Particularités juridiques du consentement dans différents pays
Avec cet article, vous verrez les différences et les similitudes entre les pays en matière de consentement.
✔️ Oui !
❌ Non !
❓ Non spécifié / aucune donnée claire
⚙️ Détails supplémentaires sur les normes du pays
* Renvois à la fin de l'article, vers la section consacrée aux AIPD (Autorités de protection des données) et à leurs lignes directrices respectives
⚠️Dernière mise à jour : 13 avril 2022
📆 En décembre 2020, l’Autorité italienne de protection des données (le « Garante per la Protezione dei Dati Personali ») a réexaminé les lignes directrices italiennes relatives aux cookies, car elles ne répondent pas toujours au RGPD, entré en vigueur auparavant : il pourrait y avoir des changements importants à l’avenir. Vous pourrez les consulter et anticiper ces changements potentiels (cf.🔎).
🍪 Des boutons explicites « Accepter » et « Refuser » sont-ils requis dans une bannière de consentement ?
France
✔️
⚙️ Les boutons d’acceptation et de refus doivent être également visibles.
Royaume-Uni
✔️
⚙️ Aucun bouton « tout refuser » n’est obligatoire bien que préférable ; une alternative identique (concernant la non-exécution du consentement) est acceptable. Elle doit aussi être aussi visible que l’option granulaire et les boutons « Accepter ».
Espagne
✔️
⚙️ 2 choix selon l’AEPD* : soit des boutons « Accepter » et « Refuser » OU « Accepter » et un lien dans l’avis de consentement vers la politique relative aux cookies, permettant un choix granulaire par finalité.
Irlande
✔️
⚙️ Les boutons d’acceptation et de refus doivent être également visibles pour l’AIPD irlandaise*.
Belgique
❓
⚙️ Possibilité de retirer son consentement aussi facilement que de le donner : l’utilisateur doit en être informé au moment de donner son consentement.
Allemagne
✔️
Portugal
✔️
⚙️ De préférence, notamment pour obtenir la preuve du consentement.
Italie
✔️
Pologne
❓
⚙️ Pas précisé exactement : le consentement doit être librement donné (action positive de l’utilisateur), spécifique, informé et sans ambiguïté. Il peut être recueilli par d’autres moyens : s’il l’est en cochant la case appropriée, l’utilisateur peut retirer son consentement tout aussi facilement.
Croatie
❓
⚙️ Non précisé : le consentement doit être donné librement (action positive de l’utilisateur), spécifique, informé et non ambigu. Il peut être recueilli par d’autres moyens : s’il l’est en cochant la case appropriée, l’utilisateur doit pouvoir la décocher aussi facilement.
Danemark
✔️
⚙️La forme de la boîte de consentement est standard : tout accepter / tout refuser ou seulement accepter les cookies essentiels, avec un 2e écran plus précis.
Finlande
✔️
⚙️La forme de la boîte de consentement est standard : tout accepter / tout refuser ou seulement accepter les cookies essentiels, avec un 2e écran plus précis.
Norvège
✔️
⚙️La forme de la boîte de consentement est standard : tout accepter / tout refuser ou seulement accepter les cookies essentiels, avec un 2e écran plus précis.
Suède
✔️
⚙️La forme de la boîte de consentement est standard : tout accepter / tout refuser ou seulement accepter les cookies essentiels, avec un 2e écran plus précis.
🍪 Faut-il bloquer les cookies avant d’obtenir le consentement de l’utilisateur ?
France
✔️
Royaume-Uni
✔️
Espagne
✔️
Irlande
✔️
Belgique
✔️
Allemagne
✔️
Portugal
✔️
Italie
✔️
Pologne
✔️
Croatie
✔️
CEPD
✔️
Danemark
✔️
Finlande
✔️
Suède
✔️
Norvège
✔️
🍪 Les cookie walls sont-ils légaux ?
France
✔️
⚙️ Incertitude juridique pour le moment : légalité au cas par cas. En cas de plainte d’utilisateurs, la CNIL* peut enquêter et les invalider si nécessaire.
