Si votre site reçoit des visiteurs belges alors vous devez suivre les instructions de l’Autorité de protection des données (APD) en ce qui concerne l’utilisation des cookies et autres traceurs. Vous êtes concerné, peu importe le lieu d’hébergement de votre site, en Belgique ou ailleurs dans le monde.

Le consentement des visiteurs ne concerne pas uniquement les cookies que vous utilisez vous-même (cookies propres) pour le traitement des données mais aussi les cookies déposés par des tiers.

En Belgique, l’APD effectue des contrôles réguliers quant au respect des dispositions légales et de ses recommandations en matière de cookies. Il est donc important de respecter ces dispositions afin d’éviter de lourdes amendes.

L'APD vient d’infliger, dans ce cadre, une amende de 250.000 EUR à IAB Europe (Interactive Advertising Bureau Europe) et donne deux mois à l’entreprise pour élaborer un plan d’action visant à mettre ses activités en conformité (1).

IAB a été condamnée en raison de pop-ups de consentement aux cookies considérés comme illégaux.

L’APD a relevé de multiples violations de la législation RGPD dans la manière dont IAB traite les données collectées via le « Transparency and Consent Framework » (TCF) – qui sont les bannières de cookies que vous voyez apparaître sur de nombreux sites internet. L’APD a considéré que le système TCF rendait difficile pour les utilisateurs de garder le contrôle sur leurs données personnelles, car les informations fournies sont trop ​​génériques et vagues pour permettre aux utilisateurs de comprendre la nature et l’étendue du traitement.

Dès 2019, la Chambre Contentieuse de l’APD avait  déjà condamné un site web belge à une amende de 15.000 EUR pour atteinte commise à ses obligations de transparence et de consentement en matière de cookies.

Le Comité européen de la protection des données (EDPB) a également adopté des lignes directrices concernant la conformité au RGPD,  précisant ce qui constitue un consentement valide sur les sites web et déclarant illégale l’utilisation de « cookie walls ».

Rappelons quelques grands principes quant au consentement à obtenir. L’EDPB précise dans ses lignes directrices qu’une indication non ambiguë du consentement de l'utilisateur doit être faite par une « action claire et positive » de la part de ce dernier. Le bandeau cookies d’un site web ne peut pas indiquer que la poursuite de la navigation ou le défilement sur le site est considéré comme un consentement aux cookies qui traitent des données personnelles, car il ne s'agit pas d'une forme de consentement valide selon le RGPD. Les lignes directrices du EDPB précisent également que l'utilisation de cases cochées par défaut n’est pas non plus conforme au RGPD, car cela ne répond pas à l'exigence d’une « action claire et positive ». 

(1) Décision 21/2022 de la Chambre contentieuse de l’APD du 2 février 2022.

Photo ©belga