Les bannières cookies, un terrain miné en matière de conformité

Nous connaissons tous cette opération plus ou moins fastidieuse qui consiste à « décocher » les options relatives aux cookies. Ce qui est devenu une habitude pour les visiteurs de sites web représente une charge de travail non négligeable pour les exploitants de ces sites. Et sur le plan juridique, les cookies sont tout sauf anodins, comme l'explique un expert ci-après, d'autant plus que l'on évolue rapidement à l'échelle internationale sur Internet.

Un champ de mines au-delà du RGPD

Selon l'avocat allemand spécialisé dans la protection des données Asmus Eggert, de nombreuses entreprises sous-estiment le fait que les violations relatives aux cookies ne sont souvent pas poursuivies en premier lieu en vertu du RGPD, mais en vertu des réglementations ePrivacy et de leurs transpositions nationales, sans protection « guichet unique ». Ainsi, pratiquement toute autorité de contrôle nationale peut être compétente dès lors que les terminaux des utilisateurs situés sur son territoire sont accessibles, indépendamment de l'existence d'une succursale locale. Ceux qui se bercent d'une sécurité illusoire risquent de faire l'objet de procédures parallèles dans plusieurs États membres de l'UE.

La non-conformité technique comme problème principal

Selon Eggert, le risque principal réside dans le décalage entre les dispositions légales et le fonctionnement réel du site web. Les erreurs fréquentes sont l'installation de cookies non nécessaires avant l'obtention d'un consentement effectif, des textes de consentement insuffisamment informatifs et des boutons « Tout refuser » techniquement défectueux ou seulement apparemment efficaces. À cela s'ajoutent des outils de gestion du consentement mal configurés qui, après les mises à jour, tombent discrètement en non-conformité et génèrent ainsi du jour au lendemain un risque d'amende.

La responsabilité incombe à l'exploitant du site

La référence au fournisseur de gestion du consentement n'aide pas en cas d'urgence, car la responsabilité juridique incombe toujours à l'exploitant du site web. Dans la pratique, les problèmes résultent rarement de l'outil lui-même, mais plutôt d'une mise en œuvre incorrecte, d'une catégorisation erronée des cookies et d'un manque de contrôles réguliers. Eggert recommande donc des tests de fonctionnement techniques, des modifications documentées et une répartition claire des responsabilités entre la protection des données, l'informatique et le marketing.

La transparence plutôt que les « dark patterns »

Selon Eggert, la transparence n'est pas une option, mais une obligation : les utilisateurs doivent pouvoir clairement identifier les finalités poursuivies, les fournisseurs tiers impliqués et la durée de conservation des données. Il est nécessaire de fournir des descriptions claires des finalités, des listes complètes des fournisseurs tiers, des boutons d'acceptation et de refus de conception équivalente au premier niveau, ainsi qu'une option de rétractation simple à tout moment. Les conceptions qui poussent à donner son consentement par le biais d'options de refus cachées ou de boutons d'acceptation visuellement dominants peuvent remettre en question le caractère volontaire du consentement en tant que modèles sombres inadmissibles.

Amendes élevées et référence au chiffre d'affaires mondial

Les risques de sanctions sont considérables : dans de nombreux pays, les régimes d'amendes en matière de confidentialité électronique sont liés à la notion d'entreprise telle qu'elle est définie dans le droit de la concurrence, de sorte que le chiffre d'affaires mondial du groupe peut être pris en compte. Alors que le cadre allemand limite formellement à 300 000 euros les amendes pour certaines infractions liées aux cookies, d'autres pays comme la France, l'Espagne ou l'Italie autorisent des montants nettement plus élevés, pouvant atteindre des sommes à neuf chiffres ou le montant maximal prévu par le RGPD. Cela peut rapidement prendre des proportions existentielles, en particulier pour les plateformes internationales.

Trois séries de mesures pour plus de sécurité

Eggert conseille aux entreprises d'adopter une approche structurée en trois volets : analyse technique, révision du contenu et gouvernance. Il convient tout d'abord d'examiner en détail quels cookies, scripts et technologies de suivi sont activés, à quel moment et dans quels scénarios décisionnels, et si les décisions des utilisateurs sont respectées de manière cohérente. Il faut ensuite rédiger des textes de bannière clairs, dresser des listes complètes de fournisseurs tiers, placer un bouton « Refuser » bien visible et mettre en place une architecture de consentement qui permette une véritable liberté de choix, soutenue par une plateforme mais accompagnée d'un contrôle juridique et technique.

La gouvernance continue comme programme obligatoire

Pour conclure, Eggert réclame un processus de vérification et de contrôle permanent afin que les nouveaux outils ou les relances ne conduisent pas involontairement à des infractions. Ceux qui peuvent prouver aux autorités de surveillance qu'ils ont mis en place un système de vérification et de documentation sérieux sont nettement mieux placés dans la procédure. En revanche, ceux qui considèrent les bannières de cookies comme une simple obligation technique ponctuelle sont assis sur une « bombe à retardement » en matière de conformité.

Source : mip Consult

 

Réglementation relative aux cookies en Suisse

Jusqu'à récemment, la réglementation relative aux cookies n'était pas aussi claire en Suisse que dans l'UE. C'est pourquoi le PFPDT a publié en 2025 de nouvelles lignes directrices pour l'utilisation des cookies. Ces lignes directrices renforcent la réglementation et s'alignent sur la situation juridique dans l'UE.

Selon la loi suisse révisée sur la protection des données (LPD) et la loi sur les télécommunications (LTC), les cookies sont en principe autorisés, à condition que les utilisateurs soient informés de manière transparente sur leur nature, leur finalité et les possibilités de refus, et que leurs droits personnels ne soient pas violés. Les cookies nécessaires peuvent être utilisés sans consentement, tandis que les cookies non nécessaires sont soumis à des exigences plus strictes : selon le risque, un opt-out ou une justification fondée sur des intérêts légitimes suffit, mais en cas de profilage à haut risque ou de traitement de données particulièrement sensibles, un consentement explicite (opt-in) avec des informations claires, le caractère volontaire et la possibilité de révocation sont nécessaires.

Les sanctions visent en premier lieu les personnes physiques responsables ; elles peuvent aller jusqu'à 250 000 CHF, voire 50 000 CHF dans les cas moins graves, lorsque l'identification de la personne concrètement responsable serait disproportionnée. En outre, le PFPDT peut prendre des mesures prudentielles, telles que des injonctions visant à modifier ou à supprimer certaines pratiques en matière de suivi et de cookies.

Sources : 

• https://datenrecht.ch/edoeb-leitlinien-zu-cookies-und-aehnlichen-technologien/
• https://www.cookiebot.com/de/datenschutz-schweiz/
• https://e-dialog.group/blog/consent-management/cookie-banner-2025-was-schweizer-webseitenbetreiber-wissen-muessen/

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/cookie-banner-als-compliance-minenfeld/