Découvrez les règles de confidentialité des données qui s’appliquent à votre entreprise et comment celles-ci peuvent affecter vos activités dans d’autres pays. Voici un tour d’horizon des plus importantes lois internationales sur la confidentialité des données.
De nouvelles réglementations relatives à la protection des données et de nouveaux cadres de protection de la vie privée voient le jour dans le monde entier.
De nombreux pays ont désormais établi des règles et des lignes directrices concernant les cookies et le consentement, ainsi que la manière dont vous devez gérer les informations personnelles que la plupart des cookies collectent sur votre site web.
Afin de vous aider à naviguer dans ce nouveau paysage, nous avons recueilli des informations pratiques sur les lois nationales et internationales régissant la protection de la vie privée ainsi que diverses lignes directrices relatives aux cookies, et sur la manière dont votre entreprise peut s’y conformer.
Vous trouverez de plus amples informations quant aux règles et lignes directrices spécifiques à chaque pays dans les sections ci-dessous.
Le règlement général sur la protection des données (RGPD) est une loi sur la protection des données et la vie privée dans l’Union européenne. Il est entré en vigueur le 25 mai 2018 dans tous les États membres européens et vise à harmoniser les lois sur la confidentialité des données à travers l’Europe. Le RGPD vise à protéger la confidentialité des données des citoyens de l’UE et à remodeler l’approche des organisations en matière de collecte de données personnelles.
Le RGPD veille spécifiquement à ce que les données personnelles soient collectées et traitées sur une base légale. Cela inclut l’utilisation de cookies et d’autres technologies de suivi.
Un grand nombre de cookies – et de technologies de suivi – utilisés aujourd’hui par les sites web collectent les informations personnelles de leurs visiteurs, qui sont traitées par des tiers à des fins de marketing.
Il s’agit généralement des adresses IP, de la géolocalisation et d’autres identifiants en ligne qui permettent de suivre le comportement des utilisateurs sur le web.
Lorsque vous utilisez des cookies qui collectent des informations personnelles, vous devez recueillir un consentement valide de votre utilisateur pour pouvoir utiliser ces cookies. Cela s’applique même si les cookies sont installés par des tiers comme Google, Facebook, Amazon, etc. par le biais de votre site web.
Découvrez dans cet article approfondi comment vous – en tant qu’entreprise – recueillez un consentement valide pour l’utilisation de cookies.
La directive ePrivacy (directive 2002/58/CE sur la vie privée et les communications électroniques) est un décret européen de 2002. L’objectif de la directive ePrivacy consiste à uniformiser les règles de protection des données et de la vie privée dans les communications électroniques au sein de l’Union européenne (UE).
La directive ePrivacy régit l’utilisation des cookies, les autorisations de marketing par courrier électronique et d’autres domaines ayant trait à la confidentialité des données concernant les citoyens de l’UE.
C’est en grande partie la raison pour laquelle nous observons aujourd’hui un nombre croissant de bannières de cookies sur Internet.
Cette directive n’est pas une loi contraignante en soi – comme le RGPD – mais une instruction pour les États membres afin d’approuver leur propre loi nationale sur le sujet. C’est ce qu’ont mis en œuvre de nombreux pays de l’UE, d’où l’existence de directives nationales relatives aux cookies.
Ratifiée en 2002, révisée en 2009, la directive ePrivacy sera finalement remplacée par le règlement ePrivacy
Le règlement ePrivacy (règlement sur la vie privée et les communications électroniques) doit remplacer la directive ePrivacy, plus connue sous le nom de loi européenne sur les cookies.
L’objectif de ce règlement vise à uniformiser les lois sur la protection de la vie privée en Europe, qui s’appliqueront à tous les États membres.
Le but est d’étendre la protection de la vie privée des consommateurs en ligne afin de mieux refléter le monde dans lequel nous vivons. Son prédécesseur, la directive ePrivacy, a été promulguée en 2002, à une époque où le suivi et les données personnelles n’en étaient qu’à leurs débuts.
