Aujourd’hui, des bannières apparaissent immédiatement sur presque tous les sites Internet pour nous demander d’accepter ou de refuser les cookies. Ou alors, ces bannières nous informent simplement que des cookies sont utilisés avant que nous puissions naviguer sur le site.
Dois-je mettre une bannière de cookies sur mon site Internet?
Pour la Suisse, un coup d’œil à la loi sur les télécommunications (LTC) permet de répondre à cette question. L’art. 45c de la LTC stipule que «les données enregistrées sur des appareils appartenant à autrui ne peuvent être traitées par voie de télécommunication […] que lorsqu’on a informé l’utilisatrice ou l’utilisateur du traitement et de sa finalité et avisé qu’il est possible de refuser ce traitement».
Dans cette mesure, l’utilisation de cookies et d’autres technologies est en principe autorisée en Suisse sans le consentement de l’utilisatrice ou l’utilisateur tant que celle-ci ou celui-ci n’exerce pas son droit de refus ou que le site Internet concerné utilise des méthodes qui ne génèrent pas de données personnelles. Selon le droit suisse, il suffit de mettre les informations sur le traitement des données et le droit de refus à la disposition des utilisatrices et utilisateurs. Il n’est pas nécessaire d’obtenir le consentement de l’utilisatrice ou l’utilisateur par le biais d’une bannière de cookies..
Selon le droit suisse, une bannière de cookies n’est pas nécessaire pour les sites Internet suisses.
Néanmoins, il est également envisageable qu’il ne soit même pas nécessaire d’informer les utilisatrices et utilisateurs du traitement et de sa finalité ou d’attirer l’attention sur le droit de refus. En effet, l’obligation prévue par la loi sur les télécommunications n’existe que dans les cas où les conditions suivantes sont remplies:
- Le traitement des données personnelles est contrôlé par la personne responsable du traitement des données (exploitant du site Internet). Le traitement de données anonymes n’est donc pas couvert, par exemple lorsque des cookies sont utilisés pour enregistrer les préférences de l’utilisatrice ou l’utilisateur sans qu’il soit possible d’établir un lien personnel.
- La personne responsable du traitement des données utilise un appareil qui ne lui appartient pas pour le traitement des données. C’est le cas lorsqu’elle enregistre un cookie sur l’appareil de la personne visitant le site, par exemple.
- L’appareil est utilisé par la personne dont les données personnelles sont traitées.
- Le traitement des données doit avoir pour but de permettre à la personne responsable du traitement des données (ou à un tiers) d’accéder aux données personnelles de l’utilisatrice ou l’utilisateur.
- Le traitement des données doit se faire par transmission au moyen de techniques de télécommunication et le traitement ou la transmission ne doit pas se faire à l’initiative de l’utilisatrice ou l’utilisateur.
Il convient d’attirer l’attention sur le point suivant: l’art. 45c de la LTC a été rédigé de manière technologiquement neutre. Cela signifie que les directives ne doivent pas seulement être respectées lors de l’utilisation de cookies, mais qu’elles s’appliquent indépendamment de l’utilisation de cookies ou d’autres technologies comparables. Ce qui est déterminant, c’est de savoir si les conditions mentionnées ci-dessus sont remplies ou non.
Que modifie la nouvelle loi suisse sur la protection des données?
En bref: Rien ne change en ce qui concerne les bannières de cookies. Elles ne sont pas non plus nécessaires dans le cadre du nouveau droit suisse.
La révision de la loi sur la protection des données (LPD), qui entrera en vigueur le 1er septembre 2023, prévoit à l’art. 7, al. 3 une disposition selon laquelle la personne responsable (exploitant du site Internet) doit, au moyen de préréglages, limiter le traitement des données personnelles au minimum nécessaire pour l’utilisation prévue, sauf si la personne concernée en décide autrement. Cette disposition est parfois interprétée comme une obligation pour les bannières de cookies. Or, selon les experts juridiques du cabinet VISCHER, cela n’est pas exact: la personne responsable peut certes mettre à la disposition de l’utilisatrice ou l’utilisateur plusieurs options en matière de cookies et de protection des données. Si elle offre un tel choix et que les cookies contiennent des données personnelles, alors – et uniquement dans ce cas-là – la nouvelle disposition prévoit que le paramètre par défaut doit prévoir le paramètre le moins étendu. Si le site Internet ne laisse toutefois pas le choix, il n’est logiquement pas nécessaire de procéder à des préréglages.
La nouvelle loi ne change donc rien dans ce domaine: il n’y aura pas d’obligation concernant les bannières de cookies à partir de septembre 2023 pour les sites Internet qui visent les utilisatrices et utilisateurs en Suisse. Il n’existe d’ailleurs aucune obligation de ne pas précocher une case sur une bannière de consentement.
Lors du traitement de données personnelles (par exemple au moyen de cookies ou d’autres technologies), il convient de respecter non seulement la loi sur les télécommunications, mais aussi les dispositions de la LPD. L’examen de la légalité des traitements de données et de la nécessité d’un consentement peut s’avérer nécessaire, notamment en cas de communication de données à des tiers ou à l’étranger, ainsi qu’en cas de suivi particulièrement étendu.
En savoir plus:
Dans un article précédent du blog Hostpoint, le cabinet VISCHER a décrit ce qu’il fallait prendre en compte dans le cadre de la nouvelle loi sur la protection des données. Lisez l’article «La nouvelle loi sur la protection des données arrive en 2023. Ce que vous devez savoir».
