Spécificités légales sur le consentement dans différents pays

Cet article vous permettra de vous rendre compte des différences et similarités en matière de consentement selon le pays.

Voici la légende qui vous aidera à comprendre, à travers des cas précis, comment le consentement s'applique selon le pays. 

✔️ Oui !

❌ Non !

❓ Pas spécifié/Pas de donnée claire

⚙️ Plus d'informations sur les standards du pays en question

* Renvois vers la fin de l'article, à la section dédiée aux APD (Autorités de Protection de Données ) et à leurs législations respectives

 

⚠️Dernière mise à jour : 13 avril 2022

📆 En décembre 2020, l'Autorité de Protection de Données Italienne ("Garante per la Protezione dei Dati Personali*") a reconsidéré son cadre légal sur les cookies qui divergeait parfois du RGPD, entré en force plus tôt : il pourrait donc y avoir d'importantes évolutions légales à l'avenir. Vous pourrez en prendre connaissance et anticiper ces potentiels changements grâce à cet article (cf. 🔎).

🍪 Est-ce que des boutons présentant explicitement "Accepter" et "Refuser" sont requis sur une bannière de consentement  ?

 

    France ✔️ ⚙️ Les boutons "Accepter" et "Refuser" doivent être tout aussi visibles (de manière égale).
        GB ✔️ ⚙️ Le bouton "Tout refuser" n'est pas obligatoire bien que préférable, une alternative identique (au vu du non-traitement du consentement) reste conforme. Il devra être aussi visible que l'option de choix granulaire et le bouton "Accepter".
  Espagne

✔️

⚙️ 2 choix :

"Accepter" et "Refuser" OU "Accepter" et un lien sur la notice de consentement vers la politique de confidentialité permettant un choix granulaire par finalité.

    Irlande ✔️ ⚙️ Les boutons "Accepter" et "Refuser" doivent être tout aussi visibles (de manière égale).
   Belgique  ❓

⚙️ Possibilité de retirer le consentement aussi facilement que de le donner : l'internaute doit en être informé au moment de donner son consentement.

 Allemagne ✔️

 

   Portugal  ✔️ ⚙️ Best practice, surtout pour récupérer la preuve de consentement.
      Italie ✔️  
    Pologne  ❓ ⚙️ Non spécifié : le consentement doit être donné librement (action autonome de l'internaute), spécifique, informé et non-ambigu. Il peut être collecté par d'autres moyens : si le consentement implique de cocher une case, on doit pouvoir la décocher facilement.
    Croatie  ❓ ⚙️ Non spécifié : le consentement doit être donné librement (action délibérée de l'internaute), spécifique, informé et non ambigu. Il peut être collecté par d'autres moyens : si c'est par le cochage de la case appropriée, l'utilisateur doit pouvoir la décocher aussi facilement.
Norvège ✔️ ⚙️La forme de la case de consentement est standard : accepter tout / refuser tout ou n'accepter que les cookies essentiels, avec une 2ème bannière plus précise.
Finlande ✔️ ⚙️La forme de la case de consentement est standard : accepter tout / refuser tout ou n'accepter que les cookies essentiels, avec une 2ème bannière plus précise.
Suède ✔️ ⚙️La forme de la case de consentement est standard : accepter tout / refuser tout ou n'accepter que les cookies essentiels, avec une 2ème bannière plus précise.
Danemark ✔️ ⚙️La forme de la case de consentement est standard : accepter tout / refuser tout ou n'accepter que les cookies essentiels, avec une 2ème bannière plus précise.

🍪 Est-il indispensable de bloquer les cookies avant de recueillir le consentement de l'utilisateur ?

 

     France ✔️
         GB ✔️
   Espagne

✔️

     Irlande ✔️
   Belgique ✔️
 Allemagne ✔️
   Portugal  ✔️
       Italie ✔️
    Pologne ✔️
     Croatie ✔️
       EDPB ✔️
Norvège ✔️
Finlande ✔️
Suède ✔️
Danemark ✔️

🍪 Les cookie walls sont-ils légaux ?