Le règlement ePrivacy s’appliquera à tous les fournisseurs de services de communication et aux entreprises qui collectent, stockent et traitent les données des citoyens européens, que ce soit sur des sites web ou des apps, en utilisant des cookies ou toute autre technologie de suivi (par ex., empreintes digitales, balises, pixels).
Le règlement ePrivacy était censé entrer en vigueur en même temps que le RGPD en 2018, mais il a été retardé à de multiples reprises au Parlement européen.
Le California Consumer Privacy Act (Loi californienne sur la protection de la vie privée des consommateurs – CCPA) est une loi sur la confidentialité des données qui vise à renforcer les droits à la vie privée et la protection des consommateurs pour les résidents de Californie, aux États-Unis.
Prenant effet le 1er janvier 2020, le CCPA réglemente la manière dont les entreprises peuvent collecter, partager et traiter les informations personnelles (IP) des résidents californiens.
Pour les entreprises, le CCPA signifie le respect des droits à la vie privée des consommateurs tels que décrits dans la loi. Les entreprises doivent évaluer la collecte et l’utilisation des données (traitement) et prendre les mesures nécessaires pour répondre aux exigences strictes du CCPA
Ce lien permet aux visiteurs de refuser la publicité et la collecte de données à partir de cookies sur votre site web.
Le non-respect du CCPA peut entraîner des pénalités allant jusqu’à 7 500 dollars pour chaque violation et 750 dollars pour chaque utilisateur concerné en dommages civils.
Découvrez si votre entreprise est concernée par le CCPA et comment vous pouvez vous mettre en conformité avec cette loi
Le Californian Privacy Rights Act ( Loi californienne sur les droits à la vie privée – CPRA) apporte plusieurs compléments au Californian Consumer Privacy Act (CCPA).
La CPRA prend effet le 1er janvier 2023 mais est en vigueur depuis le 1er juillet 2022. Toutefois, les entreprises doivent déjà s’y conformer un an auparavant (à partir du 1er janvier 2022). Le CPRA élargit le CCPA en augmentant les droits des consommateurs et en renforçant la protection de la vie privée des consommateurs et des employés.
En outre, le CPRA crée un organisme chargé de faire respecter la loi afin de protéger plus efficacement les consommateurs californiens. Le CPRA exige des entreprises californiennes ou des entreprises collectant et traitant des données personnelles de citoyens californiens qu’elles comprennent parfaitement quelles données elles traitent et dans quel but.
La loi générale sur la protection des données (Lei Geral de Proteção de Dados Pessoais – LGPD) est une loi brésilienne sur la confidentialité des données qui est entrée en vigueur le 15 août 2020.
La LGPD clarifie le cadre juridique brésilien en tentant d’unifier plus de 40 lois différentes régissant l’utilisation des données personnelles.
Inspiré du règlement général européen sur la protection des données (RGPD), la LGPD établit des règles sur la manière dont les entreprises et les organisations sont autorisées à collecter, traiter, stocker et partager les données personnelles des citoyens du Brésil.
Comme le RGPD, la LGPD exige des propriétaires de sites web qu’ils recueillent un consentement valide pour les cookies si ces derniers collectent des informations personnelles des visiteurs comme l’adresse IP, la géolocalisation, l’ID utilisateur, l’ID cookie, etc.
Découvrez dans cet article approfondi comment vous – en tant qu’entreprise – recueillez un consentement valide pour l’utilisation de cookies au Brésil.
La loi thaïlandaise sur la protection des données personnelles (PDPA) a été publiée dans la Gazette du gouvernement royal thaïlandais le 27 mai 2019, et constitue la première loi régissant la protection des données en Thaïlande.
L’objectif principal de la PDPA thaïlandaise consiste à réglementer le traitement des données personnelles à des fins commerciales, protégeant ainsi les citoyens thaïlandais contre la collecte et l’utilisation illégales de leurs données personnelles.
La PDPA s’applique à toute entreprise ou organisation située en Thaïlande et à toute société faisant des affaires en Thaïlande.
Le Conseil des ministres de la Thaïlande a reporté l’application de la PDPA au 31 mai 2022, en raison des effets de Covid-19.
