SFBX®

logo GPDP - Garante per la protezione dei dati personali

L’Italie renforce sa politique en matière de cookies et autres traceurs !

Publié le 21/12/2021

Le 10 juin 2021, le régulateur italien publiait de nouvelles lignes directrices et recommandations en matière d’usage de cookies et de recueil de consentement, applicables au 09 janvier 2022[1].

Avant cette mise à jour des textes, les éditeurs italiens appliquaient les règles du 8 mai 2014 auxquelles s’ajoutaient les textes suivants :

  • Eprivacy 2002 : texte de référence pour les cookies et autres traceurs (dont on attend la refonte pour 2020),
  • Le RGPD mai 2018 sur les techniques de recueil de consentement des utilisateurs,
  • Les lignes directrices de l’European Data Protection Board (EDPB) du 4 mai 2020[2]

Ces nouvelles règles édictées le 10/06/2021 par la Garante, régulateur italien en matière de protection des données personnelles, viennent préciser les modalités de recueil de consentement et d’utilisation des traceurs.

Pour tous les éditeurs de site en Italie, ces nouvelles lignes directrices et recommandations sont applicables au 9 janvier 2022.

Pour que vous puissiez vous mettre en conformité avant la date butoir, nous avons créé une infographie récapitulative pour connaître les grandes lignes du nouveau texte italien.

3

Vous trouverez ci-après les éléments exposés de manière plus précise afin d’appréhender l’ensemble des tenants et aboutissants de ces nouvelles lignes directrices.

1. Deux grandes catégories de cookies

Le régulateur italien évoque deux types de cookies et traceurs :

  • Les cookies techniques, aussi appelés cookies fonctionnels, qui sont nécessaires au fonctionnement du site. Ils permettent une navigation optimale sur une plateforme digitale donnée.
  • Les cookies de profilage, qui sont utilisés pour regrouper des profils ayant des schémas comportementaux ressemblants voire identiques ; ceci vise à son tour à permettre au responsable du traitement, entre autres, de fournir des services de plus en plus personnalisés au-delà de ce qui est strictement nécessaire pour la prestation du service donné et également d’envoyer des messages publicitaires ciblés.

2. L’exemption de consentement

Les cookies et traceurs dits techniques sont exemptés de consentement. L’affichage d’un bandeau n’est même pas systématiquement obligatoire si le site n’utilise que ce type de traceurs. L’information doit tout de même être donnée à l’utilisateur via la page d’accueil du site ou via une notice d’information minimale ou un lien vers la politique de confidentialité.

Les cookies et traceurs dits de profilage nécessitent, eux, un consentement éclairé obligatoire de l’utilisateur ou du co-contractant.

Certains cookies analytiques sont exemptés, si et seulement si, ils respectent les conditions suivantes (voir détails ci-dessous en §4.b) :

  • ils sont utilisés pour réaliser des statistiques agrégées, c’est à dire, des statistiques relatives à un groupe de personnes afin de limiter le risque d’identification des utilisateurs.
  • Ils sont utilisés pour la mesure d’audience d’un seul site ou d’une seule application.
  • L’identité numérique de l’utilisateur n’est pas traçable par l’éditeur.
  • Les données recueillies sur l’utilisateur ne sont pas recoupées avec d’autres données.

L’ePrivacy de 2002 énonce l’obligation de d’obtenir le consentement pour utiliser les cookies. Donc il n’est pas possible d’invoquer l’intérêt légitime du responsable de traitement pour justifier l’utilisation de cookies ou d’autres outils de traçage.

3. Obtenir le consentement en ligne

a. Scroll et Cookiewall

Obtenir le consentement d’un utilisateur sur une plateforme digitale entraîne le respect de nombreuses règles.

Les cas suivants ne sont pas considérés comme permettant d’obtenir le consentement, car ce dernier doit être donné pour toutes les finalités et sans ambiguïté :

  • Le silence ou l’inactivité des utilisateurs
  • Les cases pré-cochées dans les notices
  • Le scroll et la poursuite de navigation par l’utilisateur
  • Le cookie wall, mécanisme aussi appelé « à prendre ou à laisser », dans lequel l’utilisateur est obligé de donner son consentement sous peine de ne pas pouvoir accéder au site, ne permet pas de considérer le consentement obtenu par son application comme conforme aux exigences du règlement, en particulier à son article 4, paragraphe 11, relatif au consentement « libre ».

