Questions les plus fréquemment posées - Cookies

A l'origine, un cookie est un mini-fichier placé sur le poste de travail du visiteur d’un site pour faciliter la communication entre la machine du visiteur et le serveur du site. Le cookie au sens strict fait l’objet d’une description normalisée (RFC 6262 de l’Internet Engineering Task Force) et remplit un rôle de simple témoin de la transaction en stockant certaines informations.

Par la suite, grâce aux évolutions  technologiques permettant d’exploiter les possibilités des cookies, les finalités de ceux-ci ont été étendues : performance du site, audience du site, statistiques, mémorisation des préférences, publicité ciblée,…

Face à ces extensions, la Commission vie privée constate que les principes juridiques restent applicables pour tous les fichiers qui stockent des extraits des informations véhiculées ou générées lors des échanges entre un site et ses visiteurs, que ceux-ci soient stockés sur le poste de travail du visiteur ou sur un serveur.la Commission vie privée regroupe dès lors sous ce concept tout métafichier qui stocke des extraits des informations véhiculées ou générées lors des échanges entre un site et ses visiteurs, que ceux-ci soient stockés sur le poste de travail du visiteur ou sur un serveur, et qui donne des informations sur le contexte ou sur le contenu de la communication, ou portant sur la forme ou les conditions de la communication. Ces fichiers sont soumis aux mêmes règles juridiques, indépendamment de l'endroit où sont stockées ces informations.

Les cookies, de nature anonyme, sont néanmoins des fichiers à caractère personnel dès qu'ils sont mis en relation avec une personne identifiable directement ou indirectement, comme par l'adresse IP du poste de l'internaute.

Taxonomy: 

Il est évident que les cookies (en ce compris les autres traces de la communication) sont des données à caractère personnel car associables à une adresse IP, spécifique du poste de travail de l'internaute visiteur du site. Ce n'est que dans de rares exceptions que certaines traces seront effectivement anonymes et donc non soumises à la loi vie privée.

Taxonomy: 

Le responsable du traitement est généralement le propriétaire du site (domaine ou sous-domaine ou partie d'un site plus global) qui définit les fonctionnalités du site ou partie su site concerné. En certaines circonstances, tous les autres acteurs peuvent devenir aussi responsables du traitement et devoir en assumer les responsabilités (l'éditeur du site, l'administrateur ou le gestionnaire du site, l'hébergeur du site, l'annonceur sur un site ou le réseau social présent sur un site).

Taxonomy: 

Une politique de sécurité et de confidentialité est un ensemble de règles que le responsable du traitement se fixe pour démontrer sa volonté de respecter les principes légaux et les bonnes pratiques de protection de la vie privée et des données à caractère personnel. Cette politique fixe les principes à suivre par l'ensemble des personnes placées sous la responsabilité du responsable du traitement. Cette politique doit aussi concerner les règles à suivre en matière de cookies. Des extraits de cette politique ou les règles relatives aux cookies doivent être accessibles sur le site. Ce texte disponible sur le site permet de fournir une information complète à l’internaute principalement sur les différents cookies utilisés par finalités, la persistance ou non des cookies (durées de conservation), les actions à prendre pour effacer les informations stockées, quelles informations sont communiquées à des tiers et les garanties que le propriétaire du site donne au visiteur quant au respect des règles légales sur son site.

Taxonomy: 

La loi vie privée s’applique à l’utilisation de cookies dès lors qu’il s’agit d’un traitement des données à caractère personnel.

Un traitement de données doit être légitime.  En ce qui concerne l’utilisation des cookies, cette légitimité ne pourra en règle trouver son fondement que dans le consentement de la personne concernée.

La loi du 13 juin 2005 relative aux communications électroniques s’applique à l’utilisation de cookies. Son article 129 exige dans la plupart des cas où les sites web utilisent des cookies le consentement préalable et informé des visiteurs et n’accorde que deux exceptions à ce principe de consentement. Pour information, la loi du 13 juin 2005 relative aux communications électroniques étend également l'exigence du consentement pour le stockage sur le poste de travail du visiteur, même si ce ne sont pas des données à caractère personnel.

Taxonomy: 

La législation belge s’applique lorsque:

  • l’utilisation des cookies intervient dans le cadre des activités d’un établissement du responsable du traitement sur le territoire belge ;
  • le stockage/la lecture des cookies sur le poste de travail qui se situe sur le territoire belge est effectué par un responsable du traitement qui n’a pas d’établissement fixe sur le territoire de l’Union européenne.
Taxonomy: 

A moins de n’utiliser que les cookies essentiels (cf. FAQ « Quels sont les cookies qui sont exemptés du consentement préalable à l’utilisation de cookies ? »), le consentement est le fondement de l’admissibilité du traitement. Ce consentement doit être spécifique aux différentes finalités poursuivies. Le consentement doit être préalable à tout traitement relatif aux cookies : création, stockage, communication, etc.