Découvrez dans cet article approfondi comment vous – en tant qu’entreprise – recueillez un consentement valide pour l’utilisation de cookies.
La POPIA est la loi sud-africaine sur la protection des informations personnelles. La POPIA définit les informations personnelles de manière large afin de garantir le droit à la vie privée de la population sud-africaine, mais la loi s’inspire du règlement général européen sur la protection des données (RGPD).
La POPIA s’applique à toute organisation ou entreprise qui souhaite traiter les informations personnelles de citoyens sud-africains, que l’entreprise soit située en Afrique du Sud ou ailleurs.
LA POPIA définit le consentement comme suit : « toute manifestation de volonté volontaire, spécifique et informée en vertu de laquelle l’autorisation est donnée pour le traitement d’informations personnelles ».
La collecte d’un consentement valide peut se faire à l’aide d’une pop-up de consentement aux cookies qui informe de la présence de cookies sur votre site web, recueille et stocke tous les consentements des utilisateurs.
La POPIA est entré en vigueur le 1er juillet 2020 et sa mise en œuvre a commencé le 1er juillet 2021. La non-conformité à la loi POPIA peut entraîner des amendes allant jusqu’à 10 millions de ZAR (500 000 €).
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi canadienne relative à la collecte, à l’utilisation et au traitement des renseignements personnels dans le cadre d’activités commerciales.
Cela signifie que si vous détenez un site web et que vous utilisez des services qui définissent des cookies par le biais de votre site (par ex., Google Analytics, Facebook, YouTube ou tout autre fournisseur tiers), vous devez recueillir un consentement valide pour les cookies avant que ceux-ci ne soient stockés sur l’ordinateur/le téléphone de votre visiteur.
Recueillez les consentements valides à l’aide d’une pop-up de consentement aux cookies qui informe les utilisateurs des cookies de votre site web, recueille et stocke leurs consentements valides.
Les informations personnelles ne peuvent être utilisées qu’aux fins pour lesquelles elles ont été collectées. Si une organisation souhaite les utiliser à d’autres fins, elle doit obtenir à nouveau le consentement des intéressés.
La LPRPDE s’applique à toute entreprise ou organisation à l’intérieur des frontières du territoire canadien, mais également à toute personne de l’extérieur faisant affaire avec des citoyens canadiens.
L’objectif du TCF 2.0 vise à normaliser les processus d’obtention du consentement des visiteurs de sites web pour la collecte et le traitement de leurs données personnelles.
Le TCF 2.0 vise à accroître la transparence sur la manière dont les données des utilisateurs sont traitées et par qui, afin que les entreprises, les éditeurs et les fournisseurs AdTech puissent continuer à gérer la publicité programmatique en conformité avec le règlement général sur la protection des données (RGPD).
En juillet 2020, la Cour de justice de l’Union européenne a statué dans l’affaire Schrems II, annulant immédiatement l’accord de Bouclier de protection de la vie privée UE-États-Unis (“EU-US Privacy Shield “) sur lequel de nombreuses entreprises s’appuyaient pour transférer des données personnelles entre les deux territoires.
Le Bouclier de protection des données a été invalidé en raison des inquiétudes des Européens, qui craignaient que les données des citoyens européens ne soient soumises à la surveillance de l’État et des services de renseignement américains.
L’arrêt est communément appelé Schrems II, du nom de l’avocat et activiste autrichien Max Schrems, qui a entamé des poursuites judiciaires contre Facebook et ses méthodes de transfert de données personnelles.
Le 4 juin 2021, la Commission européenne a remplacé l’ancien Bouclier de protection des données par des clauses contractuelles types (CCS) pour le transfert de données personnelles entre l’UE et des pays tiers non sécurisés (y compris les États-Unis).
L’arrêt Schrems II vous concerne en tant que responsable du traitement des données si vous :
Transférez des données personnelles hors de l’UE/EEE vers des pays qui ne sont pas déclarés « pays tiers sécurisés » par la Commission européenne.
Commencez par obtenir une vue d’ensemble des données que votre organisation transfère hors de l’UE/EEE.