Le cookie wall doit donc être considéré comme illégal, sauf si le responsable du site web offre à la personne concernée la possibilité d’accéder à des contenus ou services équivalents sans donner son consentement au stockage et à l’utilisation de cookies ou d’autres outils de suivi – ce qui devra être vérifié au cas par cas.

En tout état de cause, une condition essentielle à remplir est que l’alternative proposée soit conforme aux principes du règlement tels qu’énoncés à l’article 5, paragraphe 1, et surtout à sa lettre a) selon laquelle les données à caractère personnel sont traitées de manière licite, loyale et transparente – c’est-à-dire que le respect du principe de « licéité, loyauté et transparence » est primordial.

A défaut, un cookie wall peut ne pas être considéré comme conforme à la législation en vigueur.

b. Répétition de la demande de consentement après l’échec du consentement initial

La présentation trop répétitive de la bannière de consentement après un refus est considérée comme ayant un impact sur la liberté de consentir de l’utilisateur.

Lorsqu’un utilisateur refuse ou n’accepte que certains traitements, ce choix devra être dûment enregistré et le consentement ne sera plus sollicité, sauf si :

  • Il est impossible pour l’éditeur du site de savoir qu’un cookie a déjà été stocké sur le dispositif de recueil, à l’occasion d’une visite ultérieure de l’utilisateur concerné. Par ex : lorsque l’utilisateur a supprimé ses cookies.
  • Au moins 6 mois se sont écoulés depuis la dernière présentation de la bannière.

4. Privacy by Design & Privacy by Default dès la conception

a. Mécanisme d’obtention du consentement

Le consentement doit être recueilli de manière à limiter la quantité de données recueillies au strict minimum, de façon appropriée et nécessaires pour les finalités traitées. Cette obligation s’applique à la quantité de données à caractère personnel collectées, à l’étendue de de leur traitement, à la durée de conservation et à leur accessibilité.

Il est interdit de déposer des cookies ou autres traceurs avant l’obtention du consentement ou la mention d’information.

Le recueil de consentement doit être effectué grâce au déploiement sur le site ou l’application d’une zone ou bannière présente dès le début de la navigation, où l’utilisateur peut accepter ou refuser les finalités de traitement.

Le refus peut se matérialiser par l’action de cliquer sur la « X » de fermeture de la bannière de recueil de consentement, placée à l’extrémité supérieure droite.

Le mécanisme permettant de poursuivre la navigation sans donner son consentement devra être aussi convivial et accessible que celui mis en place pour donner son consentement.

Le consentement ne peut être considéré comme ayant été valablement donné que s’il est le résultat d’une action affirmative et consciente de l’utilisateur et si cette action peut être identifiée et démontrée de manière appropriée, de sorte que le consentement en question puisse être considéré en définitive comme conforme à toutes les exigences énoncées dans le règlement.

La bannière de recueil de consentement doit contenir, outre le « X » situé en haut à droite, au moins les informations et options suivantes :

  • un avertissement indiquant que si la bannière est fermée en cliquant sur la « X » située à son extrémité supérieure droite, les paramètres par défaut restent inchangés et la navigation peut donc se poursuivre sans cookies ni autres outils de suivi autres que techniques.
  • une notice d’information minimale indiquant que le site web utilise des cookies ou traceurs techniques et peut, après avoir obtenu le consentement de l’utilisateur, utiliser également des cookies de profilage ou d’autres outils de suivi afin d’envoyer des publicités et/ou de personnaliser ses services au-delà de ce qui est strictement nécessaire pour la prestation de ces services, c’est-à-dire en fonction des préférences exprimées par l’utilisateur dans le cadre de son utilisation des fonctionnalités et de la navigation web et/ou dans le but d’analyser et de surveiller le comportement des visiteurs du site web.
  • un lien vers la politique de confidentialité, ou vers une notice d’information étendue de deuxième niveau, accessible grâce à un lien à placer dans le pied de page de toute page du domaine à laquelle l’utilisateur accède – où au moins toutes les informations visées aux articles 12 et 13 du règlement sont fournies de manière claire et complète, y compris en ce qui concerne les cookies ou outils techniques.
  • un bouton par lequel le consentement peut être donné en acceptant le stockage de tous les cookies ou l’utilisation d’autres outils de suivi
  • un lien vers une zone dédiée supplémentaire où l’utilisateur peut sélectionner, individuellement, les fonctionnalités, les dénommés tiers dont la liste doit être tenue à jour, qu’ils soient accessibles par des liens ad hoc ou par des liens vers les sites web des partenaires qui les représentent – et les cookies – éventuellement regroupés en catégories homogènes – auxquels l’utilisateur choisit de consentir. Si les cookies sont regroupés en catégories homogènes et que la liste des tiers change, comme le reflètent les liens placés dans cette zone, c’est-à-dire si des tiers supplémentaires sont inclus dans ladite liste, il incombera à l’opérateur du site web de les sélectionner avec précision et d’effectuer la supervision nécessaire pour garantir que l’inclusion de ces nouvelles entités et les traitements qui en découlent continuent d’être conformes au regroupement par catégories homogènes.

