Quelle est la loi sur les cookies au Royaume-Uni ?

En 2012, le gouvernement britannique a fait une annonce concernant la protection de la vie privée et des données en ligne. Tous les sites web publics devaient démontrer leur conformité avec les nouvelles lois de l'UE régissant le stockage des données personnelles par le biais des cookies.

Que sont exactement les cookies ?

Les cookies sont de petits fichiers texte qui résident sur l'appareil de l'utilisateur et permettent aux sites web de stocker des informations sur l'utilisateur ou de surveiller ses activités en ligne. Couramment utilisés pour mémoriser les sessions de navigation ou pour la publicité ciblée, les cookies jouent un rôle crucial dans la fonctionnalité des sites web modernes.

Le Royaume-Uni a intensifié sa répression à l'égard de l'utilisation de cookies par certains des sites web les plus populaires du pays, menaçant de leur infliger des amendes s'ils n'améliorent pas la transparence sur la nature de leurs cookies. Ces petits fichiers, stockés par les sites web sur les ordinateurs des utilisateurs, servent à diverses fins, de la collecte de données analytiques à la personnalisation des publicités en ligne, en passant par le suivi de la navigation sur le web.

Toutefois, l’Information Commissioner, l’autorité britannique de protection des données, a fait part de son inquiétude face au manque de « choix équitables » offert aux utilisateurs par les principaux sites en ce qui concerne l'utilisation des cookies, comme l'exige la loi. Les sites web doivent désormais veiller à ce que le rejet des cookies soit aussi simple que leur acceptation, dans une période de conformité de 30 jours.

Si certains cookies sont essentiels à la fonctionnalité des sites web, d'autres sont utilisés pour suivre les utilisateurs et diffuser des publicités ciblées, ce qui pose des problèmes de protection de la vie privée. Malgré l'importance des cookies pour les revenus publicitaires de nombreux sites web, leur utilisation peut sembler intrusive pour les utilisateurs qui font l'expérience de publicités personnalisées sur diverses plates-formes en ligne. Les fenêtres contextuelles de consentement à l'utilisation des cookies, bien qu'elles soient destinées à donner un contrôle aux utilisateurs, manquent souvent de clarté, et le simple fait de fermer la fenêtre peut entraîner l'acceptation ou le refus des utilisateurs en fonction de la conception du site web.

L'Information Commissioner's Office (ICO) a souligné l'importance de faire en sorte qu'il soit aussi facile pour les utilisateurs de rejeter tous les cookies publicitaires que de les accepter. Bien que les sites web puissent toujours afficher des publicités si les utilisateurs refusent le suivi, ces publicités ne doivent pas être personnalisées en fonction de l'historique de navigation de l'utilisateur.

 

Qu'il s'agisse de cibler les accros aux jeux d'argent avec des offres de paris ou d'affliger les femmes avec des publicités pour des bébés à la suite d'une fausse couche, l'utilisation abusive des données personnelles a des implications significatives. Si de nombreux sites web importants se sont conformés à la réglementation sur les cookies, ceux qui ne l'ont pas fait sont invités à apporter des modifications immédiates sous peine de répercussions.

 

La loi sur les cookies

Actuellement, la réglementation sur les cookies relève du Règlement général sur la protection des données (RGPD) et du Règlement sur la vie privée et les communications électroniques (PECR), familièrement appelé « loi sur les cookies » en raison de la prévalence des fenêtres pop-up de consentement aux cookies.

 

PECR

Au Royaume-Uni, la relation entre les cookies et le Règlement sur la vie privée et les communications électroniques (PECR) est régie par le Règlement 6, qui traite du stockage et de l'accès aux informations sur les appareils des utilisateurs. Bien que le PECR ne mentionne pas explicitement les cookies, il énonce des exigences strictes concernant l'obtention du consentement de l'utilisateur et la fourniture d'informations transparentes sur l'utilisation de ces technologies.

Le Règlement 6 stipule qu'aucune information ne doit être stockée ou consultée sur l'appareil d'un utilisateur si certaines conditions ne sont pas remplies. Ces conditions comprennent la fourniture d'informations claires et complètes sur les finalités du stockage ou de l'accès aux informations et l'obtention du consentement de l'utilisateur.

