Le règlement général sur la protection des données (RGPD) et la directive ePricacy ont des conséquences sur la manière dont vous devez, en tant que propriétaire de site web, obtenir et stocker les consentements de vos visiteurs de l'UE à l'utilisation de cookies.
Essayez notre test de conformité gratuitement pour vérifier si l'utilisation des cookies et du suivi en ligne sur votre site web est conforme au RGPD/ePR.
Mis à jour le 28 octobre 2020.
Le Comité européen de la protection des données (EDPB) a adopté des lignes directrices concernant la conformité au RGPD, clarifiant ainsi ce qui constitue un consentement valide sur les sites web et déclarant illégale l'utilisation de « cookie walls ».
Le EDPB est la plus haute autorité de contrôle du RGPD dans l'UE et ses lignes directrices constituent la base de l'application du RGPD par les autorités nationales de protection des données dans chaque État membre de l'UE.
Dans cet article, nous vous expliquons les points importants à connaître sur les lignes directrices du EDPB, afin que vous puissiez vous assurer que votre site web est un espace sûr et conforme que les utilisateurs peuvent visiter.
Le 4 mai 2020, le Comité européen de protection des données (EDPB) a adopté des lignes directrices pour la conformité au RGPD qui clarifient ce qui constitue un consentement valide pour le traitement des données personnelles dans l'UE et confirment que l'utilisation de « cookie walls » pour obtenir le consentement n'est pas conforme.
Ces lignes directrices cimentent, en tant que mise en œuvre unifiée du RGPD, ce que plusieurs autorités nationales de protection des données et l'arrêt Planet49 de la CJUE avaient décidé indépendamment. Il est très important de comprendre ces lignes directrices car elles indiquent comment les autorités de protection des données de chaque État membre de l'UE doivent appliquer le RGPD.
Lisez les lignes directrices 05/2020 du EDPB sur le consentement valide ici (en anglais).
Testez gratuitement si votre site web est conforme aux lignes directrices du EDPB et au RGPD.
Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.
Pour qu'un consentement soit valide selon le RGPD, il doit être :
Le EDPB précise dans ses lignes directrices qu’ « une indication non ambiguë du consentement de l'utilisateur » doit être faite avec une action claire et positive de la part de ce dernier.
Les actions de l'utilisateur telles que le défilement sur un site web ou autre activité similaire (également appelé consentement implicite) ne répondent pas à l'exigence de consentement valide selon le RGPD.
Selon les lignes directrices du EDPB, cela signifie que le bandeau cookies de votre site web ne peut pas indiquer que la poursuite de la navigation ou le défilement sur votre domaine est considéré comme un consentement aux cookies qui traitent des données personnelles, car il ne s'agit pas d'une forme de consentement valide selon le RGPD.
Au contraire, le bandeau cookies de votre site web doit être interactif et le site web doit s'abstenir d'activer des cookies qui collectent des données personnelles, jusqu'à ce que l'utilisateur ait sélectionné les catégories de cookies qu'il veut autoriser (ce que l'on appelle le consentement préalable).
Les lignes directrices du EDPB précisent également que l'utilisation de cases cochées par défaut n’est pas conforme au RGPD, car cela ne répond pas non plus à l'exigence d’une « action claire et positive ».
Dans ce cas, les lignes directrices du EDPB complètent le précédent juridique établi par la Cour de justice de l'Union européenne (CJUE) dans l'affaire Planet 49 en octobre 2019.
Cette décision de la CJUE statue que les cases cochées par défaut sur les bandeaux cookies ne sont pas autorisées car elles ne respectent pas non plus l'exigence d’un consentement donné librement par une action positive.
En savoir plus sur la CJUE et l'affaire Planet49
Essayez Cookiebot gratuitement dès aujourd'hui... ou pour toujours si vous avez un petit site web.
Les lignes directrices du EDPB clarifient la manière dont le RGPD doit être interprété et appliqué dans l'UE.
Les lignes directrices du EDPB précisent également qu'un « cookie wall » est un moyen non conforme d'obtenir le consentement des sites web.
Les cookie walls fonctionnent en conditionnant l'accès aux sites web au consentement de l'utilisateur au traitement de ses données personnelles. Les lignes directrices du EDPB précisent très clairement que cela ne constitue pas un consentement valide.
Les cookie walls fonctionnent en forçant les utilisateurs à consentir à stocker des cookies ou à accéder à des cookies déjà stockés en échange de l'accès à des services. Ils ne sont donc pas un moyen d'obtenir le consentement selon l’exigence du RGPD selon laquelle un consentement valide doit être donné librement et sur la base d'un véritable choix.
