Mis à jour le 28 octobre 2020.
Le Comité européen de la protection des données (EDPB) a adopté des lignes directrices concernant la conformité au RGPD, clarifiant ainsi ce qui constitue un consentement valide sur les sites web et déclarant illégale l’utilisation de « cookie walls ».
Le EDPB est la plus haute autorité de contrôle du RGPD dans l’UE et ses lignes directrices constituent la base de l’application du RGPD par les autorités nationales de protection des données dans chaque État membre de l’UE.
Dans cet article, nous vous expliquons les points importants à connaître sur les lignes directrices du EDPB, afin que vous puissiez vous assurer que votre site web est un espace sûr et conforme que les utilisateurs peuvent visiter.
Résumé rapide
Les lignes directrices du EDPB en bref
Le 4 mai 2020, le Comité européen de la protection des données (EDPB) a adopté des lignes directrices pour la conformité au RGPD qui clarifient ce qui constitue un consentement valide pour le traitement des données personnelles dans l’UE et confirment que l’utilisation de « cookie walls » pour obtenir le consentement n’est pas conforme.
Ces lignes directrices cimentent, en tant que mise en œuvre unifiée du RGPD, ce que plusieurs autorités nationales de protection des données et l’arrêt Planet49 de la CJUE avaient décidé indépendamment. Il est très important de comprendre ces lignes directrices car elles indiquent comment les autorités de protection des données de chaque État membre de l’UE doivent appliquer le RGPD.
Lisez les lignes directrices 05/2020 du EDPB sur le consentement valide ici (en anglais).
Testez gratuitement si votre site web est conforme aux lignes directrices du EDPB et au RGPD.
Essayez la plateforme de gestion des consentements Cookiebot CMP gratuitement pendant 30 jours… ou pour toujours si vous avez un petit site web.
Lignes directrices du EDPB sur le consentement valide
Pour qu’un consentement soit valide selon le RGPD, il doit être :
- Donné librement
- Spécifique
- Informé
- Sans équivoque
Le EDPB précise dans ses lignes directrices qu’ « une indication non ambiguë du consentement de l’utilisateur » doit être faite avec une action claire et positive de la part de ce dernier.
Les actions de l’utilisateur telles que le défilement sur un site web ou autre activité similaire (également appelé consentement implicite) ne répondent pas à l’exigence de consentement valide selon le RGPD.
Selon les lignes directrices du EDPB, cela signifie que le bandeau cookies de votre site web ne peut pas indiquer que la poursuite de la navigation ou le défilement sur votre domaine est considéré comme un consentement aux cookies qui traitent des données personnelles, car il ne s’agit pas d’une forme de consentement valide selon le RGPD.
Au contraire, le bandeau cookies de votre site web doit être interactif et le site web doit s’abstenir d’activer des cookies qui collectent des données personnelles, jusqu’à ce que l’utilisateur ait sélectionné les catégories de cookies qu’il veut autoriser (ce que l’on appelle le consentement préalable).
Les lignes directrices du EDPB précisent également que l’utilisation de cases cochées par défaut n’est pas conforme au RGPD, car cela ne répond pas non plus à l’exigence d’une « action claire et positive ».
Dans ce cas, les lignes directrices du EDPB complètent le précédent juridique établi par la Cour de justice de l’Union européenne (CJUE) dans l’affaire Planet 49 en octobre 2019.
Cette décision de la CJUE statue que les cases cochées par défaut sur les bandeaux cookies ne sont pas autorisées car elles ne respectent pas non plus l’exigence d’un consentement donné librement par une action positive.
En savoir plus sur la CJUE et l’affaire Planet49
Essayez Cookiebot CMP gratuitement dès aujourd’hui… ou pour toujours si vous avez un petit site web.
Lignes directrices du EDPB sur cookie walls
Les lignes directrices du EDPB précisent également qu’un « cookie wall » est un moyen non conforme d’obtenir le consentement des sites web.
Les cookie walls fonctionnent en conditionnant l’accès aux sites web au consentement de l’utilisateur au traitement de ses données personnelles. Les lignes directrices du EDPB précisent très clairement que cela ne constitue pas un consentement valide.