Pour les sites web utilisant des cookies, la mise en conformité implique plusieurs étapes clés. Tout d'abord, les sites web doivent indiquer clairement quels cookies seront installés et fournir une explication de leur fonctionnalité. Cela signifie que les utilisateurs doivent être informés de la manière dont les cookies seront utilisés, que ce soit pour la gestion des sessions, la personnalisation ou le suivi publicitaire. Deuxièmement, les sites web doivent obtenir le consentement explicite des utilisateurs avant de stocker des cookies sur leurs appareils. Le consentement doit être libre, spécifique, éclairé et sans ambiguïté.

Il est important de noter que le champ d'application du PECR s'étend au-delà des cookies traditionnels pour inclure des « technologies similaires » telles que les techniques d'empreintes digitales. Par conséquent, toute utilisation de l'empreinte digitale d'un appareil relève également du PECR. Comme pour les cookies, l'utilisation des empreintes digitales nécessite la fourniture d'informations claires et complètes aux utilisateurs et l'obtention de leur consentement, à moins que des exemptions ne s'appliquent.

Le PECR établit des lignes directrices strictes pour garantir que les utilisateurs sont pleinement informés du stockage et de l'accès aux informations sur leurs appareils, que ce soit par le biais de cookies ou de technologies similaires. Le respect de ces réglementations est essentiel pour les entreprises opérant en ligne au Royaume-Uni afin de maintenir la transparence et de défendre les droits des utilisateurs à la vie privée et à la protection des données.

 

RGPD

En vertu du Règlement général sur la protection des données (RGPD) du Royaume-Uni, les identifiants des cookies entrent dans la catégorie des « identifiants en ligne », qui peuvent constituer des données à caractère personnel dans certaines circonstances. Par exemple, un cookie utilisé pour l'authentification de l'utilisateur impliquerait le traitement de données à caractère personnel puisqu'il facilite la connexion à un compte en ligne.

Conformément à l'article 4, paragraphe 1, du RGPD britannique, les données à caractère personnel englobent toute information concernant une personne physique identifiée ou identifiable. Cela inclut les identifiants en ligne tels que les identifiants de cookies, qui peuvent indirectement identifier des personnes lorsqu'ils sont combinés à d'autres informations.

Le considérant 30 détaille les identifiants en ligne, en soulignant qu'ils peuvent être associés à des appareils, des applications et des protocoles, ce qui permet potentiellement de créer des profils d'utilisateurs. En outre, divers autres identifiants en ligne, tels que les adresses MAC, les identifiants publicitaires et les empreintes digitales des appareils, pourraient également contribuer à l'identification de l'utilisateur.

Il est essentiel de reconnaître que si les cookies ne sont pas toujours considérés comme des données à caractère personnel, le Règlement sur la vie privée et les communications électroniques (PECR) s'applique toujours, que le traitement des données à caractère personnel soit impliqué ou non dans le stockage ou l'accès aux informations sur les appareils des utilisateurs.

Pour déterminer si une personne est identifiable, il est essentiel de se demander si les identifiants en ligne, seuls ou combinés à d'autres informations disponibles, permettent de distinguer un utilisateur d'un autre. Cela devient particulièrement important lorsque les identifiants sont utilisés pour créer des profils d'utilisateurs, même si les individus ne sont pas nommés.

Même dans les scénarios où la réglementation sur les cookies ne s'applique pas, le respect du RGPD reste essentiel. Par exemple, si des informations sont collectées pour établir des profils individuels, les personnes doivent être informées de la collecte des données, de ses méthodes et de ses finalités, conformément aux exigences du RGPD.

 

Comment Gerrish Legal peut-il vous aider ?

Gerrish Legal est un cabinet d'avocats numérique dynamique. Nous sommes fiers de fournir des conseils juridiques de haute qualité et experts à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en respectant les réglementations légales sans avoir à suivre les exigences numériques en constante évolution.

Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.

 

Wilem Loba, Legal Intern, et Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal

Previous
Previous

Que se passe-t-il si vous ne respectez pas un accord de confidentialité ?

Next
Next

Nouvelles orientations de l'ICO sur la transparence des données pour l'industrie des soins de santé