Les bannières de cookies comme champ de mines de la conformité

Nous le connaissons tous : le «déclic» plus ou moins gênant des options de cookies. Ce qui est devenu une habitude pour les visiteurs de sites web représente un travail non négligeable pour les exploitants de ces sites. Et sur le plan juridique, les cookies sont tout sauf triviaux, comme l'explique un expert ci-après - d'autant plus que l'on évolue rapidement sur Internet au niveau international.

Un champ de mines au-delà du RGPD

Selon l'avocat allemand spécialisé dans la protection des données Asmus Eggert, de nombreuses entreprises sous-estiment le fait que les infractions en matière de cookies ne sont souvent pas poursuivies en premier lieu par le RGPD, mais par les réglementations ePrivacy et leurs mises en œuvre nationales - sans bouclier de protection à guichet unique. Ainsi, pratiquement chaque autorité de surveillance nationale peut être compétente dès que l'on accède aux terminaux d'utilisateurs sur son territoire, indépendamment d'un établissement local. Ceux qui se bercent d'une sécurité trompeuse risquent des procédures parallèles dans plusieurs États de l'UE.

La non-conformité technique, un problème majeur

Selon Eggert, le risque central réside dans l'écart entre les prescriptions légales et le fonctionnement réel du site web. Les erreurs les plus fréquentes sont l'installation de cookies non nécessaires avant un consentement effectif, des textes de consentement insuffisamment informés ainsi que des boutons «Refuser tout» techniquement incorrects ou seulement apparemment efficaces. A cela s'ajoutent des outils de gestion du consentement mal configurés qui, après des mises à jour, glissent sans s'en rendre compte dans la non-conformité et génèrent ainsi du jour au lendemain un risque d'amende.

L'exploitant du site reste responsable

Le renvoi au fournisseur de gestion du consentement n'est d'aucune aide en cas d'urgence, car l'exploitant du site web reste toujours juridiquement responsable. Dans la pratique, les problèmes résultent rarement de l'outil lui-même, mais d'une implémentation incorrecte, d'une mauvaise catégorisation des cookies et d'un manque de contrôle régulier. Eggert recommande donc des contrôles de fonctionnement techniques, des modifications documentées ainsi qu'une répartition claire des responsabilités entre la protection des données, l'informatique et le marketing.

Transparence au lieu de dark patterns

Selon Eggert, la transparence n'est pas un exercice libre, mais une obligation : les utilisateurs doivent pouvoir identifier clairement les objectifs poursuivis, les fournisseurs tiers impliqués et la durée de conservation des données. Des descriptions compréhensibles des finalités, des listes complètes de fournisseurs tiers, des boutons de consentement et de refus de premier niveau de même valeur ainsi qu'une possibilité de révocation simple à tout moment sont nécessaires. Les conceptions qui poussent au consentement par des options de refus cachées ou des boutons de consentement visuellement dominants peuvent remettre en question le caractère volontaire du consentement en tant que dark patterns non autorisés.

Amendes élevées et référence globale au chiffre d'affaires

Les risques de sanction sont considérables : dans de nombreux États, les régimes d'amendes ePrivacy se rattachent à la notion d'entreprise connue du droit de la concurrence, de sorte que le chiffre d'affaires mondial du groupe peut devenir pertinent. Alors que le cadre allemand pour certaines infractions en matière de cookies est formellement limité à 300 000 euros, d'autres pays comme la France, l'Espagne ou l'Italie autorisent des montants nettement plus élevés, pouvant aller jusqu'à des sommes à neuf chiffres ou le cadre complet des amendes du RGPD. Pour les plateformes internationales en particulier, cela peut rapidement prendre des dimensions existentielles.

Trois blocs de mesures pour plus de sécurité

Eggert conseille aux entreprises d'adopter un triptyque structuré composé d'une analyse technique, d'une révision du contenu et de la gouvernance. Il convient tout d'abord de vérifier en détail quels cookies, scripts et technologies de suivi sont activés, quand et dans quels scénarios de décision, et si les décisions des utilisateurs sont respectées de manière cohérente. Viennent ensuite des textes de bannières clairement formulés, des listes complètes de fournisseurs tiers, un bouton de refus placé de manière équivalente et une architecture de consentement qui permet une véritable liberté de choix - soutenue par une plateforme, mais accompagnée d'un contrôle juridique et technique.

La gouvernance permanente, un passage obligé

Enfin, Eggert demande un processus de vérification et de contrôle permanent, afin que les nouveaux outils ou les relances ne conduisent pas involontairement à des infractions. Celui qui peut prouver aux autorités de surveillance qu'il dispose d'un système de contrôle et de documentation sérieusement mis en œuvre est nettement mieux placé dans la procédure - celui qui traite en revanche les bannières de cookies comme un exercice technique obligatoire unique est assis sur une «bombe à retardement» de la conformité.

Source : mip Consult

 

Réglementation sur les cookies en Suisse

Jusqu'à récemment, la réglementation sur les cookies n'était pas aussi claire en Suisse que dans l'UE. C'est pourquoi le PFPDT 2025 a publié de nouvelles lignes directrices concernant le placement de cookies. Ces lignes directrices impliquent un renforcement de la réglementation et une adaptation à la situation juridique de l'UE.

Selon la loi suisse révisée sur la protection des données (LPD) et la loi sur les télécommunications (LTC), les cookies sont en principe autorisés tant que les utilisateurs sont informés de manière transparente sur leur nature, leur but et les possibilités de s'y opposer et que leurs droits de la personnalité ne sont pas violés. Les cookies nécessaires peuvent être utilisés sans consentement, tandis que des exigences plus strictes s'appliquent aux cookies non nécessaires : Selon le risque, un opt-out ou une justification basée sur des intérêts légitimes suffisent, mais en cas de profilage à haut risque ou de traitement de données sensibles, un consentement explicite opt-in avec une information claire, un caractère volontaire et une possibilité de révocation est nécessaire.

Les sanctions visent en premier lieu les personnes physiques responsables ; des amendes pouvant aller jusqu'à 250 000 CHF sont prévues, voire 50 000 CHF dans des cas plus simples, lorsque l'identification de la personne concrètement responsable serait disproportionnée. En outre, le PFPDT risque de prendre des mesures de surveillance telles que des injonctions d'adapter ou de renoncer à certaines pratiques de tracking et de cookies.

Sources : 

• https://datenrecht.ch/edoeb-leitlinien-zu-cookies-und-aehnlichen-technologien/
• https://www.cookiebot.com/de/datenschutz-schweiz/
• https://e-dialog.group/blog/consent-management/cookie-banner-2025-was-schweizer-webseitenbetreiber-wissen-muessen/