PFPDT : lignes direc­tri­ces sur les coo­kies et tech­no­lo­gies similaires

Le PFPDT a récem­ment mis en ligne sur son site Inter­net la date limi­te du 22 jan­vier 2025. Gui­de du PFPDT con­cer­nant le trai­te­ment de don­nées au moy­en de coo­kies et de tech­no­lo­gies simi­lai­res a été publiée. Un com­mu­ni­qué à ce sujet est enco­re attendu.

Le gui­de était atten­du depuis long­temps, son éla­bo­ra­ti­on n’a pas été faci­le en rai­son de la diver­si­té des tech­no­lo­gies uti­li­sées pour le sui­vi. Le con­te­nu des lignes direc­tri­ces est en par­tie sans sur­pri­se, mais en par­tie aus­si très important.

Le PFPDT deman­de en sub­stance ce qui suit :

Exi­gence Vali­di­té Mise en œuvre
Infor­ma­ti­on Tous les coo­kies per­son­nels ; exi­gen­ces accrues pour les trai­te­ments délicats Décla­ra­ti­on de con­fi­den­tia­li­té avec lien dans le pied de page
Droit d’op­po­si­ti­on Tous les coo­kies non néces­saires, si aucun con­sen­te­ment n’est requis Droit d’op­po­si­ti­on, tech­ni­quement exer­ça­ble à tout moment (bannière/gestion des contenus)
Con­sen­te­ment Coo­kies non néces­saires qui sont qua­li­fi­és d’inattendus Opt-in, éven­tu­el­le­ment con­fir­ma­ti­on d’u­ne case à cocher pré-cochée ; pos­si­bi­li­té de révo­ca­ti­on per­ma­nen­te (bannière/gestion des contenus)
Con­sen­te­ment explicite les coo­kies qui trai­tent des don­nées per­son­nel­les sen­si­bles ou qui effec­tu­ent un pro­fi­la­ge à haut ris­que (orga­nes fédé­raux : tout profilage) Opt-in actif (pas de case à cocher pré-cochée) ; pos­si­bi­li­té de révo­ca­ti­on per­ma­nen­te (bannière/gestion des contenus)

Le gui­de est donc moins strict que l’at­ti­tu­de euro­pé­en­ne qui exi­ge des con­sen­te­ments plus éten­dus, mais il se lit com­me le plus grand rappro­che­ment pos­si­ble avec le droit euro­pé­en sur les coo­kies et sur­tout avec le RGPD, qui est enco­re com­pa­ti­ble avec la LPD avec un peu d’ ”ima­gi­na­ti­on juri­di­que” (pour citer le PFPDT). Le gui­de n’est pas con­traignant, mais il mont­re la volon­té du PFPDT d’im­po­ser sa pro­pre con­cep­ti­on d’u­ne pro­tec­tion des don­nées cor­rec­te. Dans la pra­tique, le gui­de ne con­dui­ra pro­ba­blem­ent qu’à une aug­men­ta­ti­on du nombre de ban­niè­res de coo­kies, qui sont déjà (trop) répandues.

Bases juri­di­ques pertinentes

Le gui­de se base sur la LPD, mais fait éga­le­ment réfé­rence à l’ar­tic­le 45c LTC, la seu­le régle­men­ta­ti­on sui­s­se expli­ci­te sur les cookies.

L’ar­tic­le 45c de la LTC n’e­xi­ge pour les coo­kies, c’est-à-dire pour le trai­te­ment de don­nées sur des appareils tiers, qu’u­ne indi­ca­ti­on de ce trai­te­ment et de son but, et que les uti­li­sa­teurs pui­s­sent “refu­ser” ce trai­te­ment. Dans la pra­tique, on com­prend qu’u­ne indi­ca­ti­on rela­ti­ve­ment géné­ra­le suf­fit, qu’il faut signal­er une pos­si­bi­li­té de refus (par ex. en indi­quant les pos­si­bi­li­tés de rég­la­ge dans le navi­ga­teur) et qu’un con­sen­te­ment n’est pas nécessaire.

En rai­son de cet­te régle­men­ta­ti­on rela­ti­ve­ment libé­ra­le, on peut se deman­der si L’art. 45c LTC, une lex spe­cia­lis qui sup­p­lan­te la LPD. Le PFPDT répond par la négative :

L’art. 45c LTC con­sti­tue, en d’aut­res ter­mes, une nor­me de droit public spé­cia­le pour les pro­ce­s­sus de “télé­com­mu­ni­ca­ti­on” qui pas­sent sinon inaper­çus et qui, en tant que nor­me du droit fédé­ral spé­cial de la pro­tec­tion des don­nées, doit être respec­tée. cumu­la­ti­ve­ment au droit géné­ral de la pro­tec­tion des don­nées dans la LPD doit être respectée.