Royaume-Uni
❌
⚙️ « Peu susceptible d’être valide » selon l’ICO*.
Espagne
❌
⚙️ « Les cookie walls ne sont acceptables que si l’utilisateur dispose d’une autre option pour accéder au service sans accepter les cookies. »
Irlande
❓
Probablement illégaux, mais non précisé.
Belgique
❌
Allemagne
❌
Portugal
❌
Italie
❌
🔎 Il faudra peut-être offrir aux utilisateurs la possibilité d’accéder à un contenu/service équivalent sans avoir à donner leur consentement (au cas par cas).
Pologne
❌
⚙️ cf. les lignes directrices du CEPD* : si un fournisseur de site web bloque la visibilité du contenu tant que l’utilisateur n’a pas « accepté les cookies », le consentement n’est pas librement donné.
Croatie
❌
CEPD
❌
Danemark
❓
Finlande
❓
Suède
❓
Norvège
❓
🍪 Quelle est la durée de validité des choix de consentement une fois recueillis ?
France
6 mois
⚙️ Les cookies analytiques ne peuvent pas durer plus de 13 mois. Les informations collectées par les cookies peuvent être conservées au maximum 25 mois.
Royaume-Uni
6 mois
⚙️ La durée du consentement doit être justifiable au regard de la finalité indiquée du cookie. Les utilisateurs doivent être informés de la durée des cookies.
Espagne
24 mois maximum
⚙️ L’AEPD* indique que le consentement devrait être redemandé au plus tard 24 mois après avoir été recueilli.
Irlande
6 mois
Belgique
❓
⚙️ Le consentement à un cookie ne peut pas être conservé plus longtemps que nécessaire pour atteindre la finalité indiquée pour l’AIPD belge*.
Allemagne
❓
Portugal
❓
Italie
6 mois
Pologne
❓
⚙️ Aucun délai spécifique pour l’UODO*, qui suit les bonnes pratiques suggérées par le CEPD : renouvellement du consentement à intervalles appropriés. Fournir à nouveau l’ensemble des informations aide à garantir que la personne concernée reste bien informée sur la manière dont ses données sont traitées et sur l’exercice de ses droits.
Croatie
❓
⚙️ Les cookies de session, par exemple, conçus pour fonctionner uniquement pendant la durée d’une session de navigation ou un peu plus longtemps, devraient avoir une durée de vie courte et être configurés pour expirer une fois leur finalité limitée atteinte. La date d’expiration d’un cookie devrait être proportionnée à sa finalité.
CEPD
❓
⚙️ Lignes directrices du CEPD*: « En principe, il peut suffire de demander le consentement d’une personne concernée une seule fois. Toutefois, les responsables du traitement doivent obtenir un nouveau consentement spécifique si les finalités du traitement changent après l’obtention du consentement ou si une finalité supplémentaire est envisagée. » Si les opérations de traitement changent ou évoluent de manière significative, le consentement initial n’est plus valable.
Danemark
5 ans
⚙️ Le retrait du consentement devrait être aussi simple que son octroi.
Finlande
❓
⚙️ Le retrait du consentement devrait être aussi simple que son octroi.
Suède
5 ans
⚙️ Le retrait du consentement devrait être aussi simple que son octroi.
Norvège
❓
⚙️ Le retrait du consentement devrait être aussi simple que son octroi.
🍪 Le consentement est-il valable par défilement / poursuite de la navigation ?
France
❌
Royaume-Uni
❌
Espagne
❌
Irlande
❌
⚙️ Pour le défilement, l’avis relatif aux cookies ne doit pas disparaître tant que l’utilisateur n’a pas fait son propre choix, quelle que soit l’action.
Belgique
❌
⚙️ Le consentement est valable s’il existe une interaction active de l’utilisateur, comme un clic ou l’activation d’un bouton par glissement (boutons à bascule).
