUn exemple est le cas quelque peu énigmatique où un cookie d’une boutique en ligne “sert des commodités telles que la livraison à domicile basée sur des données d’adresse” ( ?).
- Statistiques: Ici, le PFPDT réitère les conditions de l’art. 31 al. 2 let. e LPD (anonymisation précoce, pas de communication de données personnelles sensibles, pas de publication de données personnelles). Les statistiques sur l’utilisation du site web en sont des exemples.
Variante 2 : consentement (exception dans trois constellations)
Exigence
Dans trois constellations, les intérêts à l’utilisation des cookies non nécessaires ne peuvent en principe pas prévaloir du point de vue du PFPDT, même avec le droit d’opposition :
- Des cookies inattendusSi l’objectif du cookie est décrit dans un “contraste évident avec les finalités des données personnelles. Traitement principal“de l’article. Exemples :
- l’utilisation de “cookies pour une mise en relation et une commercialisation des données d’adresse et de téléphone” ( ?) “dans le cadre de la mise à disposition de services basés sur un site web à des fins caritatives ou amicales ou de certains jeux en ligne” ;
- les cookies à finalité commerciale sur les sites web à contenu sensible de nature politique, syndicale ou religieuse. La question de savoir pourquoi un droit d’opt-out sur le site web des Verts, par exemple, ne suffit pas reste toutefois ouverte, tout comme celle de savoir si la collecte de dons par une ONG constitue une finalité commerciale.
- Haute intensité d’interventionSi le cookie données personnelles sensibles traitées ou un Profilage à haut risque et/ou que les données correspondantes soient transmises. (Cela vaut également lorsque de telles interventions “sont attendues en raison d’une perception générale du trafic”).
Exigences relatives à un consentement effectif en matière de cookies
Les conditions suivantes pour un consentement valable peuvent être déduites du guide :
- Expressivité:
- Elle n’est exigée que pour les données personnelles sensibles, le profilage à haut risque et – pour les organes fédéraux (également les caisses-maladie ou les caisses de pension dans le cadre des obligations) – pour chaque profilage avec cookies. Il suffit par exemple de cocher une case claire.
- Si l’expression n’est pas nécessaire, la case à cocher peut être pré-cochée (mais doit alors être confirmée, sinon il n’y a pas d’action active – par exemple en cliquant sur la bannière correspondante).
- Information:
- Il convient d’informer sur les traitements qui doivent être effectués et pour quelles finalités, mais aussi, dans certaines circonstances, sur les risques encourus par les personnes concernées si elles donnent leur consentement (en cas de risques élevés). Le guide ne donne pas de précisions à ce sujet.
- Si les enfants font partie des destinataires du site web, la déclaration de consentement doit en outre être rédigée dans un langage facile et sans équivoque (pour eux).
- Détermination:
- L’objet du consentement doit être suffisamment clair. L’expression “à des fins de marketing”, par exemple, n’est pas suffisamment claire.
- Il n’est toutefois pas évident de comprendre pourquoi la personne concernée ne peut pas s’en servir. De toute façon, celui qui ne comprend pas une telle expression ne donnera pas son consentement, raison pour laquelle une formulation large ne nuit pas au consentement, mais tout au plus au taux de consentement.
- VolontariatLa Commission estime que cette condition n’est pas remplie dans deux cas :
- lors de l’utilisation de “Motifs sombres”, mais aussi déjà pour un “Nudging”. Ce dernier point va trop loin – celui qui voit un bouton vert “OK” et un bouton gris “Refuser” s’énerve à juste titre, mais le consentement n’en devient guère involontaire (si c’était le cas, le fait de cliquer ne pourrait alors plus du tout être considéré comme une déclaration de consentement, mais une telle conclusion serait probablement contraire à la réalité).
- CouplageDe même, le consentement est involontaire lorsqu’il constitue une condition d’accès au site web ou à la prestation qu’il procure, dans la mesure où la renonciation est déraisonnable. C’est par exemple le cas pour un “commerçant en ligne dominant”, un “portail d’emploi en ligne” ou un “réseau social”. L’utilisation de tels sites doit donc être possible même sans cookies qui nécessitent un consentement, c’est-à-dire lorsqu’ils sont inattendus, utilisent des données personnelles sensibles ou conduisent à un profilage à haut risque (tous les autres cookies non nécessaires peuvent être justifiés par des intérêts prépondérants, raison pour laquelle la question ne se pose pas).
