La vigilance est de mise concernant la politique d'utilisation des cookies et la politique de protection de la vie privée de votre site web
Le premier site web auquel la Chambre contentieuse de l'Autorité de protection de données (APD) a infligé une amende pour infractions au RGPD est un site web d'actualités juridiques " par, pour et sur les praticiens du droit ". Bien que l'entreprise en question ait adapté sa politique au cours de l'enquête, elle a écopé d'une amende de 15 000 euros. Cela risque-t-il également de vous arriver ?
Cookies : de quoi s'agit-il ?
Les cookies sont de petits fichiers texte contenant une série de données sur le visiteur du site web. Ces petits fichiers sont stockés sur son ordinateur, de manière à ce que ce site connaisse déjà certaines données à son sujet lors de sa prochaine visite sur le site web. La préférence linguistique est un exemple type de cookie.
Il existe différentes sortes de cookies. Certains sont indispensables au fonctionnement du site web. L'utilisateur doit en principe être informé de leur existence, mais il ne peut pas les refuser. Les cookies qui servent purement et simplement à analyser les visites sur une page peuvent être refusés par l'utilisateur.
Transparence des informations
Si vous placez des cookies sur votre site web, vous devez en informer l'utilisateur. L'article 12 du règlement européen RGPD prescrit que la personne concernée doit être informée d'une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples à propos de ce que vous ferez des données collectées.
Après enquête, l'APD a constaté que :
a) la déclaration relative à la protection de la vie privée était uniquement disponible en anglais, alors que le site web s'adressait à un public néerlandophone et francophone ;
b) les informations n'étaient pas facilement accessibles aux personnes concernées ;
c) la déclaration relative à la protection de la vie privée renvoyait à la US privacy law ;
d) la déclaration relative à la protection de la vie privée déclarait qu'une adresse IP n'était pas considérée comme une donnée à caractère personnel.
Parmi les autres manquements constatés, nous avons retenu ce qui suit :
a) l'identité et les coordonnées du responsable du traitement n'ont pas été mentionnées à l'occasion d'un premier contrôle ;
b) les droits à la protection de la vie privée dont les personnes concernées disposent (dont le droit de déposer plainte auprès de l'APD) n'ont pas été communiqués ;
c) les personnes concernées n'ont pas été informées du fondement juridique de chaque traitement ni des finalités spécifiques de chaque traitement ; et
d) les délais de conservation des données à caractère personnel traitées n'ont pas été communiqués.
L'entreprise a remédié à ces manquements après une première visite.
Consentement
Le RGPD exige également que le consentement explicite de l'utilisateur soit demandé. Ce n'était pas non plus le cas dans un premier temps sur ce site web, ni pour les cookies du responsable du traitement, ni pour ceux de Google.
L'entreprise a remédié à ce manquement, mais le site web interrogeait l'utilisateur sur ses préférences au moyen d'une fenêtre précochée, ce qui n'est pas admis par l'APD comme un consentement valable.
Trop tard
Après trois visites de l'inspecteur, l'affaire a été soumise à la Chambre contentieuse de l'APD. Au moment où cette instance a rendu ses conclusions, l'entreprise en question avait mis son site web en parfaite conformité avec le RGPD, mais le mal était fait.
La Chambre contentieuse a surtout buté sur le fait que les déclarations sur le site web n'étaient tout simplement pas correctes. Elle a entre autres constaté que les cookies d'analyse n'étaient utilisés qu'avec l'accord du visiteur, mais que les informations sur le site web ne le mentionnaient pas en ces termes.
Sans oublier le fait que - après que la version anglaise de la déclaration relative à la protection de la vie privée a été remplacée par une version bilingue - le lien vers la version française renvoyait à un texte en néerlandais.
Négligence au niveau de la politique relative à la protection de la vie privée
Selon la Chambre contentieuse, le propriétaire du site web a surtout fait preuve de négligence et a payé celle-ci en se voyant infliger une amende non négligeable de 15 000 euros. Attention : le RGPD autorise des amendes pouvant aller jusqu'à 20 millions d'euros ou, pour une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent. S'il est peu probable qu'une négligence au niveau de la politique relative à la protection de la vie privée soit aussi lourdement sanctionnée, il n'en reste pas moins qu'en cause, l'attitude coopérative de l'entreprise concernée a été fort appréciée.
Vous trouverez ci-dessous quelques-unes des règles les plus importantes à respecter si vous travaillez avec des cookies sur votre site web :
a) le droit de l'utilisateur de donner ou non son consentement (sauf pour les cookies techniques) ;
b) le droit de l'utilisateur de retirer ce consentement ;
c) la mise à disposition d'informations transparentes et lisibles concernant votre politique relative à la protection de la vie privée et à l'utilisation des cookies (faites attention à la langue, mentionnez pendant combien de temps vous conserverez les cookies...) ;
d) la désignation d'un responsable du traitement.
On peut s'attendre à ce que la Chambre contentieuse se montre plus stricte à l'égard des contrevenants à mesure qu'elle développera une jurisprudence plus claire dans cette matière.
13|03|2024
Délais importants pour les assujettis mixtes en 2024
Les assujettis mixtes sont des assujettis qui effectuent tant des opérations taxées que des opérations exonérées. En raison de cet assujettissement mixte, il néy a pas de droit ...
Lire la suite
07|03|2024
Nouveaux taux d'intérêt pour les prêts et comptes courants débiteurs
Par arrêté royal du 12 janvier 2024 (publication le 25 janvier 2024), les taux d'intérêt de référence pour les prêts bon marché ont été publiés. ...
Lire la suite
29|02|2024
Les commerçants sont obligés d'accepter les paiements en espèces
La Chambre a approuvé en séance plénière un projet de loi qui oblige les commerçants à accepter les paiements en espèces. ...
Lire la suite