Ce n’est guè­re faux. D’u­ne part, la LPD reste appli­ca­ble à tit­re com­plé­men­tai­re pour les nor­mes de lois spé­cia­les et, d’aut­re part, l’art. 45c LTC n’est pro­ba­blem­ent pas une nor­me de pro­tec­tion des don­nées (même si cela n’est pas clair).

Objet

Le gui­de s’ap­pli­que de maniè­re tech­no­lo­gi­quement neu­tre aux coo­kies et aut­res Tech­no­lo­gies de sui­vi (p. ex. fin­ger­prin­ting, pixels). Bien qu’il ne soit pas expli­ci­te­ment men­ti­onné, il dev­rait éga­le­ment être uti­li­sé pour les Apps s’ap­pli­quent. Des réfé­ren­ces direc­tes à Publi­ci­té pro­gram­ma­tique il ne con­ti­ent pas.

Pivot I : la noti­on de don­nées personnelles

Le gui­de ne peut s’ap­pli­quer qu’aux don­nées per­son­nel­les. Par le pas­sé, le PFPDT s’est mon­tré extrê­me­ment strict à ce sujet – sur le fond, il a Sin­gu­la­ri­sa­ti­on plus sou­vent que l’i­den­ti­fi­ca­ti­on (par exemp­le, dans le cas de la Examen des faits dans l’af­fai­re Ricardo/TX Group com­me pour Digi­tec Gala­xus).

Dont il s’é­loi­g­ne main­tenantCela a une signi­fi­ca­ti­on qui va bien au-delà du gui­de. Tou­te­fois, la que­sti­on de savoir si une sin­gu­la­ri­sa­ti­on peut suf­fi­re n’est pas tran­chée dans la doc­tri­ne. Le gui­de cite trois opi­ni­ons à l’ap­pui de cet­te affir­ma­ti­on : Cel­le de David Rosen­thalselon laquel­le la sin­gu­la­ri­sa­ti­on ne suf­fit pas ; cel­le de Phil­ipp GlassL’ar­tic­le 2, para­gra­phe 1, de la direc­ti­ve sur la pro­tec­tion des don­nées, qui ne veut appli­quer la sin­gu­la­ri­sa­ti­on qu’en tant qu’in­di­ce d’un lien avec une per­son­ne, et l’ar­tic­le 2, para­gra­phe 1, de la direc­ti­ve sur la pro­tec­tion des données.

Il part plutôt du prin­ci­pe que Arrêt Logi­step l’un des prin­ci­paux arrêts sur cet­te que­sti­on (avec l’ar­rêt de la Cour de justi­ce de l’U­ni­on euro­pé­en­ne). HGer ZH, HG190107‑O, du 4 mai 2021). Une iden­ti­fi­ca­ti­on sup­po­se donc qu’u­ne iden­ti­fi­ca­ti­on soit pos­si­ble, qu’un ser­vice ayant accès aux don­nées pui­s­se pro­cé­der à l’i­den­ti­fi­ca­ti­on sans trop de dif­fi­cul­tés. Char­ges et qu’el­le est un élé­ment Inté­rêt a accep­té de fai­re cet effort.

Le PFPDT se ral­lie à cet­te posi­ti­on. Il esti­me qu’un coo­kie ou les don­nées qui y sont liées se rap­portent à une per­son­ne “au plus tard” lorsque l’ex­plo­itant du site web ou un tiers inté­g­ré peut éta­b­lir un lien ent­re les don­nées et une per­son­ne déter­mi­née sur la base d’un log­in ou d’ ”iden­ti­fi­ants en ligne com­pa­ra­bles”. Il n’y a cer­tai­ne­ment rien à red­ire à cela. Les points sui­vants sont tou­te­fois intéressants :