Ensuite, il faut examiner la base du transfert, qui pourrait être dans ce cas les Clauses Contractuelles Types (CCT).
Si vous avez un site web qui utilise des cookies qui sont définis par des services basés aux États-Unis ou qui partagent des données avec des sociétés américaines, vous devez :
Si les CCT ne sont pas possibles, voici les approches suivantes :
La loi sur la protection des informations personnelles de la République populaire de Chine (PIPL) est la première loi nationale sur la confidentialité des données adoptée en Chine.
La PIPL est entrée en vigueur le 1er novembre 2021 et aura un impact considérable sur la manière dont les entreprises et les organisations collectent, gèrent et traitent les données personnelles des citoyens chinois.
La PIPL s’inspire du règlement général européen sur la protection des données (RGPD) et impose des restrictions strictes à la collecte, au traitement et au transfert des données. La loi se concentre principalement sur l’utilisation par les sites web et les applications des données personnelles pour cibler les utilisateurs à des fins de marketing, et pour inhiber le transfert d’informations personnelles vers des pays non sécurisés.
L’objectif de la PIPL consiste à protéger les droits et les intérêts du peuple chinois et à réglementer les activités de traitement des informations personnelles.
Cela signifie que si vous utilisez des cookies sur votre site web, vous devez recueillir un consentement valide.
Les visiteurs doivent être informés des cookies que vous utilisez, et consentir à leur utilisation, même s’ils sont définis par des fournisseurs tiers comme Taobao, Tmall ou tout autre service sur ou en dehors du territoire chinois.
Le consentement dans le cadre de la PIPL est défini de la même manière que les exigences strictes en matière de consentement dans le cadre du RGPD. Le consentement doit être éclairé, librement donné, spécifique et sans ambiguïté.
Le Google Consent Mode est une API de Google annoncée en septembre 2020 comme un moyen pour Google de maintenir son activité de publicité numérique robuste tout en répondant au besoin croissant de confidentialité des consommateurs.
Cette API permet aux sites web d’obtenir des données pour leurs services Google, comme Google Analytics et Google Ads, tout en respectant la conformité au RGPD.
Le Google Consent Mode est intégré à la plateforme de gestion des consentements d’un site Web pour fournir des données en fonction du choix de consentement des visiteurs du site.
Voici comment obtenir le Google Consent Mode pour votre site Web professionnel.
Les règles relatives à la manière de recueillir un consentement valable pour les cookies et autres technologies de suivi sont de plus en plus harmonisées dans le monde entier.
De plus en plus de pays mettent à jour ou appliquent des lois sur la protection des données afin de fournir aux entreprises des directives claires sur la manière de collecter et d’utiliser les données personnelles.
Les règles relatives à la collecte d’un consentement valide et d’autres aspects des lois sur la protection des données peuvent s’avérer complexes et il existe de nombreuses interprétations différentes sur la manière de rester conforme.
Cette section vous aidera à comprendre les règles qui s’appliquent à la collecte du consentement pour les cookies, les analyses de sites web et autres technologies de suivi dans votre pays spécifique.
Au Danemark, les règles relatives aux cookies sont déclarées dans la loi danoise sur les cookies (“Cookiebekendtgørelsen”) administrée par l’autorité commerciale danoise (“Erhvervsstyrelsen”).
Toutefois, le traitement des données personnelles que la plupart des cookies et des technologies de suivi collectent est administré par l’autorité danoise de protection des données (” Datatilsynet “), et les règles sont alignées sur les règles de traitement des données du règlement général sur la protection des données (RGPD).
Les directives relatives à l’obtention d’un consentement valable au Danemark sont assez strictes et ont récemment été mises à jour par l’autorité danoise de protection des données.
Dans cet article, nous approfondissons les directives pour recueillir un consentement valide aux cookies au Danemark.
En Norvège, les règles relatives aux cookies se trouvent dans la loi norvégienne sur la communication électronique (Lov om Elektronisk Kommunikasjon – EKOM).
En 2013, une nouvelle décision a été ajoutée à la loi EKOM concernant l’utilisation des informations stockées dans les cookies, le « paragraphe cookies » §2-7b.