Le respect des obligations de privacy by default exige que tous les choix granulaires possibles soient prédéfinis pour refuser le stockage des cookies, de sorte que l’utilisateur puisse accepter leur stockage également de manière individuelle.

Lorsque seuls des cookies ou traceurs techniques sont utilisés, ils peuvent être mentionnés sur la page d’accueil ou bien dans la notice d’information générale sans qu’il soit nécessaire d’afficher des bannières de recueil de consentement.

Indépendamment de la configuration adoptée, des couleurs utilisées pour les boutons et, en définitive, des modalités d’application choisies – l’action affirmative que l’utilisateur est habilité à effectuer lors de son premier accès à un site web doit en tout cas viser à donner son consentement (dit « opt-in ») et ne peut jamais consister à refuser ce consentement (dit « opt-out »).

L’utilisateur doit avoir la possibilité de modifier ses choix, c’est-à-dire de donner son consentement après l’avoir refusé et de le retirer, à tout moment, de manière simple, facile et conviviale, par le biais d’une zone ad hoc accessible par un lien dans le pied de page du site ; ce lien devra signaler l’objectif sous-jacent par une mention telle que « Changer d’avis sur le partage de vos données » ou quelque chose de ce genre.

Afin de permettre effectivement à un utilisateur de changer d’avis et donc de faire respecter son droit à faire librement ses choix, le Garante propose une bonne pratique : placer un signe graphique, une icône ou tout autre outil technique sur chaque page du domaine concerné, également à proximité du lien vers la zone de sélection des options, afin de signaler – également de manière sommaire – la configuration du consentement applicable à l’utilisateur donné et de permettre ainsi de modifier ou de mettre à jour cette configuration à tout moment.

A chaque fois que la bannière contenant la note d’information et les options de l’utilisateur s’affichera à nouveau, ainsi qu’à chaque fois que l’utilisateur modifiera ses choix initiaux dans les conditions décrites ci-dessus, les options sélectionnées lors des accès ultérieurs devront annuler et remplacer les précédentes, c’est-à-dire que les nouvelles options s’appliqueront dans tous les cas, que le consentement soit donné après avoir été initialement refusé ou qu’il soit retiré après avoir été initialement donné.

Afin de garantir que les utilisateurs ne soient pas influencés ou affectés par des dispositions conceptuelles qui les amèneraient à préférer une option plutôt qu’une autre, il est fondamental de s’appuyer en outre sur des commandes et des caractères de même taille, de même accentuation et de même couleur, et que toutes ces commandes et tous ces caractères soient également faciles à voir et à utiliser.

Le responsable du traitement devra prendre les mesures appropriées pour tenir à jour les registres des choix effectués par la personne concernée. Une preuve de tous les choix des utilisateurs recueillis doit être conservée par le responsable du traitement des données personnelles.

b. Cookies analytiques first ou third party

Les cookies peuvent également être utilisés pour évaluer l’efficacité d’un service de la société de l’information fourni par un éditeur, pour concevoir un site web ou pour aider à mesurer son  » trafic « , c’est-à-dire le nombre de visiteurs, éventuellement ventilé par zone géographique, par tranche horaire ou par d’autres caractéristiques.

La Garante a indiqué dans sa décision de mai 2014 que les cookies analytiques appartiennent à la catégorie des cookies techniques et peuvent être utilisés sans le consentement préalable de la personne concernée, si certaines conditions sont remplies :