Taxonomy: 

Les cookies essentiels sont exemptés du consentement préalable du visiteur. Un cookie est qualifié d’essentiel dès lors qu’il est strictement nécessaire à la communication ou à la fourniture d’un service expressément demandé par le visiteur du site (ex : formulaire ou panier d’achat). A noter, la loi du 13 juin 2005 relative aux communications électroniques n'exempte pas de l'obligation du consentement préalable les cookies de statistiques d’audience ou d’origine de visite du site (analyse de navigation et type d'audience).

Exemples :

  • cookies à caractère technique : les indications nécessaires dans les échanges chiffrés et les identifiants de la transaction
  • cookies sur le contenu même de la transaction : le choix d'une langue, le contenu d'un formulaire ou d'un panier d'achat ; on peut considérer que ces cookies sont en réalité couverts par un consentement implicite de la personne concernée, à condition qu’elle soit informée de leur utilisation et qu'ils ne soient conservés que le temps nécessaire ou puissent être effacés par le visiteur lui-même.
Taxonomy: 

Pour que le consentement réponde aux conditions légales, il doit être l'expression de la manifestation de la volonté de la personne, par un acte explicite comme cocher une case ou par un acte implicite tel que la poursuite de la navigation au-delà d'un message clair d'avertissement. Les cookies liés à la publicité ciblée ou au marketing direct exigent toujours un consentement explicite.

Le consentement, pour être valable, doit être libre, spécifique, informé et indubitable :

  • libre: libre de toute contrainte ou de la perspective de l'obtention d'une « récompense » (billet de loterie, etc.) : l’utilisateur doit pouvoir exercer un choix sans être exposé à des conséquences négatives importantes s’il ne donne pas son consentement.
  • spécifique: le consentement doit être précédé d’une information précise sur les finalités des cookies. Le consentement n'est donné que pour des traitements bien définis (spécifiques) tant par les données traitées que par les finalités (buts) poursuivies. Un consentement ne peut pas être donné pour la seule "utilisation" de cookies, sans autres précisions sur les données et les traitements.
  • informé: l’information relative à l’utilisation des cookies doit être communiquée avant l’obtention du consentement (l’information est un préalable obligatoire).
  • indubitable: la procédure mise en place pour recueillir le consentement ne doit laisser aucun doute sur l’intention de l’utilisateur de donner son consentement. Il est possible de déduire le consentement indubitable de certaines actions de l’utilisateur (comme la poursuite de la navigation). L’inaction ou la passivité de l’utilisateur ne peut par contre pas être considérée comme un consentement valable.

En pratique il faut que le responsable du traitement puisse prouver la manifestation de la volonté de la personne concernée, soit par une information de traçage de l'action (logs ou autre fichiers de traces des transactions), soit par l'évidence (poursuite de la navigation).

Taxonomy: 

La zone d’information et de recueil du consentement préalable doit consister en un message clair, visible, bien compréhensible et expliquant l’utilisation de cookies. Le visiteur devrait avoir la possibilité d’accepter ou de refuser tous ou certains cookies, de préférence en séparant les questions pour chacune des finalités, a fortiori lorsque le site fait usage de cookies liés à la publicité ciblée (cookies publicitaires et de pistage ou de traçage ; les cookies utilisés dans le cadre du marketing direct).

Tant que le visiteur n’a pas effectué d’action positive (acceptation ou refus), le message doit rester visible.

Le consentement de l’utilisateur devra être redemandé après un délai raisonnable si le consentement a été recueilli de manière implicite (par la poursuite de la navigation) ou si le consentement concerne des métafichiers de traçage.

Taxonomy: 

La poursuite de la navigation peut être considérée comme un consentement valable par rapport à la finalité spécifique expliquée si la zone d’information et de recueil de consentement préalable est affichée de manière visible et claire sur la page d’accueil de sorte qu’elle ne puisse pas être manquée et tant qu’elle mentionne que la poursuite de la navigation peut être considérée comme un consentement. La zone d’information et de recueil de consentement préalable restera visible tant que l’utilisateur n’a pas opéré de choix ou opéré une action positive équivalente telle que la fermeture du message.

Taxonomy: 

Il ne peut être déduit du paramétrage par  l’utilisateur de son navigateur que ce dernier a effectué un choix relatif à la politique d’acceptation des cookies qu’il souhaite accepter sauf s’il a décidé d’exclure tout cookie. En effet, le paramétrage ne permet pas de nuancer les choix selon les finalités des cookies.