- RévocabilitéLe consentement est révocable de par la loi. Néanmoins, l’exploitant doit fournir une “offrir une possibilité simple” pour exercer le droit de rétractation. Il s’agit là aussi, en fin de compte, d’une importation du RGPD.
Publicité personnalisée
Le guide consacre un chapitre à ce sujet (ch. 3.11). Sur le fond, il revient toutefois au même que les indications plus générales :
- Profilage normalLe droit d’opposition doit au moins être accordé, ce qui signifie qu’il est possible de travailler avec un intérêt prépondérant (exception : organes fédéraux).
- Profilage à haut risque: Dans ce cas, un consentement explicite est nécessaire. Il y a profilage à haut risque lorsqu’un profilage conduit à un profil de la personnalité. Pour le PFPDT, la participation d’acteurs de différents secteurs, la prise en compte de données personnelles sur une longue période et l’intégration de données publiques et de données de fournisseurs tiers en sont des indices.
Obligations d’information
Le guide s’exprime à plusieurs reprises sur les obligations d’information :
- Première étape Déclaration de confidentialité:
- Tout d’abord, pour les cookies – même s’ils sont nécessaires, mais uniquement dans la mesure où ils permettent de traiter des données personnelles – il faut informer la personne concernée conformément à l’art. 19 s. LPD. LPD, il faut informer. Cette information doit être fournie de manière “appropriée”. Il ne suffit donc pas de faire figurer cette information dans une rubrique quelconque du site web. Sur le fond, le PFPDT demande sans doute un lien facile à trouver. Lien par exemple dans le pied de page, ce qui correspond d’ailleurs à la pratique.
- La déclaration de confidentialité doit toujours l’approche par couches c’est-à-dire fournir d’abord les informations les plus importantes et ensuite, en cas d’intérêt, des indications plus détaillées. Il n’existe aucune base pour exiger une telle procédure dans l’absolu (à part le fait qu’une table des matières pourrait déjà suffire).
- Et à qui sert l’information ? Ici, le guide n’est pas compréhensible :
Une déclaration de protection des données rédigée selon cette approche permet par exemple personnes concernées d’obtenir en un coup d’œil toutes les informations essentielles sous une forme résumée, et Professionnels, Journalistes d’investigation et Autorités de surveillance qui ont besoin d’informations plus approfondies, en faisant appel à un autre niveau, d’obtenir des informations détaillées sur le plan juridique et de la technologie de l’information”.
Apparemment, les déclarations de protection des données ne sont pas seulement rédigées pour les personnes concernées, mais aussi pour le PFPDT et, dans la foulée, pour Adrienne Fichter et d’autres journalistes d’investigation.
- Deuxième étape Bannière de cookie:
- Une bannière de cookie et plus précisément une Plate-forme de gestion du consentement (CMP), le guide ne l’exige que, mais toujours, pour les cookies non indispensables, car dans ce cas, le responsable “doit Droit d’opposition contre l’utilisation de cookies non nécessaires sur le site web” (le guide ne précise pas si c’est à chaque visite). En outre, le “degré d’évidence” doit correspondre au “caractère inhabituel de l’utilisation des cookies en question”.
- Dans la mesure où un consentement est requis (voir ci-dessus), il faudrait en outre que le Droit de rétractation Il doit être clair, et il doit être “avec une clarté particulière” et “en bonne place“et ici à chaque visite.
- Les cookies ne doivent pas au début de la visite Les données personnelles ne peuvent pas être mises en ligne, sauf, bien sûr, si elles sont basées sur le consentement.
- Si le responsable travaille avec un droit d’opposition (opt-out) pour certains cookies et avec un consentement (opt-in) pour d’autres, la personne concernée doit pouvoir identifier clairement ce qui s’applique à quels cookies.