Vous voulez en savoir plus sur les cookie walls ?
Les lignes directrices du EDPB concrétisent l'intention initiale du RGPD : donner aux utilisateurs des droits réels et opposables sur leurs données et leur vie privée.
Dans ses lignes directrices sur le consentement, le EDPB indique très clairement que toute tentative visant à éviter de donner aux utilisateurs un pouvoir réel sur leurs propres données personnelles (comme le fait de forcer le consentement ou de se fier à des consentements implicites mal informés) n’est pas tolérée.
En d'autres termes, votre site web n'est pas autorisé à activer des cookies qui traitent des données à caractère personnel, sauf si l'utilisateur y a consenti de manière claire et positive.
Pour votre site web, cela signifie –
Si votre site web utilise une solution de consentement qui active les cookies sur la base d'un défilement, d'un clic ou d'une navigation continue sur votre site web (c'est-à-dire toute autre activité que l'interaction directe et explicite avec le bandeau de consentement), des cases cochées par défaut ou des cookie walls, vous devez changer cela.
Les lignes directrices du EDPB constituent la base de toute application du RGPD à l’échelle nationale par les autorités de protection des données de chaque État membre. Par conséquent, si votre site web s’opère à partir d'un pays de l'UE ou si votre site web traite des données personnelles sur de citoyens européens, vous devez vous conformer aux lignes directrices du EDPB sur la conformité au RGPD.
Vous n'êtes pas sûr que votre site web respecte les exigences du RGPD concernant l'utilisation légale des cookies et des traceurs ? Vous avez des doutes sur le respect des lignes directrices du EDPB par votre domaine ?
Cookiebot effectue un scan gratuit de votre site web pour détecter tous les cookies et traceurs en utilisation sur votre domaine.
Vous serez sûrement surpris de constater que votre site web contient beaucoup plus de cookies que vous ne le pensez, car –
72 % des cookies sont chargés secrètement par des traceurs tiers, ce qui les rend presque impossibles à détecter sans une technologie de scanner appropriée.
18 % des cookies sont des chevaux de Troie, c'est-à-dire des traceurs qui chargent des cookies enfuis aussi profondément que dans huit autres cookies.
50 % de tous les chevaux de Troie changent entre les visites, de sorte que les utilisateurs risquent de voir leurs données personnelles recueillies par différents tiers sur votre site web, lorsqu'ils visitent à nouveau votre domaine.
Source : Beyond the Front Page, une étude de 2020 sur les cookies des sites web.
Testez gratuitement la conformité de votre site web au RGPD et à la directive ePrivacy
En savoir plus sur le RGPD et le consentement aux cookies
Essayez Cookiebot gratuitement dès aujourd'hui
Cookiebot est la première plateforme de gestion du consentement qui rend votre site web conforme aux lois sur la protection des données.
La solution de Cookiebot est « plug-and-play » et ne nécessite pas de mise en œuvre manuelle ni d'intégration sur site avec votre domaine.
Il suffit de mettre en œuvre Cookiebot depuis le Cloud pour protéger la vie privée de vos utilisateurs contre les abus de leurs données par des tiers.
Cookiebot effectue des scans en profondeur de l'ensemble de votre site web pour détecter tous les cookies et les traceurs en activité – même les chevaux de Troie cachés – et les bloque automatiquement jusqu'à ce que vos utilisateurs aient donné leur accord préalable, en totale conformité avec le RGPD.
La solution de consentement de Cookiebot est en parfaite conformité avec les lignes directrices du EDPB sur le consentement valide :
Le bandeau interactif de Cookiebot avec un consentement granulaire en conformité avec les lignes directrices du EDPB sur le RGPD.
Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.
Les lignes directrices 05/2020 du EDPB sur le consentement valide sont un document détaillé de 33 pages qui a été adopté le 4 mai 2020.
Dans la suite de cet article, nous examinons de plus près chacune des sections importantes des lignes directrices du EDPB qui clarifient le consentement valide selon le RGPD :
Lisez les lignes directrices du EDPB dans leur intégralité ici (en anglais).
Le Comité européen de la protection des données (EDPB) est la principale autorité de contrôle responsable de l'application cohérente du règlement général sur la protection des données (RGPD) dans l'UE.
Le EDPB a été créé avec l'adoption du RGPD en 2018 et est composé de représentants des autorités nationales de protection des données dans chaque État membre.