Taxonomy: 

Les informations stockées sur le poste de travail du visiteur et les métafichiers ne peuvent être conservés au delà du temps nécessaire à l'accomplissement de la finalité poursuivie (nécessité technique de la transaction, panier d’achat après envoi de la commande, etc.). Cette durée de conservation ne peut donc être indéfinie.. Les informations collectées et stockées dans un cookie et les informations collectées suite à la lecture d’un cookie doivent être supprimées lorsqu’elles ne sont plus nécessaires à la finalité poursuivie.

Toutefois, il n'est pas toujours possible d'effacer les cookies et métafichiers en temps utile, par exemple lors d'une interruption impromptue de la communication. Il faut alors que la politique des cookies explique clairement la manière d'effacer ces cookies et métafichiers par une intervention plus explicite du visiteur du site (exemple : fonction d'effacement des cookies prévue dans chaque navigateur).

Le consentement de l’utilisateur devra être redemandé après un délai raisonnable si le consentement a été recueilli de manière implicite (par la poursuite de la navigation) ou si le consentement concerne des métafichiers de traçage.

Taxonomy: 

Le visiteur a avant tout le droit d’être informé quant aux traitements effectués le concernant dès qu’il visite un site web : les catégories d’informations stockées et les finalités par catégorie, les durées de conservation par catégorie, les modalités d’effacement et d’opposition, les communications à des tiers,…

Le visiteur doit pouvoir fournir un consentement informé, libre, spécifique, indubitable et préalable à l’utilisation de cookies ou autres métafichiers considérés comme non essentiels.

Le visiteur doit pouvoir retirer son consentement gratuitement et de manière simple.

Dès lors qu’en matière des cookies le droit d’accès se révèle difficilement praticable, il doit se voir expliquer la procédure pour procéder à l’effacement de ces cookies.

Taxonomy: 

Parmi les possibilités existantes, le visiteur est invité à utiliser les modes de navigation privée disponibles sur les principaux navigateurs (Internet Explorer, Chrome, Firefox, Safari), notamment pour des recherches plus sensibles.

Les utilisateurs peuvent aussi utiliser les outils fournis par les navigateurs pour effacer les cookies ou utiliser les options pour l’effacement automatique de certains cookies. Cette action n’affecte pas nécessairement l’historique de navigation ou les saisies sauvegardées. Elle peut par contre impacter les données de connexion à certains sites et nécessiter une reconnexion/réidentification auprès de ces sites.

Il existe des logiciels de sécurité permettant une navigation privée qui stocke les cookies dans un espace temporaire virtuel (espace avec toutes les données de navigation qui est effacé à la fermeture du navigateur).
On trouve également des logiciels qui permettent de voir quels cookies sont déposés (ex : Cookieviz mis à disposition par l’autorité de protection des données française, la CNIL : http://www.cnil.fr/vos-droits/vos-traces/les-cookies/telechargez-cookieviz/) et d’autres logiciels dédiés à l’effacement des données de navigation.

Des réseaux publicitaires se sont regroupés pour créer la plateforme http://www.youronlinechoices.com qui permet de définir de manière centralisée certaines préférences en matière de publicité comportementale.

Il est à noter que tous les systèmes offrent de multiples manières pour stocker des métafichiers et qu'aucun logiciel ne peut garantir l'effacement de tous les cookies générés pendant la communication.

Taxonomy: 

Le propriétaire du site est le principal responsable du traitement dès lors que des cookies ou métafichiers sont utilisés dans le cadre de son site web. Il est aussi responsable des informations transmises et stockées sur le poste de travail du visiteur et qui pourraient être accédées et traitées frauduleusement par des tiers.

Pour garantir le respect de la loi, le propriétaire du site doit aussi donner les instructions appropriées à toutes les personnes placées sous sa responsabilité, conformément aux stipulations de l’article 16, § 2 et 3 de la loi vie privée. Ces instructions peuvent être communiquées au moyen de la politique de sécurité de l'information du propriétaire du site.

A côté, le réseau publicitaire, l’annonceur ou encore le réseau social partagent cette responsabilité pour les cookies utilisés dans le cadre des annonces ou plugins de partage de contenu/traçage.

Le propriétaire ne peut par contre pas être tenu responsable des usages illégitimes, abusifs ou contraires aux stipulations contractuelles des cookies qui seraient faits par les autres acteurs impliqués dans l’existence du site ; toutefois, il lui faudra d'abord prouver que le fait ne lui est pas imputable, conformément à l’article 15bis de la loi vie privée.

Taxonomy: 

Il est le responsable final des cookies utilisés sur son site, qu’il s’agisse de cookies déposés directement ou par l’intermédiaire de régies publicitaires, annonceurs ou réseaux sociaux.