  • Le gui­de se lit com­me si les UID ou Ad-IDLes numé­ros d’i­den­ti­fi­ca­ti­on asso­ciés à un appa­reil mobi­le sont tou­jours liés à une per­son­ne (“un lien avec une per­son­ne peut exi­ster, d’u­ne part, si l’in­for­ma­ti­on trai­tée pos­sè­de elle-même une carac­té­ri­stique d’i­den­ti­fi­ca­ti­on (par exemp­le, l’i­den­ti­fi­ant uni­que de l’uti­li­sa­teur UID pour les appareils Android ou Ad-ID pour les appareils Apple)”). Ce n’est pas le cas, car la que­sti­on n’est pas de savoir si Apple ou Goog­le peut fai­re quel­que cho­se avec ce numé­ro, mais bien l’ex­plo­itant du site web.
  • Le PFPDT ren­voie à un avis défa­vorable du TF dans Logi­step : si A com­mu­ni­que à B des don­nées qui n’ont de rap­port avec des per­son­nes que pour B, la LPD appli­ca­ble à la fois à A et à B. C’est ce que le TF a cer­tes dit dans Logi­step (pro­ba­blem­ent par­ce que seul l’ex­pé­di­teur était en Sui­s­se), mais c’est faux par­ce que cela cont­re­dit l’appro­che rela­ti­ve. Si l’ex­plo­itant d’un site web com­mu­ni­que à un four­nis­seur tiers des don­nées qui ne sont per­son­nel­les que pour ce der­nier, l’ex­plo­itant ne tom­be pas sous le coup de la LPD.

Aiguil­la­ge II : responsabilité

En prin­ci­pe, l’ex­plo­itant du site web sera le responsable de la pro­tec­tion des don­nées (ce qui peut sou­le­ver des que­sti­ons dans le con­tex­te du grou­pe ; le gui­de ne se pro­non­ce pas à ce sujet).

Cepen­dant, la CJCE a décla­ré dans Décis­i­on Fashion ID un responsa­bi­li­té par­ta­gée lorsque l’ex­plo­itant per­met à un tiers, par exemp­le via un plug­in social, de coll­ec­ter des don­nées sur les visi­teurs du site web (pour cet­te opé­ra­ti­on d’ac­qui­si­ti­onpas le trai­te­ment sui­vant). Le PFPDT reprend cet­te juris­pru­dence. Il cite même la CJCE, mais sans se poser la que­sti­on de savoir si cet­te juris­pru­dence peut et doit être reprise :

Le pro­prié­tai­re du site web, quant à lui, ne per­met la coll­ec­te des don­nées du tiers qu’en inté­grant le ser­vice tiers sur son site web (moy­ens), même s’il n’a pas ou peu d’in­fluence sur le trai­te­ment des don­nées en aval. Il s’en­su­it que pour le pro­ce­s­sus de coll­ec­te des don­nées du tiers (en tant que trai­te­ment au sens de l’art. 5, let. d LPD) au moy­en du site web, il faut par­tir du prin­ci­pe que la responsa­bi­li­té est com­mu­ne ou partagée.

Que l’on se pré­ci­pi­te sur le RGPD pour abor­der la que­sti­on de la responsa­bi­li­té con­join­te est une cho­se. Mais la que­sti­on des con­sé­quen­ces qui en décou­lent en est une aut­re. Con­trai­re­ment à l’ar­tic­le 26 du RGPD, la LPD n’e­xi­ge pas de cont­rat ent­re les respons­ables con­joints. Mais

Com­me l’ex­plo­itant du site web a le con­trô­le sur les ser­vices tiers qui sont inté­g­rés, il ne peut pas par­tir du prin­ci­pe que ses la responsa­bi­li­té s’ar­rête là où s’ap­pli­quent les con­di­ti­ons d’uti­li­sa­ti­on des tiers.

Cela va à l’en­cont­re de la déli­mi­ta­ti­on du domaine de la responsa­bi­li­té com­mu­ne, qui se limi­te à l’opé­ra­ti­on d’ob­ten­ti­on par un tiers ou à la com­mu­ni­ca­ti­on au tiers et ne com­prend justem­ent pas le trai­te­ment sui­vant. Mais

[L’ex­plo­itant] est responsable de l’or­ga­ni­sa­ti­on de son site Inter­net con­for­mé­ment à la pro­tec­tion des don­nées. Il doit par con­sé­quent se rens­eig­ner sur le trai­te­ment des don­nées des ser­vices tiers inté­g­rés et s’assurer que les exi­gen­ces de la loi sont respec­tées. En par­ti­cu­lier, l’ex­plo­itant du site web doit s’assurer que tou­tes les obli­ga­ti­ons d’in­for­ma­ti­on sont rem­plies vis-à-vis des visi­teurs du site web concernés.

