- Le PFPDT publie le 6 octobre 2025 des lignes directrices actualisées sur les cookies, version 1.1, avec Deltaview par rapport à la version initiale.
- Modification : la proportionnalité des cookies non nécessaires est relativisée ; le critère est la finalité du traitement fixée par le responsable.
- Les lignes directrices abordent les données de localisation : risque d’identification élevé, profilage possible, obligation de DSFA pour les déductions sensibles.
- Nouveau : remarque sur les paywalls ; le PFPDT prévoit une campagne de sensibilisation et d’autres mesures de surveillance.
Le PFPDT a publié aujourd’hui, 6 octobre 2025, une version mise à jour de ses lignes directrices sur les cookies du 22 janvier 2025 publié (à ce sujet notre contribution de l’époque). La version actuelle est la version 1.1. Un deltaview sur la Version initiale peut être téléchargé ici (PDF).
C’est une démarche inhabituelle de la part du PFPDT, mais elle est bienvenue. Si des lignes directrices sont adaptées, cela permet au public de s’exprimer de manière constructive. Les milieux intéressés peuvent ainsi faire valoir leurs positions sans devoir passer par les tribunaux, même s’ils n’ont pas la possibilité de prendre position sur un projet, comme c’était le cas jusqu’à présent.
La principale modification concerne la proportionnalité. L’ancienne version des lignes directrices stipulait de manière globale les cookies non nécessaires sont généralement disproportionnés. La version actuelle s’éloigne de cette position particulièrement critiquée :
- Elle continue de dire que les cookies non nécessaires sont contraires au principe de proportionnalité.
- Il est toutefois fait référence à la définition précédente des cookies nécessaires.
- Les lignes directrices précisent à juste titre qu’il n’y a pas de “discrimination”. est le responsable qui fixe le but du traitementet que la proportionnalité s’impose à cette fin:
La question de savoir quels cookies et technologies similaires sont techniquement nécessaires pour garantir la faisabilité fonctionnelle du traitement souhaité dépend de l’objectif d’utilisation que le responsable poursuit avec un traitement concret des données et ne peut pas faire l’objet d’une réponse globale.
En d’autres termes, les lignes directrices ne présument plus que les cookies non nécessaires constituent une atteinte à la personnalité.
Désormais, le guide s’adresse aussi explicitement Données de localisation (sans toutefois les définir – mais l’indication d’un pays ou d’une ville ne peut en tout cas pas être comprise comme une date de localisation) :
- Dans le cas d’une collecte de données de localisation conduisant à des profils de déplacement, il faut partir “en pratique” d’une “forte probabilité d’identification des personnes”.
- La collecte de données de géolocalisation peut, selon la durée et le rayon, déboucher sur un profilage à haut risque si ces données, seules ou en combinaison avec d’autres, conduisent à des profils de déplacement précis permettant de tirer des conclusions sur des aspects essentiels de la personnalité des utilisateurs. Cela serait également possible en combinant des données de localisation imprécises.
- Les profils de mouvement peuvent conduire à des “conclusions sensibles sur la sphère intime” par l’évaluation de lieux fréquentés de manière répétée (p. ex. cabinet médical ou juridique). Cela peut exiger un DSFA.
- Dans le cas des apps destinées à la facturation des transports de personnes, la saisie des données de position est disproportionnée et exige un consentement.
A la fin, on trouve également une nouvelle note sur Murs de paiement.
Dans le communiqué relatif à la mise à jour, le PFPDT a annoncé son intention de mener une “campagne de sensibilisation destinée à un public plus large” et d’entreprendre ensuite “les démarches nécessaires en matière de droit de la surveillance conformément au guide”.