Allemagne
❌
Portugal
❌
Italie
❌
Pologne
❌
⚙️ cf. lignes directrices du CEPD* de mai 2020 : le défilement ou le balayage d’une page web, ou toute activité similaire de l’utilisateur, ne satisfera en aucun cas à l’exigence d’une action affirmative, car « le silence, les cases pré-cochées ou l’inactivité ne devraient pas [...] constituer un consentement ». (Considérant 32 du RGPD*)
Croatie
❌
⚙️ Les cookies qui ne répondent pas à l’un des deux cas d’usage spécifiques de la directive ePrivacy et qui les exemptent de l’obligation d’obtenir le consentement ne doivent pas être définis ni déployés sur l’appareil d’un utilisateur avant l’obtention de son consentement.
Les deux exemptions sont connues sous les noms d’exemption relative aux communications et d’exemption strictement nécessaire.*
CEPD
❌
Danemark
❌
Finlande
❌
Suède
❌
Norvège
❌
🍪 Est-il légal d’avoir des cases pré-cochées sur les bandeaux de cookies ?
France
❌
Royaume-Uni
❌
Espagne
❓
Irlande
❌
Belgique
❌
Allemagne
❌
Portugal
❌
Italie
❌
Pologne
❌
Croatie
❌
CEPD
❌
Danemark
❓
Finlande
❓
Suède
❓
Norvège
❓
🍪 La preuve du consentement est-elle obligatoire comme le précise le RGPD ?
France
✔️
⚙️ L’entité qui recueille le consentement doit également pouvoir transmettre la preuve du consentement aux tiers qui ont traité les données de l’utilisateur sur la base de ce consentement.
Royaume-Uni
✔️
Espagne
✔️
⚙️ Non précisé, mais implicite.
Irlande
✔️
Belgique
✔️
Allemagne
✔️
Portugal
✔️
Italie
✔️
Pologne
✔️
⚙️ cf. considérant 42 du RGPD : « Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de démontrer que la personne concernée a donné son consentement à l’opération de traitement. »
Croatie
✔️
CEPD
✔️
⚙️ Non précisé, mais implicite.
Danemark
❓
Finlande
✔️
⚙️ La preuve du consentement doit inclure : la date et l’heure à laquelle le consentement a été demandé et obtenu, la manière dont le consentement a été demandé, les informations fournies pour demander le consentement, et les identifiants permettant d’identifier par qui et/ou à partir de quel appareil le consentement a été donné
Suède
❓
Norvège
❓
🍪 Le consentement doit-il être granulaire par finalité dans les avis de consentement ?
France
✔️
⚙️ Le consentement est collecté par le site web / l’application, sauf s’il est clairement précisé qu’il est collecté pour un groupe de sites web / d’applications. Le consentement doit être unique et renouvelé pour chaque plateforme. En cas de consentement à des traceurs inter-sites web / applications, l’utilisateur doit en être informé dès le premier niveau.
Royaume-Uni
❌
⚙️ Pas nécessairement par finalité, mais le consentement doit être spécifique à un service particulier.
Espagne
✔️
⚙️ Non précisé, mais implicite.
Irlande
✔️
⚙️ Pour le défilement, l’avis relatif aux cookies ne doit pas disparaître tant que l’utilisateur n’a pas fait son propre choix, quelle que soit l’action.
Belgique
✔️
Allemagne
✔️
La nécessité d’une granularité par finalité est implicite : "il doit être possible de sélectionner individuellement des activités de traitement"".
Portugal
✔️
Italie
✔️
🔎 Il doit être granulaire par finalité ou par catégories. En outre, un lien avec la liste des fournisseurs doit être fourni dans le premier niveau du CMP.
Pologne
✔️
⚙️ cf. lignes directrices du CEPD* sur la granularité.
Croatie
✔️
⚙️ cf. lignes directrices du RGPD sur la granularité : considérant 32*. Si plusieurs finalités sont fusionnées pour le traitement et qu’il n’existe aucune possibilité de demander un consentement indépendant pour chacune, il y a un manque de liberté.