L’ex­plo­itant doit donc appa­rem­ment assu­mer une responsa­bi­li­té glo­ba­le pour “le site Inter­net” et donc exi­ger du tiers (en géné­ral étran­ger) qu’il respec­te éga­le­ment la LPD. Cela ne repo­se sur aucun fon­de­ment, sur­tout en dehors du domaine étroit d’u­ne éven­tu­el­le responsa­bi­li­té commune.

Aiguil­la­ge III : proportionnalité

Le gui­de con­ti­ent essen­ti­el­le­ment un examen du point de vue de la pro­tec­tion des don­nées, c’est-à-dire qu’il suit le sché­ma d’ex­amen habi­tuel Infor­ma­ti­on – Prin­cipes de trai­te­ment – Justification.

Lors de la Pro­por­ti­on­na­li­té le PFPDT s’en tient à l’o­pi­ni­on qu’il a sou­vent défen­due, à savoir que la pro­por­ti­on­na­li­té ne se mesu­re pas à la fina­li­té libre­ment choi­sie par le responsable du trai­te­ment, mais à une fina­li­té abstrai­te et donc déter­mi­née par le PFPDT. Si un trai­te­ment dépas­se ce cad­re, le PFPDT le qua­li­fie de disproportionné.

En con­sé­quence, l’en­ga­ge­ment n’est des coo­kies néces­saires pro­por­ti­on­nels au but recher­ché. Le PFPDT cite à tit­re d’exemp­le les fina­li­tés suivantes :

  • Coo­kie de panier d’achat
  • Stocka­ge inter­mé­di­ai­re des don­nées dans un for­mu­lai­re en ligne
  • Con­ne­xi­on
  • Choix de la langue
  • Coo­kie opt-in et coo­kie opt-out
  • Répar­ti­ti­on de la char­ge (“load balancing”)
  • Pré­ven­ti­on des atta­ques par force brute
  • Captchas
  • Pré­ven­ti­on de la surchar­ge des sites web

L’uti­li­sa­ti­on de tous les aut­res coo­kies, qui ne sont donc pas néces­saires dans ce sens, serait disproportionnée.

C’est faux, non pas par­ce que cet­te opi­ni­on est incon­for­ta­ble – ce qu’el­le est – mais par­ce qu’el­le est con­trai­re à l’e­s­sence même du droit de la pro­tec­tion des don­nées. Le droit de la pro­tec­tion des don­nées et donc le PFPDT ne défi­nis­sent pas de fina­li­té. Le TAF l’a clai­re­ment éta­b­li (dans le Juge­ment Hels­a­na, E. 5.4.3) :

En out­re, d’un point de vue sys­té­ma­tique, la loi sur la pro­tec­tion des don­nées ne se pro­non­ce pas sur les fina­li­tés pour les­quel­les les don­nées per­son­nel­les peu­vent être trai­tées et cel­les pour les­quel­les elles ne le peu­vent pas.

En adop­tant cet­te posi­ti­on, le PFPDT s’ar­ro­ge des pou­voirs de poli­ce éco­no­mi­que. D’un point de vue dog­ma­tique, cet­te con­cep­ti­on ne pour­rait être sau­vée qu’en exami­nant la pro­por­ti­on­na­li­té au sens strict, c’est-à-dire l’e­xi­gi­bi­li­té (dont il fau­drait se deman­der si elle s’ap­pli­que au domaine pri­vé). L’uti­li­sa­ti­on de coo­kies non néces­saires au sens du PFPDT dev­rait donc être tout sim­ple­ment dérai­sonnable pour être con­sidé­rée com­me dis­pro­por­ti­onnée. Or, le gui­de ne con­ti­ent rien à ce sujet.

Il est juste que le responsable soit lib­re de déter­mi­ner lui-même les objec­tifs d’un site web. Si ces objec­tifs exi­gent l’uti­li­sa­ti­on d’aut­res coo­kies, cela est auto­ri­sé et pro­por­ti­onné. Si l’on ne veut pas de tels coo­kies, il fau­drait les interd­ire par une loi spéciale.

Il est éga­le­ment inté­res­sant de noter que l’opé­ra­teur doit

s’assurer, par le biais de bou­tons cor­re­spond­ants avec des pré­rég­la­ges appro­priés, con­for­mé­ment à l’ar­tic­le 7, ali­néa 3 de la LPD, que l’uti­li­sa­ti­on de coo­kies est limi­tée au mini­mum néces­saire pour l’u­sa­ge prévu.