 

     France

 ✔️ ⚙️ Flou juridique : ils ne sont pas formellement interdits pour le moment, leur légalité s'apprécie au cas-par-cas. En cas de plainte par exemple, la CNIL* mène l'enquête et peut les invalider si nécessaire.
         GB  ❌ ⚙️ "Généralement non valides" selon l'ICO*.
   Espagne

 ❌

⚙️ Les cookies walls sont acceptés seulement si l'internaute a une alternative pour accéder au service sans accepter les cookies (AEPD*)
     Irlande   ❓ Généralement non légaux, mais non spécifié.
   Belgique  ❌  
 Allemagne  ❌  
   Portugal   ❌  
       Italie  ❌ 🔎 A l'avenir, l'internaute devrait peut-être avoir l'option d'accéder à un contenu/service équivalent sans avoir à donner son consentement (processus au cas-par-cas avec la GPDP*).
    Pologne  ❌ ⚙️ cf. les directives de l'EDPB* : si la plateforme bloque le contenu tant que l'utilisateur n'a pas accepté les cookies, le consentement n'est pas considéré comme étant librement recueilli.
     Croatie    ❌  
      EDPB  ❌  
Norvège  
Finlande  
Suède  
Danemark  

    🍪 Quelle est la durée de validité du choix de consentement une fois collecté ?

     

          France     6 mois ⚙️ Les cookies d'analyse ne peuvent pas durer plus de 13 mois. L'information collectée par les cookies ne peut pas être stockée plus de 25 mois. 
              GB     6 mois ⚙️ Selon l'ICO*, la durée de consentement doit être justifiable pour la finalité en question du cookie. Les utilisateurs doivent être informés de la durée de stockage des cookies. 
        Espagne

       24 mois maximum

    ⚙️ L'AEPD* dit que le consentement peut être demandé à nouveau 24 mois maximum après qu'il ait été collecté.
          Irlande     6 mois  
        Belgique          ❓ ⚙️ Le consentement à un cookie ne peut être stocké plus longtemps que nécessaire à la réalisation de la finalité en question.
      Allemagne          ❓  
        Portugal           ❓  
            Italie          6 mois 🔎 Cela pourrait changer à l'avenir avec les nouvelles directives de la GDPD*.
         Pologne          ❓ ⚙️ Pas de durée limite spécifique pour l'UODO*, qui recommande la best practice de l'EDPB : renouvellement du consentement régulièrement. Cela permet de fournir toute l'information nécessaire à nouveau et s'assurer que l'objet du traitement demeure informé quant à leur traitement et l'exercice de nos droits.
          Croatie         ❓

    ⚙️ Les cookie de session par exemple, qui fonctionnent sur la durée de session du navigateur ou légèrement plus longtemps, doivent avoir une durée de vie courte et expirer une fois que la finalité a été complétée. La durée de vie avant expiration doit être proportionnelle à la finalité.

           EDPB          ❓ ⚙️ Directives de l'EDPB* : "En principe, il est suffisant de demander le consentement une fois. Cependant, les contrôleurs de données ont bien besoin d'obtenir un nouveau consentement spécifique si les finalités pour le traitement des données évoluent après que le consentement ait été collecté ou si une finalité supplémentaire a été envisagée."
    Norvège   
    Finlande  
    Suède 5 ans ⚙️Le retrait du consentement doit être aussi facile que de donner son consentement.
    Danemark 5 ans ⚙️Le retrait du consentement doit être aussi facile que de donner son consentement.

    🍪 Le consentement est-il valide par scroll ou par la poursuite de la navigation ?

