Recueillir valablement le consentement des personnes concernées

Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix. Vous pouvez, par exemple, recueillir le consentement de la personne concernée en lui demandant de cliquer sur un lien ou en lui demandant d’activer un bouton par glissement. Le consentement n’est, par contre, pas valable s’il est récolté au moyen d’une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement. Vous ne pouvez pas, non plus, considérer que la poursuite de la navigation ou l’acceptation de conditions générales d’utilisation sont des modalités valables de recueil du consentement.

De même, vous ne pouvez pas déduire le consentement de l’utilisateur du paramétrage de son navigateur parce qu’actuellement il n’est pas possible, dans le paramétrage des navigateurs, d’exprimer un choix par finalité de cookie.

  • Le consentement doit être préalable à l’insertion ou à la lecture de cookies

Aucun cookie « non fonctionnel » ne peut être inséré ou lu sur l’ordinateur, le smartphone ou la tablette d’un utilisateur tant que celui-ci n’a pas donné son consentement.

  • Le consentement doit être informé

Le consentement doit être précédé de la fourniture d’informations précises sur le responsable du traitement, les finalités poursuivies par les cookies et autres traceurs déposés ou lus, les données qu’ils collectent et la durée de vie de ces cookies.

L’information doit également porter sur les droits que le RGPD reconnait aux personnes concernées, y compris le droit de retirer son consentement.

L’information doit être visible, complète et être mise en évidence. Elle doit être rédigée en des termes simples et compréhensibles pour tout utilisateur. Cela implique, notamment, que l’information soit rédigée dans une langue aisément compréhensible pour le « public cible » auquel elle s’adresse. En pratique, si votre site Internet s’adresse à un public adolescent, vous devrez utiliser un langage qui soit suffisamment simple pour pouvoir être compris par ce public cible. Dans la même logique, si votre site Internet s’adresse à un public francophone et/ou néerlandophone, vous devez fournir l’information en français et/ou en néerlandais.

  • Le consentement n’est valide que si la personne exerce un choix réel

L’utilisateur doit pouvoir accepter ou refuser, pour chaque application et chaque site internet, le dépôt de cookies sans contrainte, pression ou influence. Cette exigence implique, notamment, que l’utilisateur ne peut pas se voir refuser certains services ou avantages au motif qu’il n’aurait pas consenti à l’utilisation de cookies « non fonctionnels ». La personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service, tel l’accès à un site Internet.

Les « cookies walls » ne sont donc pas autorisés parce qu’ils ne permettent pas un recueil de consentement valide au regard du RGPD.

  • Le consentement doit être spécifique

Le RGPD requiert que le consentement, en ce compris au placement et à la lecture de cookies, soit spécifique, c’est-à-dire qu’il doit être donné pour des traitements de données bien définis (spécifiques). Le fait, pour un utilisateur, d’activer le bouton de participation à un jeu, de confirmer un achat ou d’accepter des conditions générales ne suffit donc pas pour considérer qu’il ait valablement donné son consentement au placement de cookies. Un consentement ne peut pas, non plus, être donné pour la seule "utilisation" de cookies, sans autre précision quant aux  données récoltées via ces cookies ni quant aux finalités pour lesquelles ces données sont collectées. Le RGPD requiert, en effet, un choix plus détaillé qu’un simple « tout ou rien », mais il n’exige toutefois pas nécessairement un consentement pour chaque cookie individuellement. Si vous sollicitez le consentement pour plusieurs types de cookies, vous devez obtenir un consentement distinct pour chaque type de cookies. Le consentement doit ainsi, à tout le moins dans une première strate d’informations, être obtenu par type de cookie. Néanmoins, l’Autorité estime opportun que vous donniez, en outre, la possibilité aux internautes, dans le cadre d’une deuxième strate d’informations, d’effectuer un choix plus granulaire, qui  - dans certains cas -  pourrait mener jusqu’à un choix individuel par cookie. En effet, une fois que la personne concernée a pu exprimer son consentement par type de cookie, elle devrait dans certains cas (par exemple compte tenu des évolutions de la société, y compris des attentes des utilisateurs Internet lambda idéalement de plus en plus avertis en informatique et soucieux de la vie privée) aussi pouvoir exprimer son consentement individuellement par cookie.

  • Le consentement doit pouvoir être retiré par l’internaute

Des solutions conviviales doivent être mises en œuvre pour que la personne puisse retirer, à tout moment, son consentement aussi facilement qu'elle a pu le donner. Il est, en outre, nécessaire qu’elle soit informée de cette possibilité au moment de donner son consentement.