A cet égard, il doit adresser des instructions appropriées à l’éditeur et au gestionnaire de son site.

Il veille à ce que les contrats de services conclus avec les réseaux publicitaires, les annonceurs et les réseaux sociaux prévoient les garanties nécessaires au bon respect des obligations en matière de protection des données à caractère personnel.

Il lui incombe d'obtenir le consentement indubitable, libre, spécifique et informé de l’utilisateur de préférence relatif à chaque catégorie de cookies, et certainement en ce qui concerne les cookies à finalité de publicité ciblée.

Il doit veiller à établir une politique relative aux cookies facilement accessible par un lien sur la page d’accueil et qui renseigne notamment sur les catégories de cookies, leurs finalités, l’éventuelle communication à des tiers et sur les moyens d’effacer les traces de la visite du site et de ne plus y être confronté à l’avenir.

Il n’est pas responsable des traitements de données à caractère personnel provenant de l’utilisation des cookies qui seraient faites par les autres acteurs impliqués dans l’existence du site sans être couverts par des instructions de sa part ; toutefois, il lui faudra d'abord prouver que le fait ne lui est pas imputable, onformément à l’article 15bis de la loi vie privée.

Taxonomy: 

Les cookies générés par les boutons sociaux (« J’aime », « Twitter », « +1 ») permettent un traçage très fin des utilisateurs, même si ceux-ci n'ont pas de compte sur ces plateformes. Ces plateformes peuvent traiter ces cookies comme elles le souhaitent, seuls les sites visités sont limités dans leurs possibilités. Les traitements générés implicitement par ces boutons nécessitent par conséquent un consentement spécifique. Il est donc vivement recommandé de ne pas mettre ces boutons sur la page d’accueil ou de les désactiver jusqu’à l’obtention du consentement.

Taxonomy: 

Il veille à n’agir que suivant les instructions du propriétaire du site décrites dans un instrument juridique (p. ex. une politique de sécurité spécifique, un règlement ou un contrat de travail, un contrat de sous-traitance).

C’est lui qui conçoit la zone d’information et de consentement préalable en accord avec le propriétaire du site et conformément aux obligations légales reprises dans la loi du 13 juin 2005 relative aux communications électroniques et de la loi vie privée. Cette zone doit être aisément accessible.

Il n’utilise que les cookies nécessaires aux finalités légitimes poursuivies et ne conserve ceux-ci que le temps requis pour ces finalités.

Il contrôle que les bannières et plugins de réseaux sociaux ne sont activés qu’après le consentement du visiteur.

L’éditeur met en œuvre une sécurité des données à caractère personnel selon l’article 16, § 4 de la loi vie privée qui empêche notamment l’accès aux données personnelles aux personnes non autorisées.

Taxonomy: 

Il doit agir selon les instructions du propriétaire du site spécifiées dans un instrument juridique approprié.

Il engage sa propre responsabilité s’il met œuvre des traitements à l’aide de cookies sans en avertir le propriétaire du site et sans son consentement.

Il vérifie notamment que les données à caractère personnel sont effacées en temps utile, y compris pour ce qui concerne les cookies et autres mini-fichiers qui seraient stockés sur le serveur.

Taxonomy: 

Il agit comme préposé (employé) ou en qualité de sous-traitant du responsable du traitement.

Tout sous-traitant doit convenir de clauses de sous-traitance avec le propriétaire du site selon les dispositions de l’article 16 de la Loi vie privée.

Les hébergeurs opérateurs publics sont soumis à des règles spécifiques et sont surveillés notamment par l’Institut Belge des services Postaux et des Télécommunications (IBPT). Ils sont donc en principe en conformité.

Toutefois, l'hébergeur peut mettre à disposition du gestionnaire du site des traces de l'activité du site (statistiques, logs, …) qui peuvent contenir des données à caractère personnel. Il est recommandé que l’accès à ces données soit précédé d’un avertissement rappelant qu’elles doivent être traitées conformément à la Loi vie privée.

Taxonomy: 

Le publicitaire, c’est-à-dire l’annonceur ou le réseau publicitaire, est le (co-)responsable du traitement des données qui sont collectées et lui sont communiquées par le site visité. Il partage la responsabilité  avec le propriétaire du site dans le cadre de la collecte du consentement et de l’information préalable.

Les contrats de service conclus entre le propriétaire du site et ces acteurs doivent venir préciser les responsabilités de chacun notamment au niveau de l’information préalable et du recueil de consentement. Ils doivent fixer les finalités et les conditions de réutilisation des données à caractère personnel afin de permettre à l'éditeur du site de prévoir dans la conception du site la possibilité d'obtenir les consentements nécessaires.

Taxonomy: