La vigilance est de mise concernant la politique d'utilisation des cookies et la politique de protection de la vie privée de votre site web

Le premier site web auquel la Chambre contentieuse de l'Autorité de protection de données (APD) a infligé une amende pour infractions au RGPD est un site web d'actualités juridiques " par, pour et sur les praticiens du droit ". Bien que l'entreprise en question ait adapté sa politique au cours de l'enquête, elle a écopé d'une amende de 15 000 euros. Cela risque-t-il également de vous arriver ?

Cookies : de quoi s'agit-il ?

Les cookies sont de petits fichiers texte contenant une série de données sur le visiteur du site web. Ces petits fichiers sont stockés sur son ordinateur, de manière à ce que ce site connaisse déjà certaines données à son sujet lors de sa prochaine visite sur le site web. La préférence linguistique est un exemple type de cookie.
Il existe différentes sortes de cookies. Certains sont indispensables au fonctionnement du site web. L'utilisateur doit en principe être informé de leur existence, mais il ne peut pas les refuser. Les cookies qui servent purement et simplement à analyser les visites sur une page peuvent être refusés par l'utilisateur.

Transparence des informations

Si vous placez des cookies sur votre site web, vous devez en informer l'utilisateur. L'article 12 du règlement européen RGPD prescrit que la personne concernée doit être informée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples à propos de ce que vous ferez des données collectées.

Après enquête, l'APD a constaté que :

a) la déclaration relative à la protection de la vie privée était uniquement disponible en anglais, alors que le site web s'adressait à un public néerlandophone et francophone ;
b) les informations n'étaient pas facilement accessibles aux personnes concernées ;
c) la déclaration relative à la protection de la vie privée renvoyait à la US privacy law ;
d) la déclaration relative à la protection de la vie privée déclarait qu'une adresse IP n'était pas considérée comme une donnée à caractère personnel.

Parmi les autres manquements constatés, nous avons retenu ce qui suit :

a) l'identité et les coordonnées du responsable du traitement n'ont pas été mentionnées à l'occasion d'un premier contrôle ;
b) les droits à la protection de la vie privée dont les personnes concernées disposent (dont le droit de déposer plainte auprès de l'APD) n'ont pas été communiqués ;
c) les personnes concernées n'ont pas été informées du fondement juridique de chaque traitement ni des finalités spécifiques de chaque traitement ; et
d) les délais de conservation des données à caractère personnel traitées n'ont pas été communiqués.
L'entreprise a remédié à ces manquements après une première visite.

Consentement

Le RGPD exige également que le consentement explicite de l'utilisateur soit demandé. Ce n'était pas non plus le cas dans un premier temps sur ce site web, ni pour les cookies du responsable du traitement, ni pour ceux de Google.
L'entreprise a remédié à ce manquement, mais le site web interrogeait l'utilisateur sur ses préférences au moyen d'une fenêtre précochée, ce qui n'est pas admis par l'APD comme un consentement valable.

Trop tard

Après trois visites de l'inspecteur, l'affaire a été soumise à la Chambre contentieuse de l'APD. Au moment où cette instance a rendu ses conclusions, l'entreprise en question avait mis son site web en parfaite conformité avec le RGPD, mais le mal était fait.
La Chambre contentieuse a surtout buté sur le fait que les déclarations sur le site web n'étaient tout simplement pas correctes. Elle a entre autres constaté que les cookies d'analyse n'étaient utilisés qu'avec l'accord du visiteur, mais que les informations sur le site web ne le mentionnaient pas en ces termes.
Sans oublier le fait que - après que la version anglaise de la déclaration relative à la protection de la vie privée a été remplacée par une version bilingue - le lien vers la version française renvoyait à un texte en néerlandais.

Négligence au niveau de la politique relative à la protection de la vie privée

Selon la Chambre contentieuse, le propriétaire du site web a surtout fait preuve de négligence et a payé celle-ci en se voyant infliger une amende non négligeable de 15 000 euros. Attention : le RGPD autorise des amendes pouvant aller jusqu'à 20 millions d'euros ou, pour une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. S'il est peu probable qu'une négligence au niveau de la politique relative à la protection de la vie privée soit aussi lourdement sanctionnée, il n'en reste pas moins qu'en cause, l'attitude coopérative de l'entreprise concernée a été fort appréciée.

Vous trouverez ci-dessous quelques-unes des règles les plus importantes à respecter si vous travaillez avec des cookies sur votre site web :

a) le droit de l'utilisateur de donner ou non son consentement (sauf pour les cookies techniques) ;
b) le droit de l'utilisateur de retirer ce consentement ;
c) la mise à disposition d'informations transparentes et lisibles concernant votre politique relative à la protection de la vie privée et à l'utilisation des cookies (faites attention à la langue, mentionnez pendant combien de temps vous conserverez les cookies...) ;
d) la désignation d'un responsable du traitement.

On peut s'attendre à ce que la Chambre contentieuse se montre plus stricte à l'égard des contrevenants à mesure qu'elle développera une jurisprudence plus claire dans cette matière.