En novembre 2019, l’Autorité nationale norvégienne de la communication (Nasjonale Kommunikasjonsmyndighet – NKOM), qui administre la loi, a explicitement déclaré que le consentement est nécessaire avant que des cookies puissent être installés sur un site web.
Si les cookies collectent et traitent des données personnelles, les règles de consentement devraient correspondre à la définition établie par le règlement général sur la protection des données (RGPD), ajoute l’autorité norvégienne de protection des données (« Datatilsynet »).
Nous approfondissons ici les directives relatives à la collecte d’un consentement valide aux cookies en Norvège.
Selon la loi suédoise sur la communication électronique 2003 : 389 (Lag om Elektronisk Kommunikation – LEK), tous les sites web qui utilisent des cookies doivent donner aux visiteurs un accès complet aux informations concernant les cookies utilisés, leur propriétaire et les données qu’ils collectent.
En outre, le site web est tenu d’obtenir le consentement du visiteur pour placer les cookies.
Dans cet article, nous approfondissons les directives pour recueillir un consentement valide aux cookies en Suède.
Si votre site web utilise des cookies, vous devez recueillir un consentement valide Le 4 mai 2021, l’agence finlandaise des transports et des communications Traficom a publié des changements aux directives finlandaises sur les cookies.
La mise à jour tant attendue met fin à la saga des cookies finlandais, car les directives s’alignent désormais sur les règles de consentement déclarées par le règlement général sur la protection des données (RGPD).
Le consentement aux cookies ne peut plus être donné via les paramètres du navigateur mais doit répondre aux exigences du RGPD.
Le consentement aux cookies doit être librement donné, spécifique, informé et sans ambiguïté. Cette nouvelle décision devrait avoir un impact sur des milliers de sites web d’entreprises et modifier les pratiques en matière d’obtention du consentement aux cookies.
Dans cet article, nous approfondissons les directives pour recueillir un consentement valide aux cookies en Finlande.
Les directives françaises relatives aux cookies sont administrées par la Commission nationale de l’informatique et des libertés (CNIL) et sont très proches des règles de consentement du Règlement général sur la protection des données (RGPD).
Avec les dernières directives françaises sur les cookies, la CNIL détermine que les sites web ne sont pas autorisés à placer des cookies pour suivre les visiteurs avant que ceux-ci n’aient donné leur consentement explicite.
La CNIL a révisé ses lignes directrices sur les cookies le 1er octobre 2020, et a gravé dans le marbre les règles du consentement. Voici quatre points à retenir des lignes directrices de la CNIL :
La CNIL a infligé certaines des plus grosses amendes au titre du RGPD à des entreprises big-tech pour utilisation illicite de cookies et traitement des données personnelles des visiteurs de sites web.
Dans cet article, nous approfondissons les lignes directrices pour recueillir un consentement valide aux cookies en France.
Les lignes directrices italiennes relatives aux cookies sont administrées par l’autorité italienne de protection des données « Il Garante ». Le 10 juillet 2021, Il Garante a publié une nouvelle série de lignes directrices relatives à l’utilisation des cookies sur les sites web.
Le principal changement introduit par Il Garante réside dans la nécessité d’obtenir le consentement explicite des visiteurs du site web pour utiliser des cookies qui collectent et traitent des données personnelles, c’est-à-dire des cookies de suivi.
L’autorité italienne de protection des données met en évidence un certain nombre d’exigences pour recueillir un consentement valide aux cookies, qui sont alignées sur les lignes directrices récemment publiées par la CNIL en France, l’AEPD en Espagne et le Datatilsynet au Danemark.
L’objectif des lignes directrices révisées vise à garantir que les propriétaires de sites web et les entreprises italiennes reçoivent des informations claires sur la manière de se conformer au RGPD et à la directive ePrivacy (la « loi européenne sur les cookies ») lorsqu’ils utilisent des cookies et d’autres technologies de suivi.
Dans cet article, nous approfondissons les directives relatives à la collecte d’un consentement valide aux cookies en Italie.