  • il est essentiel d’empêcher l’identification directe – c’est-à-dire la singularisation – de la personne concernée par leur utilisation, ce qui revient à empêcher l’utilisation de cookies analytiques qui peuvent fonctionner comme des identifiants directs et uniques en raison de leurs caractéristiques.
  • les cookies analytiques devront être structurés de manière à permettre au même cookie de se rapporter à plusieurs dispositifs, ce qui créera une incertitude raisonnable quant à l’identité informatique du destinataire du cookie. On y parvient généralement en masquant les parties appropriées de l’adresse IP dans le cookie. Compte tenu de la représentation IPv4 32 bits des adresses IP, qui sont généralement représentées et utilisées comme une séquence de quatre nombres décimaux séparés par des points et compris entre 0 et 255, l’une des mesures qui peuvent être mises en œuvre pour bénéficier de ladite exemption est le masquage d’au moins le quatrième composant de l’adresse IP, qui crée une incertitude de 1/256 (environ 0,4 %) dans l’attribution du cookie à une personne concernée spécifique. Des procédures similaires devraient être adoptées en ce qui concerne les adresses IPv6, qui ont une structure très différente et un espace d’adressage beaucoup plus grand puisqu’elles sont constituées de nombres binaires de 128 bits.
  • Les cookies analytiques sont utilisés uniquement pour la production de statistiques agrégées et en relation avec un site web ou une application mobile individuelle, afin de ne pas permettre de suivre la navigation d’une personne sur différentes applications ou sites web. Par conséquent, les tiers qui fournissent des services de mesure du Web aux éditeurs ne doivent pas associer les données, même si elles sont réduites au minimum de la manière décrite ci-dessus, à d’autres informations (telles que les dossiers des clients ou les statistiques concernant les visites sur d’autres sites Web) ni transmettre ces données à d’autres tiers, car cela entraînerait une augmentation inacceptable des risques d’identification des utilisateurs. Toutefois, les analyses statistiques concernant plusieurs domaines, sites web ou applications qui peuvent être rattachés à un seul responsable du traitement peuvent être considérées comme licites même en l’absence des mesures de minimisation susmentionnées – à condition que ces analyses soient effectuées au moyen des ressources propres du responsable du traitement et ne se transforment pas en activités qui vont au-delà du comptage statistique et prennent finalement les caractéristiques d’opérations de traitement visant à permettre la prise de décisions liées à l’entreprise.

5. Nouvelles exigences applicables aux notices d'information

a. Les informations à fournir en vertu du règlement

Pour que l’utilisateur puisse donner son consentement en toute connaissance de cause, le responsable du traitement doit l’informer des éventuels destinataires supplémentaires de ses données personnelles et de la période de conservation des informations obtenues.

Il est également nécessaire de fournir les informations sur la manière dont les personnes physiques peuvent exercer tous les droits prévus par le règlement, y compris le droit de présenter une demande d’accès et d’introduire une plainte auprès d’une autorité de contrôle.

Les informations peuvent être fournies non seulement selon une approche multicouche, mais aussi – en tenant compte du contexte spécifique – par le biais de plusieurs canaux et arrangements, c’est-à-dire selon une approche multicanale.

Cela peut permettre de tirer le meilleur parti de points de contact plus dynamiques et moins traditionnels entre le responsable du traitement et les personnes concernées.

Citons par exemple l’utilisation croissante des canaux vidéo, des popups d’information, des interactions vocales, des assistants virtuels, des messages téléphoniques, des chatbots, etc.

Il appartiendra alors au responsable du traitement, qui est habilité à décider de la méthode ou de l’ensemble de méthodes considérées comme les plus appropriées, de vérifier que le système mis en place répond aux exigences fixées par le règlement notamment quant à sa rigueur, sa clarté, son efficacité et sa facilité d’utilisation.

Il incombera au responsable du traitement de prendre toutes les mesures appropriées pour que les informations contenues dans la bannière soient accessibles sans aucune discrimination aux personnes handicapées qui ont besoin de technologies d’assistance ou de configurations spécifiques aux termes de la loi n° 4 du 9 janvier 2004, modifiée en dernier lieu par la loi n° 120 du 11 septembre 2020.

b. La nécessité de compléter les informations à communiquer aux utilisateurs

Il n’existe pas, à ce jour, de système universellement accepté de codage sémantique des cookies et autres outils de traçage permettant de distinguer objectivement, par exemple, les cookies techniques des cookies analytiques ou de profilage – sauf sur la base des informations fournies par le responsable du traitement dans sa politique de confidentialité.

Il a également été constaté que les interrogations et les contrôles sur le stockage des cookies par un site web spécifique peuvent avoir des résultats différents selon le navigateur concerné.

À la lumière de ce qui précède, et dans l’attente de la mise en place rapide de normes de codage globales – ce qui est particulièrement important dans le monde en ligne connecté actuel, où les distances géographiques perdent de leur importance en raison du potentiel croissant du réseau – la Garante souhaite rappeler aux responsables du traitement qui utilisent ces outils la nécessité de divulguer, par le biais d’une intégration aux informations fournies, au moins les critères de codage des identifiants qu’ils mettent en œuvre. Alternativement, les responsables du traitement pourraient envisager de placer ledit codage également dans leur politique de confidentialité.