Les cookie walls fonctionnent en forçant les utilisateurs à consentir à stocker des cookies ou à accéder à des cookies déjà stockés en échange de l’accès à des services. Ils ne sont donc pas un moyen d’obtenir le consentement selon l’exigence du RGPD selon laquelle un consentement valide doit être donné librement et sur la base d’un véritable choix.
Vous voulez en savoir plus sur les cookie walls ?
Que signifient les lignes directrices du EDPB pour mon site web ?
Les lignes directrices du EDPB concrétisent l’intention initiale du RGPD : donner aux utilisateurs des droits réels et opposables sur leurs données et leur vie privée.
Dans ses lignes directrices sur le consentement, le EDPB indique très clairement que toute tentative visant à éviter de donner aux utilisateurs un pouvoir réel sur leurs propres données personnelles (comme le fait de forcer le consentement ou de se fier à des consentements implicites mal informés) n’est pas tolérée.
En d’autres termes, votre site web n’est pas autorisé à activer des cookies qui traitent des données à caractère personnel, sauf si l’utilisateur y a consenti de manière claire et positive.
Pour votre site web, cela signifie –
- Pas de cases cochées par défaut sur vos bandeaux cookies
- Le défilement et la poursuite de la navigation ne constituent pas un consentement valide
- Les cookie walls ne sont pas conformes pour obtenir le consentement
Si votre site web utilise une solution de consentement qui active les cookies sur la base d’un défilement, d’un clic ou d’une navigation continue sur votre site web (c’est-à-dire toute autre activité que l’interaction directe et explicite avec le bandeau de consentement), des cases cochées par défaut ou des cookie walls, vous devez changer cela.
Les lignes directrices du EDPB constituent la base de toute application du RGPD à l’échelle nationale par les autorités de protection des données de chaque État membre. Par conséquent, si votre site web s’opère à partir d’un pays de l’UE ou si votre site web traite des données personnelles sur de citoyens européens, vous devez vous conformer aux lignes directrices du EDPB sur la conformité au RGPD.
Lignes directrices du EDPB et test de conformité au RGPD
Vous n’êtes pas sûr que votre site web respecte les exigences du RGPD concernant l’utilisation légale des cookies et des traceurs ? Vous avez des doutes sur le respect des lignes directrices du EDPB par votre domaine ?
Cookiebot CMP effectue un scan gratuit de votre site web pour détecter tous les cookies et traceurs en utilisation sur votre domaine.
Vous serez sûrement surpris de constater que votre site web contient beaucoup plus de cookies que vous ne le pensez, car –
72 % des cookies sont chargés secrètement par des traceurs tiers, ce qui les rend presque impossibles à détecter sans une technologie de scanner appropriée.
18 % des cookies sont des chevaux de Troie, c’est-à-dire des traceurs qui chargent des cookies enfuis aussi profondément que dans huit autres cookies.
50 % de tous les chevaux de Troie changent entre les visites, de sorte que les utilisateurs risquent de voir leurs données personnelles recueillies par différents tiers sur votre site web, lorsqu’ils visitent à nouveau votre domaine.
Source : Beyond the Front Page, une étude de 2020 sur les cookies des sites web.
Testez gratuitement la conformité de votre site web au RGPD et à la directive ePrivacy
En savoir plus sur le RGPD et le consentement aux cookies
Essayez Cookiebot CMP gratuitement dès aujourd’hui
Cookiebot CMP et les lignes directrices du EDPB
Cookiebot CMP est la première plateforme de gestion des consentements qui rend votre site web conforme aux lois sur la protection des données.
La solution Cookiebot est « plug-and-play » et ne nécessite pas de mise en œuvre manuelle ni d’intégration sur site avec votre domaine.
Il suffit de mettre en œuvre Cookiebot CMP depuis le Cloud pour protéger la vie privée de vos utilisateurs contre les abus de leurs données par des tiers.