Que dois-je faire en tant que personne exploitant un site Internet?
Comme nous l’avons dit, il n’est en principe pas nécessaire d’inclure une bannière de cookies. Et ce ni pour obtenir un consentement, ni pour informer les utilisatrices et utilisateurs de l’utilisation des cookies.
Si des cookies ou d’autres technologies sont utilisés, la déclaration de confidentialité disponible sur le site Internet doit mentionner le traitement et sa finalité. De plus, la déclaration de protection des données doit contenir une indication selon laquelle l’utilisatrice ou l’utilisateur peut refuser le traitement en modifiant les paramètres de son navigateur.
Il est également possible d’intégrer une méthode d’opposition plus conviviale au site, tant qu’aucune option de paramétrage n’est proposée. Dans le cas contraire, le paramétrage le moins poussé doit être prévu lors de la consultation du site.
En savoir plus:
Dans un article précédent du blog Hostpoint, le cabinet juridique VISCHER a compilé des conseils importants et utiles pour rédiger une déclaration de protection des données pour votre propre site Internet. Lisez l’article «Comment rédiger une déclaration de protection des données de qualité pour votre site Web?».
Droit européen
Mais attention! Bien que, selon le droit suisse, les bannières de cookies ne soient pas légalement nécessaires pour les sites Internet en Suisse, il y a tout de même un hic – et non des moindres – dans cette affaire:
Les entreprises suisses et les personnes exploitant des sites Internet peuvent être tenus d’utiliser une bannière de cookies et de demander le consentement des utilisatrices et utilisateurs, en vertu du droit européen. Si un site Internet est orienté vers l’UE, la directive ePrivacy et les lois nationales de mise en œuvre de la directive peuvent s’appliquer. La directive ePrivacy stipule que le stockage d’informations ou l’accès à des informations déjà stockées sur l’équipement terminal d’une utilisatrice ou d’un utilisateur ne sont autorisés qu’après le recueil de son consentement clair et éclairé, à moins qu’il ne s’agisse de données techniquement nécessaires pour fournir le service demandé en premier lieu. Selon le droit européen, la collecte et le traitement d’informations nécessitent, contrairement à la législation suisse, un consentement préalable qui peut être obtenu par exemple au moyen d’une bannière de cookies.
Comme la loi suisse sur les télécommunications, la directive ePrivacy a été rédigée de manière technologiquement neutre et s’applique indépendamment du fait que des cookies soient stockés ou que l’on accède à des informations dans l’appareil terminal par d’autres technologies (par exemple, ce que l’on appelle l’«empreinte numérique»). Ce qui compte donc en général, c’est la conception exacte de la technologie, mais pas sa désignation. S’il est question d’une méthode «sans cookie», il ne faut pas en déduire automatiquement qu’aucun consentement n’est nécessaire. Selon la directive ePrivacy, le facteur déterminant est de savoir si des informations sont stockées dans l’équipement terminal ou si l’on accède à des informations stockées. Dans ce dernier cas, il convient, selon une opinion répandue (mais non consensuelle), de distinguer encore si seules les informations que le navigateur envoie de toute façon au serveur (informations dites «d’en-tête») sont traitées ou si l’on accède activement à d’autres informations. Conformément à la directive ePrivacy, aucun consentement n’est généralement requis pour le traitement des informations qui sont simplement envoyées.
Si des produits sont proposés via des sites Internet dans l’espace de l’UE, la directive ePrivacy et le RGPD peuvent imposer une obligation pour les bannières de cookies.
C’est là que le propos devient intéressant: Si une entreprise suisse propose (par exemple via son site Internet) des biens ou des services dans l’espace de l’UE ou observe le comportement de personnes dans cet espace, il se peut qu’en plus de la directive ePrivacy, les prescriptions du Règlement général européen sur la protection des données (RGPD) doivent également être prises en compte. Le RGPD ne s’applique pas seulement dans l’UE, mais aussi dans l’ensemble de l’espace de l’UE (ce qui inclut donc le Liechtenstein, par exemple). Il ne s’applique que si un lien avec une personne peut être établi. Toutefois, de nombreuses autorités de l’espace de l’UE chargées de la protection des données estiment qu’une telle situation existe déjà lorsque des utilisatrices ou des utilisateurs individuels peuvent être identifiés par l’attribution de numéros d’identification. Si des technologies sont utilisées pour observer les utilisatrices et utilisateurs pendant plusieurs consultations et les utiliser ensuite pour établir des profils à des fins de marketing, de nombreux responsables de la protection des données de l’espace de l’UE estiment qu’un consentement est fondamentalement nécessaire, même si la personne visitant le site ne peut pas être identifiée.
Une personne exploitant un site Internet a donc intérêt à toujours vérifier en premier lieu si la directive ePrivacy et le RGPD sont applicables. Si c’est le cas, l’utilisation de cookies nécessite en principe un consentement au moyen d’une bannière de cookies. Dans le cas d’une méthode «sans cookie», il conviendrait d’examiner plus en détail la forme exacte de cette méthode. Si des risques potentiels doivent être minimisés, il peut donc être judicieux de demander tout simplement le consentement. En outre, l’UE poursuit actuellement ses travaux sur la directive ePrivacy. Celle-ci devrait apporter d’autres nouveautés à l’avenir.
Remarque sur les autrices et auteurs:
Cet article a été rédigé par deux experts juridiques du cabinet VISCHER, Lucian Hunger (avocat) et Alisa Winter (avocate stagiaire), et mis à la disposition du blog Hostpoint sous forme de tribune.