Ce n’est pas vrai. “Pro­tec­tion de la vie pri­vée par défaut“n’e­xi­ge jamais que des bou­tons soi­ent mis à dis­po­si­ti­on. Ce n’est que si le responsable con­çoit des trai­te­ments com­me des vari­an­tes opti­on­nel­les et qu’il off­re en out­re à la per­son­ne con­cer­née la pos­si­bi­li­té de choi­sir par­mi ces vari­an­tes qu’il doit opter pour le para­mé­tra­ge par défaut éco­no­me (et seu­le­ment s’il s’a­git effec­ti­ve­ment d’un choix et pas sim­ple­ment de l’e­xer­ci­ce du droit d’op­po­si­ti­on exi­stant de tou­te façon ; car ce der­nier exi­ste tou­jours – appli­quer le Pri­va­cy by Design aux cas d’op­po­si­ti­on revi­en­drait en fin de comp­te à exi­ger un con­sen­te­ment pour tous les trai­te­ments non obligatoires).

Con­sé­quence : néces­si­té de se justifier

Com­me le PFPDT esti­me que l’uti­li­sa­ti­on de coo­kies qui ne sont pas néces­saires à ses yeux est dis­pro­por­ti­onnée, elle doit être justi­fi­ée (art. 30 LPD). Com­me la loi ne dev­rait pas con­sti­tuer un motif justi­fi­ca­tif dans la gran­de majo­ri­té des cas, l’in­té­rêt prépon­dé­rant et le con­sen­te­ment ent­rent en ligne de comp­te (art. 31 al. 1 LPD).

Vari­an­te 1 : Prin­ci­pe – inté­rêts prépondérants

La que­sti­on de savoir si l’uti­li­sa­ti­on men­ti­onnée est justi­fi­ée par des inté­rêts prépon­dé­rants Examen au cas par cas. Le gui­de doit tou­te­fois abor­der cet examen de maniè­re plus schématique :

Droit d’op­po­si­ti­on (out-out)

Tout d’a­bord tou­jours d’ac­cor­der un droit de révo­ca­ti­on. Pour le PFPDT, cela découle non seu­le­ment du fait que, dans le cas con­trai­re, aucun inté­rêt prépon­dé­rant ne pour­rait s’ap­pli­quer – le gui­de est clai­re­ment de cet avis -, mais aus­si de l’art. 45c LTC. Ce droit de révo­ca­ti­on doit appa­rem­ment être tech­ni­quement faci­li­tée.

Voi­ci quel­ques remar­ques à ce sujet :

  • Con­trai­re­ment au RGPD, la LPD ne pré­voit pas d’ob­li­ga­ti­on de faci­li­ter les droits des per­son­nes con­cer­nées, y com­pris le droit d’op­po­si­ti­on. Il n’e­xi­ste pas de base juri­di­que pour l’e­xi­gence géné­ra­le d’u­ne faci­li­ta­ti­on technique.
  • Si les inté­rêts d’un trai­te­ment de don­nées ne pou­vai­ent pré­va­loir qu’à cet­te con­di­ti­on, le légis­la­teur aurait pu et dû l’é­cr­i­re à l’ar­tic­le 31, ali­néa 2 LPD.
  • Le droit d’op­po­si­ti­on est un droit légal (art. 30, al. 1, let. b LPD). La loi est tou­te­fois con­sidé­rée com­me con­nue, com­me le prouve l’art. 20, al. 1, let. b LPD. Les per­son­nes con­cer­nées con­nais­sent donc le droit d’opposition.
  • L’art. 45c LTC ne pre­scrit pas d’opé­ra­ti­on­na­li­sa­ti­on tech­ni­que du droit d’opposition.
  • Il exi­ste déjà un droit d’op­po­si­ti­on tech­ni­que : les paramè­tres du navi­ga­teur. Ils ne sont tou­te­fois pas exhaus­tifs ; cont­re un fin­ger­prin­ting, par exemp­le, les paramè­tres du navi­ga­teur ne peu­vent pas fai­re grand-cho­se (à part blo­quer l’exé­cu­ti­on des scripts qui pro­vo­quent le fin­ger­prin­ting et prend­re des mesu­res auxi­li­ai­res com­me la sup­pres­si­on des coo­kies, l’uti­li­sa­ti­on d’un VPN, etc.)

Le PFPDT ne pour­rait donc en fait exi­ger une mise en œuvre tech­ni­que du droit d’op­po­si­ti­on que sur la base de la bon­ne foi et alors seu­le­ment au cas par cas.

Cas d’in­té­rêt supérieur

Com­me nous l’a­vons men­ti­onné, la que­sti­on de savoir si l’in­té­rêt à l’uti­li­sa­ti­on de coo­kies est prépon­dé­rant est une que­sti­on qui se pose au cas par cas. L’art. 31 al. 2 LPD pré­voit tou­te­fois des cas qui indi­quent une tel­le prépon­dé­rance. Le PFPDT se pen­che ici sur deux cas :

  • Lien avec un cont­ratUn exemp­le est le cas quel­que peu énig­ma­tique où un coo­kie d’u­ne bou­tique en ligne “sert des com­mo­di­tés tel­les que la liv­rai­son à domic­i­le basée sur des don­nées d’adresse” ( ?).
  • Sta­ti­sti­ques: Ici, le PFPDT réitère les con­di­ti­ons de l’art. 31 al. 2 let. e LPD (anony­mi­sa­ti­on pré­co­ce, pas de com­mu­ni­ca­ti­on de don­nées per­son­nel­les sen­si­bles, pas de publi­ca­ti­on de don­nées per­son­nel­les). Les sta­ti­sti­ques sur l’uti­li­sa­ti­on du site web en sont des exemples.

Vari­an­te 2 : con­sen­te­ment (excep­ti­on dans trois constellations)

Exi­gence

Dans trois con­stel­la­ti­ons, les inté­rêts à l’uti­li­sa­ti­on des coo­kies non néces­saires ne peu­vent en prin­ci­pe pas pré­va­loir du point de vue du PFPDT, même avec le droit d’opposition :

  • Des coo­kies inat­ten­dusSi l’ob­jec­tif du coo­kie est décrit dans un “con­tra­ste évi­dent avec les fina­li­tés des don­nées per­son­nel­les. Trai­te­ment prin­ci­pal“de l’ar­tic­le. Exemples : 
    • l’uti­li­sa­ti­on de “coo­kies pour une mise en rela­ti­on et une com­mer­cia­li­sa­ti­on des don­nées d’adres­se et de télé­pho­ne” ( ?) “dans le cad­re de la mise à dis­po­si­ti­on de ser­vices basés sur un site web à des fins cari­ta­ti­ves ou amical­es ou de cer­ta­ins jeux en ligne” ;
    • les coo­kies à fina­li­té com­mer­cia­le sur les sites web à con­te­nu sen­si­ble de natu­re poli­tique, syn­di­cale ou reli­gieu­se. La que­sti­on de savoir pour­quoi un droit d’opt-out sur le site web des Verts, par exemp­le, ne suf­fit pas reste tou­te­fois ouver­te, tout com­me cel­le de savoir si la coll­ec­te de dons par une ONG con­sti­tue une fina­li­té commerciale.
  • Hau­te inten­si­té d’in­ter­ven­ti­onSi le coo­kie don­nées per­son­nel­les sen­si­bles trai­tées ou un Pro­fi­la­ge à haut ris­que et/ou que les don­nées cor­re­spond­an­tes soi­ent trans­mi­ses. (Cela vaut éga­le­ment lorsque de tel­les inter­ven­ti­ons “sont atten­dues en rai­son d’u­ne per­cep­ti­on géné­ra­le du trafic”).

Exi­gen­ces rela­ti­ves à un con­sen­te­ment effec­tif en matiè­re de cookies

Les con­di­ti­ons sui­van­tes pour un con­sen­te­ment valable peu­vent être dédui­tes du guide :