Cookiebot CMP effectue des scans en profondeur de l’ensemble de votre site web pour détecter tous les cookies et les traceurs en activité – même les chevaux de Troie cachés – et les bloque automatiquement jusqu’à ce que vos utilisateurs aient donné leur accord préalable, en totale conformité avec le RGPD.
La solution de consentement Cookiebot est en parfaite conformité avec les lignes directrices du EDPB sur le consentement valide :
- Le blocage automatique de tous les cookies et traceurs pour consentement préalable
- Un choix granulaire et affirmatif de consentement sur quatre catégories de cookies
- Une déclaration cookies complète sur le fournisseur, l’objet, la durée et le type de chaque cookie
- Un moyen simple pour les utilisateurs de modifier ou de retirer leur consentement
- Le consentement de l’utilisateur documenté de manière sécurisée
- Le renouvellement automatique du consentement de l’utilisateur
Essayez Cookiebot CMP gratuitement pendant 30 jours… ou pour toujours si vous avez un petit site web.
Les lignes directrices du EDPB en détail
Les lignes directrices 05/2020 du EDPB sur le consentement valide sont un document détaillé de 33 pages qui a été adopté le 4 mai 2020.
Dans la suite de cet article, nous examinons de plus près chacune des sections importantes des lignes directrices du EDPB qui clarifient le consentement valide selon le RGPD :
- Consentement donné librement
- Conditionnalité du consentement
- Consentement granulaire
- Consentement spécifique
- Consentement éclairé
- Retrait du consentement
- Conditions supplémentaires pour l’obtention d’un consentement valide
- Droits des personnes concernées
Lisez les lignes directrices du EDPB dans leur intégralité ici (en anglais).
Qui est le EDPB ?
Le Comité européen de la protection des données (EDPB) est la principale autorité de contrôle responsable de l’application cohérente du règlement général sur la protection des données (RGPD) dans l’UE.
Le EDPB a été créé avec l’adoption du RGPD en 2018 et est composé de représentants des autorités nationales de protection des données dans chaque État membre.
Le travail du EDPB consiste à adopter des lignes directrices et à prendre des décisions qui clarifient la manière dont le RGPD est censé être mis en place par les sites web, les entreprises et les organisations pour une conformité totale.
Les lignes directrices et les décisions du EDPB sont la pierre angulaire de l’application du RGPD dans les États membres de l’UE, où chaque autorité nationale de protection des données est responsable de l’application du RGPD.
Consentement libre
Lorsque vous obtenez le consentement des utilisateurs pour l’activation de cookies qui traitent des données personnelles, votre site web doit s’assurer que le consentement est donné librement – une pierre angulaire pour un consentement valide selon le RGPD.
Si l’utilisateur n’a pas vraiment le choix, s’il se sent obligé de donner son consentement ou s’il peut subir des conséquences négatives s’il ne donne pas son consentement (par exemple, services réduits ou accès refusé), alors le consentement n’est pas valide.
Votre site web n’est pas autorisé à regrouper les consentements, c’est-à-dire que si le consentement est présenté comme une partie non négociable des conditions générales, il n’a pas été donné librement.
En conséquence, le consentement ne sera pas considéré comme valide si l’utilisateur n’est pas en mesure de le refuser ou de le retirer sans conséquences (une baisse de la qualité des services ou un refus d’accès par exemple).
Conditionalité du consentement
Comme nous l’avons brièvement évoqué ci-dessus, le regroupement des consentements n’est pas conforme aux lignes directrices du EDPB.
Le fait de conditionner le consentement à l’acceptation de conditions générales ou à l’exécution d’un service pour lequel les données à caractère personnel traitées par les cookies et les traceurs ne sont pas nécessaires est considéré comme une forme de consentement non valide.
Le RGPD contient six bases juridiques pour le traitement des données à caractère personnel, dont la première concerne le consentement de l’utilisateur et la seconde l’exécution d’un contrat.
Les lignes directrices du EDPB précisent très clairement que ces deux bases juridiques ne peuvent être fusionnées. Si votre site web repose sur le consentement de l’utilisateur pour l’utilisation de cookies et de traceurs qui traitent des données personnelles, ce consentement ne peut être conditionné à la prestation d’un service qui n’a pas besoin de ces données personnelles pour être exécuté (voir l’article 7, 4 du RGPD pour plus d’informations à ce sujet).