Le travail du EDPB consiste à adopter des lignes directrices et à prendre des décisions qui clarifient la manière dont le RGPD est censé être mis en place par les sites web, les entreprises et les organisations pour une conformité totale.
Les lignes directrices et les décisions du EDPB sont la pierre angulaire de l'application du RGPD dans les États membres de l'UE, où chaque autorité nationale de protection des données est responsable de l'application du RGPD.
Lorsque vous obtenez le consentement des utilisateurs pour l'activation de cookies qui traitent des données personnelles, votre site web doit s'assurer que le consentement est donné librement – une pierre angulaire pour un consentement valide selon le RGPD.
Si l'utilisateur n'a pas vraiment le choix, s’il se sent obligé de donner son consentement ou s’il peut subir des conséquences négatives s'il ne donne pas son consentement (par exemple, services réduits ou accès refusé), alors le consentement n’est pas valide.
Votre site web n'est pas autorisé à regrouper les consentements, c'est-à-dire que si le consentement est présenté comme une partie non négociable des conditions générales, il n’a pas été donné librement.
En conséquence, le consentement ne sera pas considéré comme valide si l'utilisateur n'est pas en mesure de le refuser ou de le retirer sans conséquences (une baisse de la qualité des services ou un refus d'accès par exemple).
Comme nous l'avons brièvement évoqué ci-dessus, le regroupement des consentements n'est pas conforme aux lignes directrices du EDPB.
Le fait de conditionner le consentement à l'acceptation de conditions générales ou à l'exécution d'un service pour lequel les données à caractère personnel traitées par les cookies et les traceurs ne sont pas nécessaires est considéré comme une forme de consentement non valide.
Le RGPD contient six bases juridiques pour le traitement des données à caractère personnel, dont la première concerne le consentement de l'utilisateur et la seconde l'exécution d'un contrat.
Les lignes directrices du EDPB précisent très clairement que ces deux bases juridiques ne peuvent être fusionnées. Si votre site web repose sur le consentement de l'utilisateur pour l'utilisation de cookies et de traceurs qui traitent des données personnelles, ce consentement ne peut être conditionné à la prestation d'un service qui n'a pas besoin de ces données personnelles pour être exécuté (voir l'article 7, 4 du RGPD pour plus d'informations à ce sujet).
C'est la partie des lignes directrices du EDPB qui exclut véritablement l'utilisation des cookie walls comme forme conforme d'obtention du consentement, puisqu'un consentement forcé n'est pas donné librement (lire : valide).
L'obligation d'accepter la collecte de données personnelles non nécessaires fait obstacle au libre consentement, précisent les lignes directrices du EDPB.
Pour en savoir plus sur les cookie walls, cliquez ici.
La plupart des sites web utilisent un grand nombre de cookies différents, chacun d'entre eux collectant des données différentes à des fins différentes par différents fournisseurs.
Les lignes directrices du EDPB précisent que si votre site web traite des données personnelles dans plusieurs objectifs de traitement, les utilisateurs doivent pouvoir choisir librement l’objectif auquel ils adhérent – plutôt que de devoir consentir à un ensemble d’objectifs.
Cela signifie que vous devez connaître tous les cookies et leurs différents objectifs, et offrir aux utilisateurs la possibilité d’activer certains cookies et pas d'autres, ce que l'on appelle aussi le consentement granulaire.
Consentement granulaire par Cookiebot en conformité avec les lignes directrices du EDPB 05/2020.
Le consentement valide, précisent les lignes directrices du EDPB, doit être spécifique, c'est-à-dire qu'il doit permettre de déterminer clairement une finalité spécifique, explicite et légitime pour l'activité de traitement envisagée.
Pour que le consentement soit spécifique, selon les lignes directrices du EDPB, votre site web doit garantir –
Les lignes directrices du EDPB précisent que le consentement valide doit être éclairé, c'est-à-dire que les utilisateurs doivent savoir et comprendre ce à quoi ils consentent.
Votre site web doit satisfaire à ces exigences minimales en matière de contenu pour que le consentement soit éclairé –
Les informations que vous fournissez à vos utilisateurs doivent être rédigées dans un langage clair et simple et être facilement compréhensibles pour le commun des mortels (et pas seulement pour les juristes).
Le bandeau de Cookiebot avec un texte clair et facile à comprendre respecte les lignes directrices du EDPB sur le consentement éclairé.
