Le 10 juin dernier, l’autorité de contrôle italienne en matière de protection des données (l’« Autorité ») a approuvé les nouvelles « Lignes directrices sur les cookies ».

Le terme cookie désigne un petit fichier texte qu’un site web ( « cookies de première partie ») est susceptible d’envoyer sur l’appareil de l’utilisateur (comme un smartphone, un PC ou une tablette) lorsqu’il visualise une page web ou bien des sites ou des serveurs web (« cookies tiers »). Habituellement, les cookies permettent de mémoriser les préférences exprimées par l’utilisateur pour qu’elles n’aient pas à être réindiquées ultérieurement. Le navigateur utilisé enregistre l’information et la retransmet au Serveur du site lorsque l’utilisateur visite à nouveau ce site web.

Les Lignes directrices, adoptées par l’Autorité à la lumière des éléments issus de la consultation publique réalisée à la fin de l’année dernière, ont pour objectif de renforcer le pouvoir de décision des utilisateurs quant à l’utilisation de leurs données personnelles lorsqu’ils naviguent sur Internet.

Voici les principales nouveautés.

Note d’information

Dans le respect des dispositions prévues par le Règlement (UE) 2016/679 en matière de protection des données à caractère personnel (mieux connu sous le nom de « RGPD »), la note d’information à délivrer aux utilisateurs/personnes concernées devra mentionner (i) tous les éventuels destinataires, (ii) la durée de conservation des données personnelles ainsi que (iii) une description de toutes les conséquences de chaque action effectuée par l’utilisateur/la personne concernée.

L’Autorité recommande que les cookies Analytics, que le Responsable du traitement utilise pour évaluer l’efficacité d’un service, ne le soient qu’à des fins statistiques.

Le modèle de note d’information sur plusieurs niveaux au moyen d’un bandeau (version courte) pour accéder au site, et contenant des indications spécifiques sur le positionnement, les dimensions, les caractères et les contenus ainsi que le lien à la version complète de la note d’information, est maintenu.

L’utilisateur/la personne concernée, doit avoir la possibilité de choisir entre le consentement ou l’option de moduler ses préférences par rapport au pistage et doit se voir fournir le lien vers un autre espace dédié sur lequel il est possible de sélectionner, de façon analytique, uniquement les fonctions, les tierces parties et les cookies, éventuellement regroupés par catégories homogènes, que l’utilisateur choisit d’accepter.

Consentement par défilement

Le simple fait de faire défiler le curseur vers le bas n’est pas en soi approprié pour permettre au responsable du traitement de recevoir un consentement l’autorisant à installer et utiliser des cookies de profilage ou bien d’autres outils de pistage.

Eu égard au pouvoir d’autonomie du responsable pour identifier des solutions plus appropriées en vue de se conformer aux règles des traitements de données à caractère personnel effectués, l’Autorité invite les responsables à évaluer rigoureusement toutes les solutions envisageables. Selon celle-ci, si l’action de l’utilisateur ne correspond à aucun événement informatique non équivoque, documenté et assorti des mentions caractéristiques, également sous l’angle de la connaissance de l’utilisateur, il ne sera pas possible d’attribuer à cette action la validité du consentement au sens de la réglementation en vigueur.

Renouvellement de la demande de consentement

La demande d’autorisation des cookies ne peut être reproposée, sauf (i) en cas de changement significatif des conditions du traitement, (ii) impossibilité pour le gestionnaire du site d’enregistrer le choix précédent de l’utilisateur en raison d’une décision de ce dernier et (iii) écoulement d’un délai de 6 mois depuis la demande précédente.

Révision des consentements

Les utilisateurs/personnes concernées devront se voir fournir, à tout moment et de façon simple, immédiate et intuitive, la possibilité de revoir les choix effectués à travers un espace spécifique accessible via un lien à placer au niveau du footer du site et qui explicite la fonction à travers une mention « revoir vos choix en matière de cookies » ou équivalente

Les propriétaires de sites web auront 6 mois pour se conformer aux règles édictées par les Lignes directrices.

Contenus corrélés :

• Cookies et autres instruments de traçage : le Garant ouvre une consultation publique
• Violations de données personnelles : Les lignes directrices des autorités de contrôle européennes pour la gestion des violations de données personnelles

L’Autorité Garante pour la protection des données personnelles (le « Garant »), le 10 décembre 2020, a ouvert une consultation publique sur les « Lignes directrices sur l’utilisation des cookies ou d’autres instruments de traçage » (les « Lignes directrices ») rédigées le 26 octobre dernier.

L’intervention du Garant fait suite aux indications fournies par le Comité des Garants européens
(« CEPD » – « Comité Européen de la Protection des Données ») dans les « Lignes directrices 5/2020 sur l’accord donné selon le Règlement (UE) 2016/679 » du 4 mai 2020.

Les cookies sont de petites chaînes de caractères que les sites internet (dits « publishers » ou « première partie ») visités par l’usager ou d’autres sites ou serveurs internet (dits « tiers ») placent et archivent à l’intérieur du dispositif utilisé (par exemple Smartphone, PC ou tablette). Les cookies permettent d’obtenir des informations et d’améliorer la navigation de l’usager / de l’intéressé.

Le Règlement (UE) 2016/679 en matière de protection des données personnelles (« RGPD »), bien que ne modifiant pas directement la réglementation relative à ces instruments de traçage, réglemente de façon précise l’accord donné au traitement de ces données personnelles. Notamment, il dispose que l’accord doit être donné par les intéressés au moyen d’une « manifestation de volonté libre, spécifique, informée et sans ambiguïté » (cf. article 4 du RGPD).

Cela met l’accent, selon le « principe de responsabilité » sur l’application desprincipes de protection des données dès la conception et pour des configurations prédéfinies (« privacy by design » et  « by default » – protection des données « dès la conception » et « par défaut »), rendant nécessaire une analyse des modalités correctes de communication de la note d’information en ligne aux usagers / intéressés et d’obtention, si nécessaire, de leur accord.

Ceci dit, les Lignes directrices, recevant les dispositions du CEPD, précisent, notamment, que :

• « le simple scrolling (c’est-à-dire « l’action permettant de faire défiler la page, de façon à en montrer sur l’écran la partie située sous la bannière contenant la note d’information brève ») n’est, en soi, jamais suffisant pour exprimer pleinement la manifestation de volonté de l’intéressé » ou
• la réitération dans l’obtention de l’accord, au cas où aucune modification au traitement des données n’aurait été apportée, au moyen d’une réapparition continue de la bannière (dite « note d’information brève» ) lors de chaque accès, est « redondante et intrusive ».

Les Lignes directrices ajoutent que chaque titulaire du traitement a le devoir de fournir à ses propres intéressés / usagers des informations précises sur le traitement de leurs données. Cette note d’information doit être fournie à un double niveau : (i) note d’information dite « brève » ou bannière contenant le lien de renvoi (ii) à la note d’information dans sa version intégrale.

Au terme de la consultation publique adressée aux chefs d’entreprise, aux consommateurs, aux usagers et aux opérateurs du secteur et de l’analyse, suivie de l’éventuelle réception des observations parvenues, l’Autorité émettra la décision finale.