  • Expres­si­vi­té:
    • Elle n’est exi­gée que pour les don­nées per­son­nel­les sen­si­bles, le pro­fi­la­ge à haut ris­que et – pour les orga­nes fédé­raux (éga­le­ment les cais­ses-mala­die ou les cais­ses de pen­si­on dans le cad­re des obli­ga­ti­ons) – pour chaque pro­fi­la­ge avec coo­kies. Il suf­fit par exemp­le de cocher une case claire.
    • Si l’ex­pres­si­on n’est pas néces­saire, la case à cocher peut être pré-cochée (mais doit alors être con­fir­mée, sinon il n’y a pas d’ac­tion acti­ve – par exemp­le en cli­quant sur la ban­niè­re correspondante).
  • Infor­ma­ti­on:
    • Il con­vi­ent d’in­for­mer sur les trai­te­ments qui doi­vent être effec­tués et pour quel­les fina­li­tés, mais aus­si, dans cer­tai­nes cir­con­stances, sur les ris­ques encou­rus par les per­son­nes con­cer­nées si elles don­nent leur con­sen­te­ment (en cas de ris­ques éle­vés). Le gui­de ne don­ne pas de pré­cis­i­ons à ce sujet.
    • Si les enfants font par­tie des desti­na­tai­res du site web, la décla­ra­ti­on de con­sen­te­ment doit en out­re être rédi­gée dans un lan­ga­ge faci­le et sans équi­vo­que (pour eux).
  • Déter­mi­na­ti­on:
    • L’ob­jet du con­sen­te­ment doit être suf­fi­sam­ment clair. L’ex­pres­si­on “à des fins de mar­ke­ting”, par exemp­le, n’est pas suf­fi­sam­ment claire.
    • Il n’est tou­te­fois pas évi­dent de com­prend­re pour­quoi la per­son­ne con­cer­née ne peut pas s’en ser­vir. De tou­te façon, celui qui ne com­prend pas une tel­le expres­si­on ne don­nera pas son con­sen­te­ment, rai­son pour laquel­le une for­mu­la­ti­on lar­ge ne nuit pas au con­sen­te­ment, mais tout au plus au taux de consentement.
  • Volon­ta­ri­atLa Com­mis­si­on esti­me que cet­te con­di­ti­on n’est pas rem­plie dans deux cas : 
    • lors de l’uti­li­sa­ti­on de “Motifs som­bres”, mais aus­si déjà pour un “Nud­ging”. Ce der­nier point va trop loin – celui qui voit un bou­ton vert “OK” et un bou­ton gris “Refu­ser” s’é­ner­ve à juste tit­re, mais le con­sen­te­ment n’en devi­ent guè­re invo­lon­tai­re (si c’é­tait le cas, le fait de cli­quer ne pour­rait alors plus du tout être con­sidé­ré com­me une décla­ra­ti­on de con­sen­te­ment, mais une tel­le con­clu­si­on serait pro­ba­blem­ent con­trai­re à la réalité).
    • Cou­pla­geDe même, le con­sen­te­ment est invo­lon­tai­re lorsqu’il con­sti­tue une con­di­ti­on d’ac­cès au site web ou à la pre­sta­ti­on qu’il pro­cu­re, dans la mesu­re où la renon­cia­ti­on est dérai­sonnable. C’est par exemp­le le cas pour un “com­mer­çant en ligne domi­nant”, un “por­tail d’em­ploi en ligne” ou un “réseau social”. L’uti­li­sa­ti­on de tels sites doit donc être pos­si­ble même sans coo­kies qui néces­si­tent un con­sen­te­ment, c’est-à-dire lorsqu’ils sont inat­ten­dus, uti­li­sent des don­nées per­son­nel­les sen­si­bles ou con­dui­sent à un pro­fi­la­ge à haut ris­que (tous les aut­res coo­kies non néces­saires peu­vent être justi­fi­és par des inté­rêts prépon­dé­rants, rai­son pour laquel­le la que­sti­on ne se pose pas).
  • Révo­ca­bi­li­téLe con­sen­te­ment est révo­ca­ble de par la loi. Néan­mo­ins, l’ex­plo­itant doit four­nir une “offrir une pos­si­bi­li­té simp­le” pour exer­cer le droit de rétrac­ta­ti­on. Il s’a­git là aus­si, en fin de comp­te, d’u­ne impor­ta­ti­on du RGPD.

Publi­ci­té personnalisée

Le gui­de con­sacre un cha­pit­re à ce sujet (ch. 3.11). Sur le fond, il revi­ent tou­te­fois au même que les indi­ca­ti­ons plus générales :

  • Pro­fi­la­ge nor­malLe droit d’op­po­si­ti­on doit au moins être accor­dé, ce qui signi­fie qu’il est pos­si­ble de tra­vail­ler avec un inté­rêt prépon­dé­rant (excep­ti­on : orga­nes fédéraux).
  • Pro­fi­la­ge à haut ris­que: Dans ce cas, un con­sen­te­ment expli­ci­te est néces­saire. Il y a pro­fi­la­ge à haut ris­que lorsqu’un pro­fi­la­ge con­duit à un pro­fil de la per­son­na­li­té. Pour le PFPDT, la par­ti­ci­pa­ti­on d’ac­teurs de dif­fér­ents sec­teurs, la pri­se en comp­te de don­nées per­son­nel­les sur une longue péri­ode et l’in­té­gra­ti­on de don­nées publi­ques et de don­nées de four­nis­seurs tiers en sont des indices.