Ces critères peuvent également être communiqués à l’Autorité sur demande, en tant qu’outil pour soutenir toute activité d’enquête qui sera entreprise sur les questions en question.

En conclusion

Le régulateur italien a décidé de durcir l’ensemble des recommandations et lignes directrices en matière de cookies et traceurs afin de permettre aux internautes et mobinautes de donner leur consentement en pleine conscience, en connaissant l’ensemble des traitements qui pourront être effectuées sur leurs données personnelles, et ce qu’implique le dépôt de cookies ou autres traceurs sur leurs ordinateurs ou mobiles.

Ces nouvelles mesures, applicables au 9 janvier 2022, sont implémentables dans notre produit AppConsent via le back-office.

Contactez-nous

Si vous avez des questions ou besoins d’accompagnement, notre équipe est à votre disposition pour vous guider dans ces nouvelles recommandations, et les mettre en place sur vos sites internet et applications mobiles, si ceux-ci sont disponibles et diffusées en Italie.

Vous êtes déjà client, contactez-nous sur support-cmp@sfbx.io.

Vous n’êtes pas encore client, écrivez-nous à sales@sfbx.io.

Ecrit et publié par l’équipe SFBX le 21 décembre 2021

Ad4good c’est quoi ?

Ad4good est le premier réseau publicitaire solidaire. Si vous acceptez la publicité personnalisée sur notre site, vous participez au financement d’une quarantaine d’associations qui en ont besoin.

Voir la liste complète des associations sur le site de Ad4good

Le réseau Ad4good met en place 3 actions pour assurer sa mission :

  • Partenariat entre éditeurs et Ad4Good : une partie de l’inventaire de l’éditeur est réservée à la diffusion de publicités solidaires. Ces publicités sont monétisées par Ad4good qui reverse ensuite 50% de sa marge aux associations sous forme de dons.
  • Partenariat entre annonceurs et associations : chaque publicité diffusée par l’annonceur lors d’une campagne labellisée « Ad4Good«  génère un don pour l’association partenaire de la campagne.  
  • Partenariat entre éditeurs et associations : Ad4good propose aux éditeurs d’offrir de la visibilité aux associations partenaires en leur réservant des emplacements publicitaires non-utilisés.

Pour permettre aux associations de continuer leurs actions, vous pouvez accepter globalement ou paramétrer le détail en autorisant Stocker et/ou accéder à des informations sur un terminal ainsi que Publicité personnalisée.

Ad4good, partenaire de la CMP AppConsent® pour une publicité responsable et éthique

Nous sommes partenaires avec le réseau Ad4good, le premier réseau publicitaire solidaire qui regroupe une quarantaine d’associations.

Voir la liste complète des associations sur le site de Ad4good

Le réseau Ad4good met en place 3 actions pour assurer sa mission :

  • Partenariat entre éditeurs et Ad4Good : une partie de l’inventaire de l’éditeur est réservée à la diffusion de publicités solidaires. Ces publicités sont monétisées par Ad4good qui reverse ensuite 50% de sa marge aux associations sous forme de dons.
  • Partenariat entre annonceurs et associations : chaque publicité diffusée par l’annonceur lors d’une campagne labellisée « Ad4Good » génère un don pour l’association partenaire de la campagne.  
  • Partenariat entre éditeurs et associations : Ad4good propose aux éditeurs d’offrir de la visibilité aux associations partenaires en leur réservant des emplacements publicitaires non-utilisés.

Qu’est-ce que cela change pour votre audience ?

En optant pour l’offre AppConsent® Xchange Solidaire, votre participation sera mentionnée sur le premier écran de votre notice de consentement.
Si un utilisateur refuse la collecte pour les finalités publicitaires, un écran de rappel lui sera affiché afin qu’il puisse modifier ses choix s’il souhaite être un acteur du changement vers une publicité plus éthique.

Quels sont les critères d’éligibilité ?

En pré-requis, votre site internet doit diffuser de la publicité. Une fois inscrit à AppConsent® Xchange Solidaire, une diffusion significative d’au moins 20% de publicités responsables doit être opérée sur votre site.

L’offre AppConsent® Xchange Solidaire vous propose de prendre part à un écosystème de publicité plus responsable tourné vers la solidarité et la préservation de l’environnement.