     

         France  
             GB  
        Espagne  
         Irlande ⚙️ Pour le scroll, la notice de consentement ne doit pas disparaître  tant que l'internaute n'a pas fait un choix autonome, quel qu'il soit.
       Belgique ⚙️ "Il s’en suit que ce consentement n’est valide que s’il résulte d’une démarche active de votre part, comme un clic ou l’activation d’un bouton par glissement." (APD belge*)
     Allemagne  
        Portugal   
           Italie  
        Pologne

    ⚙️ cf. directives de l'EDPB* Mai 2020 : le scroll ou la navigation sur une page web ne satisfait pas les exigences d'une action affirmative comme le "silence, les cases pré-cochées ou l'inactivité [...] ne constituent pas un consentement." (RGPD* Article 32)

         Croatie

    ⚙️ Les cookies qui ne satisfont pas l'un des ces cas d'usage précis des directives ePrivacy qui les rendent exempts de consentement ne peuvent être déployés avant d'avoir obtenus le consentement de l'utilisateur. 

    Les 2 exceptions sont les exonérations de communications et les exonérations pour cookies indispensables.*

          EDPB  
    Norvège  
    Finlande  
    Suède  
    Danemark  

    🍪 Est-il légal d'avoir des cases pré-cochées sur des bannières cookies ?

          France
              GB
        Espagne

     ❓

          Irlande
        Belgique
      Allemagne
        Portugal 
            Italie
         Pologne
         Croatie
           EDPB
    Norvège
    Finlande
    Suède
    Danemark

    🍪 La preuve de consentement est-elle obligatoire comme spécifié dans le RGPD ?

     

         France ✔️ ⚙️ Lors de la collecte du consentement, l'entité concernée doit aussi être à même de transmettre une preuve de consentement aux tierces parties qui ont traité les données de l'utilisateur en se basant sur ce consentement. Le responsable du traitement devrait être en mesure de prouver que l'internaute a consenti à l’opération de traitement.
             GB ✔️  
       Espagne ✔️ ⚙️ Non spécifié mais sous-entendu.
         Irlande ✔️ ⚙️ Pour le scroll, la notice de consentement ne doit pas disparaître tant que l'utilisateur n'a pas fait de choix autonome, quel qu'il soit.
       Belgique ✔️  
      Allemagne ✔️  
      Portugal  ✔️  
           Italie ✔️ 

     

        Pologne  

    ⚙️ cf. Article 42 de RGPD : les responsables de traitements de données personnelles doivent conserver les preuves attestant que le consentement a effectivement été donné par la personne concernée.

         Croatie ✔️

     

           EDPB ✔️ ⚙️ Non spécifié mais sous-entendu.
    Norvège  
    Finlande ✔️ ⚙️La preuve du consentement doit inclure : la date et l'heure de la demande et de l'obtention du consentement, la manière dont le consentement a été demandé, les informations fournies pour demander le consentement et les références qui identifient par qui et à partir de quel appareil le consentement a été donné.
    Suède  
    Danemark  

    🍪 Est-ce que le consentement doit être granulaire par finalité sur les notices de consentement ?

     

         France ✔️ ⚙️ Le consentement est par site/app sauf s'il est bien précisé qu'il est collecté pour un ensemble de sites/apps. Le consentement doit donc être unique et renouvelé sur chaque plateforme. En cas de consentement partagé, il faut en informer l'utilisateur dès le premier niveau.
             GB ⚙️ Pas nécessairement par finalité mais le consentement doit être spécifique à un service particulier. 
       Espagne ✔️ ⚙️ Non spécifié mais sous-entendu par l'AEPD*.
         Irlande ✔️  
      Belgique ✔️  
     Allemagne ✔️ ⚙️ Le besoin de granularité par finalité est sous-entendu : il doit être possible de sélectionner des traitements (finalités) précis indépendamment. 
       Portugal  ✔️  
          Italie ✔️ 

    🔎 Le consentement doit être par finalité. De plus, un lien contenant la liste des partenaires doit être présent sur la première couche de la CMP.