Obli­ga­ti­ons d’information

Le gui­de s’ex­prime à plu­sieurs repri­ses sur les obli­ga­ti­ons d’information :

  • Pre­miè­re étape Décla­ra­ti­on de con­fi­den­tia­li­té:
    • Tout d’a­bord, pour les coo­kies – même s’ils sont néces­saires, mais uni­quement dans la mesu­re où ils per­met­tent de trai­ter des don­nées per­son­nel­les – il faut infor­mer la per­son­ne con­cer­née con­for­mé­ment à l’art. 19 s. LPD. LPD, il faut infor­mer. Cet­te infor­ma­ti­on doit être four­nie de maniè­re “appro­priée”. Il ne suf­fit donc pas de fai­re figu­rer cet­te infor­ma­ti­on dans une rubri­que quel­con­que du site web. Sur le fond, le PFPDT deman­de sans dou­te un lien faci­le à trou­ver. Lien par exemp­le dans le pied de page, ce qui cor­re­spond d’ail­leurs à la pratique.
    • La décla­ra­ti­on de con­fi­den­tia­li­té doit tou­jours l’appro­che par couch­es c’est-à-dire four­nir d’a­bord les infor­ma­ti­ons les plus importan­tes et ensuite, en cas d’in­té­rêt, des indi­ca­ti­ons plus détail­lées. Il n’e­xi­ste aucu­ne base pour exi­ger une tel­le pro­cé­du­re dans l’ab­so­lu (à part le fait qu’u­ne table des matiè­res pour­rait déjà suffire).
    • Et à qui sert l’in­for­ma­ti­on ? Ici, le gui­de n’est pas compréhensible :

      Une décla­ra­ti­on de pro­tec­tion des don­nées rédi­gée selon cet­te appro­che per­met par exemp­le per­son­nes con­cer­nées d’ob­te­nir en un coup d’œil tou­tes les infor­ma­ti­ons essen­ti­el­les sous une for­me résu­mée, et Pro­fes­si­on­nels, Jour­na­li­stes d’in­ve­sti­ga­ti­on et Auto­ri­tés de sur­veil­lan­ce qui ont beso­in d’in­for­ma­ti­ons plus appro­fon­dies, en faisant appel à un aut­re niveau, d’ob­te­nir des infor­ma­ti­ons détail­lées sur le plan juri­di­que et de la tech­no­lo­gie de l’information”.

      Appa­rem­ment, les décla­ra­ti­ons de pro­tec­tion des don­nées ne sont pas seu­le­ment rédi­gées pour les per­son­nes con­cer­nées, mais aus­si pour le PFPDT et, dans la foulée, pour Adri­en­ne Fich­ter et d’aut­res jour­na­li­stes d’investigation.

  • Deu­xiè­me étape Ban­niè­re de coo­kie:
    • Une ban­niè­re de coo­kie et plus pré­cis­é­ment une Pla­te-for­me de gesti­on du con­sen­te­ment (CMP), le gui­de ne l’e­xi­ge que, mais tou­jours, pour les coo­kies non indis­pens­ables, car dans ce cas, le responsable “doit Droit d’op­po­si­ti­on cont­re l’uti­li­sa­ti­on de coo­kies non néces­saires sur le site web” (le gui­de ne pré­cise pas si c’est à chaque visi­te). En out­re, le “degré d’é­vi­dence” doit cor­re­spond­re au “carac­tère inha­bi­tuel de l’uti­li­sa­ti­on des coo­kies en question”.
    • Dans la mesu­re où un con­sen­te­ment est requis (voir ci-des­sus), il fau­drait en out­re que le Droit de rétrac­ta­ti­on Il doit être clair, et il doit être “avec une clar­té par­ti­cu­liè­re” et “en bon­ne place“et ici à chaque visite.
    • Les coo­kies ne doi­vent pas au début de la visi­te Les don­nées per­son­nel­les ne peu­vent pas être mises en ligne, sauf, bien sûr, si elles sont basées sur le consentement.
    • Si le responsable tra­vail­le avec un droit d’op­po­si­ti­on (opt-out) pour cer­ta­ins coo­kies et avec un con­sen­te­ment (opt-in) pour d’aut­res, la per­son­ne con­cer­née doit pou­voir iden­ti­fier clai­re­ment ce qui s’ap­pli­que à quels cookies.