C’est la partie des lignes directrices du EDPB qui exclut véritablement l’utilisation des cookie walls comme forme conforme d’obtention du consentement, puisqu’un consentement forcé n’est pas donné librement (lire : valide).
L’obligation d’accepter la collecte de données personnelles non nécessaires fait obstacle au libre consentement, précisent les lignes directrices du EDPB.
Pour en savoir plus sur les cookie walls, cliquez ici.
Consentement granulaire
La plupart des sites web utilisent un grand nombre de cookies différents, chacun d’entre eux collectant des données différentes à des fins différentes par différents fournisseurs.
Les lignes directrices du EDPB précisent que si votre site web traite des données personnelles dans plusieurs objectifs de traitement, les utilisateurs doivent pouvoir choisir librement l’objectif auquel ils adhérent – plutôt que de devoir consentir à un ensemble d’objectifs.
Cela signifie que vous devez connaître tous les cookies et leurs différents objectifs, et offrir aux utilisateurs la possibilité d’activer certains cookies et pas d’autres, ce que l’on appelle aussi le consentement granulaire.
Consentement spécifique
Le consentement valide, précisent les lignes directrices du EDPB, doit être spécifique, c’est-à-dire qu’il doit permettre de déterminer clairement une finalité spécifique, explicite et légitime pour l’activité de traitement envisagée.
Pour que le consentement soit spécifique, selon les lignes directrices du EDPB, votre site web doit garantir –
- Spécification de la finalité comme garantie contre le détournement de fonction (c’est-à-dire les données utilisées à des fins multiples sans le consentement spécifique de l’utilisateur pour chaque finalité).
- Granularité des demandes de consentement
- Séparation claire des informations relatives à l’obtention du consentement pour le traitement des données et des informations sur d’autres sujets
Consentement éclairé
Les lignes directrices du EDPB précisent que le consentement valide doit être éclairé, c’est-à-dire que les utilisateurs doivent savoir et comprendre ce à quoi ils consentent.
Votre site web doit satisfaire à ces exigences minimales en matière de contenu pour que le consentement soit éclairé –
- Votre identité et celle de votre site web,
- L’objectif de chacun des traitements pour lesquels le consentement est demandé sur votre site web,
- Quel type de données est collecté et utilisé sur votre site web,
- L’existence d’un droit de retrait du consentement,
- Informations sur l’utilisation des données pour la prise de décision automatisée,
- Les risques possibles de transferts de données en raison de l’absence d’adéquation et de garanties appropriées telles que décrites à l’article 46.
Les informations que vous fournissez à vos utilisateurs doivent être rédigées dans un langage clair et simple et être facilement compréhensibles pour le commun des mortels (et pas seulement pour les juristes).
Retrait du consentement
Si votre site web repose sur un consentement pour le traitement de données à caractère personnel par des cookies et traceurs, vous devez être prêt à respecter les choix des utilisateurs de retirer ce consentement. Il s’agit d’une exigence du RGPD.
Les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu’ils l’ont donné. En fait, la validité d’un consentement est subordonnée à la possibilité pour l’utilisateur de le retirer aussi facilement qu’il l’a donné par la suite.
Les utilisateurs doivent pouvoir retirer leur consentement librement et sans conséquences, par exemple en se voyant refuser l’accès à un site web ou en subissant une baisse des services.
Tout traitement de données à caractère personnel ayant eu lieu après le consentement de l’utilisateur et avant le retrait du consentement est licite.
Conditions supplémentaires pour l’obtention d’un consentement valide
Il incombe au propriétaire et/ou à l’opérateur du site web de prouver que l’utilisateur a donné son consentement au traitement de ses données personnelles.
Cela signifie que vous devrez être en mesure de montrer que l’utilisateur a donné son consentement aux cookies et traceurs qui collectent des données à caractère personnel sur votre site web. La documentation du consentement doit être conservée en toute sécurité.
Le EDPB recommande que les consentements soient actualisés à des intervalles appropriés.