        Pologne ✔️

    ⚙️ cf. EDPB* guidelines on granularity.

        Croatie ✔️

    ⚙️ cf. les directives du RGPD pour la granularité : Article 32*. Si plusieurs finalités sont confondues pour le traitement et qu'il n'y pas la possibilité de rechercher un consentement indépendant pour chacune, il y a un défaut de liberté.

          EDPB ✔️  
    Norvège ✔️  
    Finlande  
    Suède ✔️  
    Danemark ✔️  

    🍪 Les cookies doivent-ils être listés un par un ? 

     

        France  
            GB ⚙️ La best practice serait de donner une description de chaque cookie.
       Espagne ⚙️ Une liste par finalité est valide et suffisante.
        Irlande  ❓ ⚙️ Le consentement est obtenu pour chaque finalité pour laquelle les cookies sont associés. Il n'est pas nécessaire d'obtenir le consentement individuellement pour chaque cookie, "mais plutôt pour la finalité pour laquelle ils sont utilisés".
      Belgique  ❓ ⚙️ Contradictions : la base "par finalité" est suggérée dans un premier niveau, et la base "par cookie" ensuite, tout en soulignant que la base "par cookie" n'est pas obligatoire par le RGPD*".
        Allemagne  
       Portugal ✔️

    ⚙️ Le consentement doit être donné pour chaque cookie avec suffisamment d'information les concernant (période de rétention inclue). Comme le choix est individuel, il doit aussi être possible de "tout accepter" et "tout refuser".

          Italie  

     

        Pologne  ❓

     

        Croatie ✔️ ⚙️ Il est fortement recommandé de les lister un par un.
    Norvège  
    Finlande  
    Suède  
    Danemark  

    💡 En cas de doute, référez-vous à votre Data Protection Officer (DPO) ou votre département légal !


    📕 Sources et informations utiles sur les directives en matière de de consentement selon les pays*

    🍪 France

    APD (Autorité de Protection des Données Personnelles) : Commission Nationale de l'Information et des Libertés (CNIL) 

    🍪 GB

    APD : Information Commissioner's Office (ICO)

    🍪 Espagne

    APD : Agencia de Protección de Datos (AEPD)

    🍪 Irlande

    APD : Office of the Data Protection Commissioner

    🍪 Belgique

    APD : Autorité de Protection des Données

    🍪 Allemagne

    APD : Die Bundesbeauftragte für den Datenschutz und die Informations freiheit

      🍪 Portugal

      APD : Comissão Nacional de Proteção de Dados (CNPD)

      🍪 Italie

      APD : Garante per la protezione dei dati personali (GPDP)

      🍪 Pologne

      APD : Urząd Ochrony Danych Osobowych (UODO)

      🍪 Croatie

      APD : Agencija za zaštitu osobnih podataka (AZOP)

      *Est-ce que le consentement est valide par scroll/poursuite de la navigation ?

      • L'exemption de communications

      Cela s'applique aux cookies dont l'unique but est de permettre la transmission la communication vers un réseau, comme d'identifier les points d'extrémité de communications. 

      Cela peut aussi s'appliquer aux cookies utilisés pour permettre à des données d'être échangées dans l'ordre prévu, comme la numérotation de "paquets de données".  Cela s'applique aussi aux cookies utilisés pour détecter la transmission d'erreurs et de pertes de données.

      • L'exemption pour cookies indispensables

      Un cookie qui est exempt sous ce critère doit accumuler ces 2 conditions ci-dessous : 

      - l'exemption s'applique l'"Information Society Services" (ISS) – càd, un service délivré sur internet, comme un site internet/app. 

      - Ce service doit avoir été explicitement demandé par l'utilisateur et l'utilisation du cookie doit être strictement liée à ce qui est nécessaire pour fournir ce service. 

      🍪 UE

      APD : EDPB (European Data Protection Board)