Bannière de cookies en Suisse : une simple bannière sans possibilité de choix est-elle encore suffisante ?

 

De nombreuses entreprises suisses partent encore du principe que les règles applicables aux cookies sont nettement moins strictes en Suisse que dans l’Union européenne. Cette perception n’est pas totalement fausse. Les évolutions récentes montrent toutefois que les exigences relatives à l’utilisation des cookies et des technologies de suivi s’alignent de plus en plus sur les pratiques européennes.

En Suisse, les cookies ne sont pas principalement régis par la loi sur la protection des données
Une idée largement répandue consiste à penser que les cookies relèvent directement, voire exclusivement, de la Loi fédérale sur la protection des données (LPD ou LPD révisée). En réalité, en Suisse, les cookies sont traditionnellement régis en premier lieu par la Loi sur les télécommunications (LTC). Toutefois, dès lors que des données personnelles sont traitées à l’aide de cookies ou de technologies similaires, les dispositions de la loi sur la protection des données doivent également être respectées.

Selon l’interprétation juridique traditionnelle en Suisse, le consentement explicite des utilisateurs n’était donc pas nécessaire pour de nombreux cookies. En règle générale, il suffisait d’informer de manière transparente sur l’utilisation des cookies au moyen d’une simple bannière ou fenêtre contextuelle contenant un lien vers la déclaration de protection des données.

Le PFPDT renforce ses attentes
Avec la mise à jour de son guide relatif aux cookies, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a considérablement précisé ses attentes concernant l’utilisation des cookies et des technologies similaires. Le PFPDT souligne lui-même que cette mise à jour ne crée pas de nouvelles obligations matérielles, mais contient des précisions et des compléments ponctuels. Le guide indique toutefois clairement comment l’autorité entend interpréter et appliquer à l’avenir les dispositions en vigueur en matière de protection des données.

Ce guide rapproche sensiblement la pratique suisse de celle découlant du Règlement général sur la protection des données (RGPD). Il apporte plusieurs précisions et, dans les faits, un renforcement des exigences concernant le suivi (tracking), le profilage, la publicité personnalisée, les « cookie-paywalls » ainsi que la distinction entre les cookies nécessaires et ceux qui ne le sont pas.

Quels sont les cookies considérés comme nécessaires ?
Le guide distingue clairement les cookies techniquement nécessaires de ceux qui ne le sont pas.

Sont notamment considérés comme nécessaires les cookies destinés pour :

  • les fonctions de connexion
  • les paniers d’achat dans les boutiques en ligne
  • les mécanismes de sécurité
  • la protection contre les abus
  • la répartition de la charge (load balancing)

Pour ce type de cookies, aucun consentement explicite n’est en principe requis.

En revanche, les cookies d’analyse, de confort ou de marketing ne sont généralement pas considérés comme techniquement nécessaires et doivent donc faire l’objet d’une évaluation distincte. Il s’agit notamment des outils d’analyse web, des technologies de suivi ou des solutions de publicité personnalisée.

Quelles sont les conséquences pour les entreprises ?
D’un point de vue juridique, la loi n’a pas changé. Le guide relatif aux cookies ne constitue pas une norme juridique contraignante. Les entreprises ne doivent toutefois pas sous-estimer l’importance de ce document. Le guide indique clairement comment l’autorité de contrôle compétente interprète les dispositions existantes et entend les appliquer à l’avenir. On peut en outre supposer que la pratique de surveillance du PFPDT s’alignera sur ces directives.

Il est donc recommandé aux exploitants de sites web de réexaminer leurs solutions actuelles en matière de cookies et de suivi :

  • Quels cookies sont techniquement nécessaires ?
  • Quels outils d’analyse ou de marketing sont utilisés ?
  • Les utilisateurs peuvent-ils facilement refuser ces technologies ?
  • La bannière de cookies et la déclaration de protection des données répondent-elles aux exigences actuelles en matière de transparence ?

Conclusion
Selon le droit suisse actuel, une simple bannière d’information sans possibilité de choix peut encore suffire pour les cookies strictement nécessaires d’un point de vue technique. Toutefois, lorsque des cookies d’analyse, de suivi ou de marketing sont utilisés, une simple référence à la déclaration de protection des données ne paraît plus suffisante en pratique. Le guide actualisé du PFPDT ne constitue certes pas une norme juridique contraignante et ne modifie pas la législation. Il montre néanmoins clairement que l’autorité de surveillance attend davantage de transparence ainsi que de véritables possibilités de choix pour les cookies non nécessaires. En particulier pour les cookies d’analyse, de suivi et de marketing, il est recommandé de mettre en place une solution permettant aux utilisateurs de refuser facilement les cookies non indispensables. Les exploitants de sites web suisses devraient donc vérifier les cookies et les technologies de suivi effectivement utilisés, puis adapter en conséquence leur bannière de cookies ainsi que leur déclaration de protection des données.

Une attention particulière s’impose également pour les commerçants suisses qui s’adressent à une clientèle située dans l’Espace économique européen (EEE), notamment au Liechtenstein. Les entreprises qui proposent délibérément leurs biens ou leurs services à des personnes établies dans l’EEE peuvent être tenues de respecter les exigences du RGPD. Dans la pratique, de nombreux commerçants ont donc tout intérêt à aligner directement leur site web sur les normes européennes, plus stricts, afin de satisfaire à la fois aux exigences applicables dans l’EEE et aux attentes croissantes de l’autorité suisse de surveillance.

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

Top