Droits de la personne concernée
Enfin, n’oubliez pas que vos utilisateurs disposent de droits garantis par le RGPD que vous devez toujours respecter pour être en conformité.
Il s’agit –
- Du droit d’effacer les données personnelles collectées et stockées, lorsque le consentement a été retiré
- Du droit de restriction
- Du droit de rectification
- Du droit d’accès
- Du droit à la portabilité des données
Cookiebot CMP et conformité au RGPD
La plateforme de gestion des consentements Cookiebot prend en charge toutes les exigences de conformité du RGPD que votre site web doit respecter lors de l’utilisation de cookies qui traitent les données personnelles des utilisateurs au sein de l’UE.
- Scanne et trouve tous les cookies et les traceurs, même les chevaux de Troie cachés
- Bloque automatiquement tous les cookies jusqu’à ce que l’utilisateur ait donné un consentement spécifique et granulaire
- Documente et conserve en toute sécurité chaque consentement obtenu
- Renouvelle le consentement automatiquement
En savoir plus sur la conformité au RGPD
Voir les fonctionnalités de Cookiebot CMP
Voir les plans tarifaires de Cookiebot CMP
Effectuez le test de conformité au RGPD gratuit Cookiebot
Essayez Cookiebot CMP gratuitement dès aujourd’hui
FAQ
Qu’est-ce que le EDPB ?
Le Comité européen de la protection des données (EDPB) est la plus haute instance de contrôle chargée de l’application et de la mise en œuvre du règlement général sur la protection des données (RGDP) dans l’UE. Le EDPB est composé de représentants des autorités de protection des données de chaque État membre de l’UE. Son rôle principal est d’adopter des lignes directrices et de prendre des décisions sur la manière dont le RGPD doit être interprété et appliqué.
Essayez Cookiebot CMP gratuitement pendant 30 jours… ou pour toujours si vous avez un petit site web.
Que disent les lignes directrices du EDPB ?
Les lignes directrices du EDPB sur le consentement valide publiée en mai 2020 clarifient ce qui constitue un consentement valide, lorsqu’on s’appuie sur le consentement de l’utilisateur pour le traitement des données personnelles, par exemple par l’utilisation de cookies et de traceurs sur les sites web. Les lignes directrices du EDPB excluent l’utilisation de cookie walls (consentement forcé) et précisent ce que les sites web doivent faire pour obtenir un consentement valide pour le traitement des données personnelles.
Testez la conformité de votre site web au RGPD avec le test gratuit Cookiebot
Qu’est-ce qu’un consentement valide selon le EDPB ?
Les lignes directrices 05/2020 du EDPB précisent que le consentement valide est une indication librement donnée, informée, spécifique et non ambiguë des souhaits d’un utilisateur. Cela signifie que votre site web doit donner aux utilisateurs un véritable choix de consentement entre tous les différents cookies et traceurs, avant leur activation et le traitement des données personnelles. Le défilement et la poursuite de la navigation sur les sites web ne constituent pas un consentement valide et les bandeaux cookies ne sont pas autorisées à comporter des cases cochées par défaut.
Comment mon site web peut-il devenir conforme au RGPD ?
Tout d’abord, vous devez connaître tous les cookies et traceurs en fonctionnement sur votre site web, afin que vous puissiez informer les utilisateurs de leur type, de leur but, de leur durée et de leur fournisseur. Deuxièmement, vous devez bloquer tous les cookies (à l’exception des cookies nécessaires) jusqu’à ce que les utilisateurs aient donné leur consentement clair et affirmatif à leur activation. Troisièmement, vous devez documenter tous les consentements de manière sécurisée et les renouveler chaque année. Quatrièmement, vous devez faire en sorte qu’il soit aussi facile pour l’utilisateur de retirer son consentement qu’il l’a été de le donner en premier lieu.
Ressources
Comité européen de la protection des données (EDPB)
Lignes directrices EDPB 05/2020 sur le consentement valide (en anglais)
RGPD et consentement aux cookies
Beyond the Front Page, une étude de 2020 sur les cookies et le suivi en ligne (en anglais)