CEPD
✔️
Danemark
✔️
Finlande
❓
Suède
✔️
Norvège
✔️
🍪 Les cookies doivent-ils être listés un par un ?
France
❌
Royaume-Uni
❌
⚙️ La meilleure pratique serait de fournir une description des cookies.
Espagne
❌
⚙️ Une liste par finalité est valable.
Irlande
✔️
Probable : ⚙️ Le consentement est obtenu pour chaque finalité pour laquelle des cookies sont placés. Le consentement ne doit pas nécessairement être obtenu individuellement pour chaque cookie, « mais simplement pour la finalité pour laquelle il est utilisé ».
Belgique
❓
⚙️ Ambivalence entre la base par finalité suggérée au premier niveau du consentement, et la base par cookie ensuite, tout en soulignant que le RGPD n’impose pas une base par cookie.
Allemagne
❌
Portugal
✔️
⚙️ Pour la CNPD*, le consentement doit être donné pour chaque cookie avec les informations pertinentes, y compris la période de conservation. Comme le choix est individuel, il devrait aussi être possible d’accepter tout ou de refuser tout.
Italie
❌
Pologne
❓
Croatie
✔️
⚙️ Il est fortement recommandé de lister les cookies un par un.
Danemark
❓
Finlande
❓
Suède
❓
Norvège
❓
💡 En cas de doute, veuillez contacter votre Délégué à la protection des données (DPO) ou votre service juridique !
📕 Sources utiles et informations sur les lignes directrices relatives aux cookies
🍪 France
AIPD (Autorité de protection des données) : Commission nationale de l'informatique et des libertés (CNIL)
🍪 Royaume-Uni
AIPD : Information Commissioner's Office (ICO)
🍪 Espagne
AIPD : Agencia de Protección de Datos (AEPD)
🍪 Irlande
AIPD : Office of the Data Protection Commissioner
🍪 Belgique
AIPD : Autorité de protection des données
🍪 Allemagne
AIPD : Le Commissaire fédéral à la protection des données et à la liberté d’information
🍪 Portugal
AIPD : Comissão Nacional de Proteção de Dados (CNPD)
🍪 Italie
AIPD : Garante per la protezione dei dati personali (GPDP)
🍪 Pologne
AIPD : Urząd Ochrony Danych Osobowych (UODO)
Loi sur les télécommunications du 16 juillet 2004 (cf. articles 173 et 174 page 86 : la loi exige le consentement d’un abonné ou d’un utilisateur final, les dispositions relatives à la protection des données à caractère personnel s’appliquent à l’obtention d’un tel consentement. Par conséquent, le consentement pour les cookies doit satisfaire aux mêmes exigences que le consentement au traitement des données à caractère personnel).
🍪 Croatie
AIPD : Agencija za zaštitu osobnih podataka (AZOP)
*Le consentement est-il valable par défilement / poursuite de la navigation ?
L’exemption relative aux communications
Elle s’applique aux cookies dont le seul objectif est d’assurer la transmission d’une communication sur un réseau, par exemple pour identifier les extrémités de la communication. Elle peut également s’appliquer aux cookies utilisés pour permettre l’échange de données dans l’ordre prévu, comme la numérotation des paquets de données. Elle s’applique aussi aux cookies utilisés pour détecter des erreurs de transmission ou des pertes de données.
L’exemption strictement nécessaire
Un cookie exempté au titre de ce critère doit satisfaire simultanément à deux tests :
- l’exemption s’applique aux « services de la société de l’information » (SSI) – c’est-à-dire un service fourni via Internet, comme un site web ou une application.
- Ce service doit avoir été explicitement demandé par l’utilisateur et l’utilisation du cookie doit être limitée à ce qui est strictement nécessaire pour fournir ce service.
🍪 UE
AIPD : CEPD (Comité européen de la protection des données)
🍪Suède
AIPD : Loi sur la protection des données (Sveriges Riksdag)
Mis à jour