Si votre site web repose sur un consentement pour le traitement de données à caractère personnel par des cookies et traceurs, vous devez être prêt à respecter les choix des utilisateurs de retirer ce consentement. Il s'agit d'une exigence du RGPD.
Les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donné. En fait, la validité d'un consentement est subordonnée à la possibilité pour l'utilisateur de le retirer aussi facilement qu'il l'a donné par la suite.
Les utilisateurs doivent pouvoir retirer leur consentement librement et sans conséquences, par exemple en se voyant refuser l'accès à un site web ou en subissant une baisse des services.
Tout traitement de données à caractère personnel ayant eu lieu après le consentement de l'utilisateur et avant le retrait du consentement est licite.
Il incombe au propriétaire et/ou à l’opérateur du site web de prouver que l’utilisateur a donné son consentement au traitement de ses données personnelles.
Cela signifie que vous devrez être en mesure de montrer que l'utilisateur a donné son consentement aux cookies et traceurs qui collectent des données à caractère personnel sur votre site web. La documentation du consentement doit être conservée en toute sécurité.
Le EDPB recommande que les consentements soient actualisés à des intervalles appropriés.
Enfin, n'oubliez pas que vos utilisateurs disposent de droits garantis par le RGPD que vous devez toujours respecter pour être en conformité.
Il s'agit –
La plateforme de gestion du consentement de Cookiebot prend en charge toutes les exigences de conformité du RGPD que votre site web doit respecter lors de l'utilisation de cookies qui traitent les données personnelles des utilisateurs au sein de l'UE.
En savoir plus sur la conformité au RGPD
Voir les fonctionnalités de Cookiebot
Voir les plans tarifaires de Cookiebot
Effectuez le test de conformité au RGPD gratuit de Cookiebot
Essayez Cookiebot gratuitement dès aujourd'hui
Le Comité européen de la protection des données (EDPB) est la plus haute instance de contrôle chargée de l'application et de la mise en œuvre du règlement général sur la protection des données (RGDP) dans l'UE. Le EDPB est composé de représentants des autorités de protection des données de chaque État membre de l'UE. Son rôle principal est d'adopter des lignes directrices et de prendre des décisions sur la manière dont le RGPD doit être interprété et appliqué.
Essayez Cookiebot gratuitement pendant 30 jours... ou pour toujours si vous avez un petit site web.
Les lignes directrices du EDPB sur le consentement valide publiée en mai 2020 clarifient ce qui constitue un consentement valide, lorsqu'on s'appuie sur le consentement de l'utilisateur pour le traitement des données personnelles, par exemple par l'utilisation de cookies et de traceurs sur les sites web. Les lignes directrices du EDPB excluent l'utilisation de cookie walls (consentement forcé) et précisent ce que les sites web doivent faire pour obtenir un consentement valide pour le traitement des données personnelles.
Testez la conformité de votre site web au RGPD avec le test gratuit de Cookiebot
Les lignes directrices 05/2020 du EDPB précisent que le consentement valide est une indication librement donnée, informée, spécifique et non ambiguë des souhaits d'un utilisateur. Cela signifie que votre site web doit donner aux utilisateurs un véritable choix de consentement entre tous les différents cookies et traceurs, avant leur activation et le traitement des données personnelles. Le défilement et la poursuite de la navigation sur les sites web ne constituent pas un consentement valide et les bandeaux cookies ne sont pas autorisées à comporter des cases cochées par défaut.
En savoir plus sur la conformité au RGPD avec Cookiebot
Tout d'abord, vous devez connaître tous les cookies et traceurs en fonctionnement sur votre site web, afin que vous puissiez informer les utilisateurs de leur type, de leur but, de leur durée et de leur fournisseur. Deuxièmement, vous devez bloquer tous les cookies (à l'exception des cookies nécessaires) jusqu'à ce que les utilisateurs aient donné leur consentement clair et affirmatif à leur activation. Troisièmement, vous devez documenter tous les consentements de manière sécurisée et les renouveler chaque année. Quatrièmement, vous devez faire en sorte qu'il soit aussi facile pour l'utilisateur de retirer son consentement qu'il l'a été de le donner en premier lieu.
En savoir plus sur le RGPD et le consentement aux cookies
Comité européen de la protection des données (EDPB)
Lignes directrices EDPB 05/2020 sur le consentement valide (en anglais)
RGPD et consentement aux cookies
Beyond the Front Page, une étude de 2020 sur les cookies et le suivi en ligne (en anglais)
Rendez l'utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd'hui
Faites un essai gratuit