Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié un Guide relatif aux traitements de données au moyen de cookies et de technologies similaires le 22 janvier 2025 en allemand, puis en français le 6 février 2025 et finalement en italien et en anglais le 26 février 2025). Il y décrit les exigences en matière de protection des données applicables à l’utilisation de cookies et de technologies similaires.
Pour rappel, la Loi fédérale sur la protection des données (LPD) s’applique au traitement de données personnelles, alors que l’art. 45c de la Loi sur les télécommunications (LTC) s’applique aux cookies, qu’ils soient ou non liés à des données personnelles. L’art. 45c LTC prévoit principalement une obligation d’informer et un droit de s’opposer. La compétence de surveillance revient à l’OFCOM.
Le guide du PFPDT, auquel l’OFCOM n’a apparemment pas participé, rappelle les principes et définitions du droit de la protection des données. Malheureusement, il n’apporte que peu de réponses concrètes sur la manière dont le PFPDT interprète la loi. L’annexe qui présente un aperçu schématique des niveaux de risque liés à l’utilisation de cookie est inutilisable et on peut regretter le manque d’exemples pratiques. Le PFPDT parle indistinctement de fournisseur de site web et d’exploitant de site web, ce qui semble couvrir la même personne.
L’information
S’agissant de l’information, le PFPDT rappelle qu’il ne suffit pas de placer la déclaration de confidentialité quelque part dans une rubrique cachée du site web ou de ne fournir les informations que sur demande, mais que les informations sous forme écrite doivent être faciles à lire et qu’une information à plusieurs niveaux est indispensable (la personne concernée doit recevoir toujours les informations les plus importantes au premier niveau de communication au moment de la collecte de ses données personnelles). Cela ne semble pas s’opposer à une politique de confidentialité facilement accessible sur le site et dont les titres permettent de comprendre les informations les plus importantes.
Et le consentement ?
Ni la LPD ni l’art. 45c LTC n’impose de recueillir un consentement pour qu’un traitement de données par le biais de cookies non nécessaires soit légal. Le consentement des personnes concernées ne constitue qu’un des motifs justificatifs aux traitements de données portant atteinte à la personnalité énumérés par le législateur à l’art. 31 al. 1 LPD. Ainsi les cookies essentiels n’exigent pas de consentement. C’est en particulier les cas des cookies de panier d’achat, de mémoire tampon d’un formulaire, de login, de choix de la langue, des cookies de gestion de consentent et d’opposition, des captcha et d’autres cookies techniques. La durée de conservation doit toutefois respecter le principe de nécessité. Au sujet des captcha, le PFPDT ne fait pas de distinction s’agissant d’un traitement par un tiers ou un sous-traitant.
Pour les cookies non essentiels (cookies fonctionnels ou de confort), ils ne sont par définition par nécessaires et leur traitement doit être justifié, en particulier par un consentement de la personne concernée ou un intérêt privé prépondérant de l’exploitant du site web. Le PFPDT considère que la possibilité de s’opposer (imposée par l’art. 45c LTC) réduit l’atteinte et rend le traitement plus acceptable. Le PFPDT envisage que les cookies qui marquent la sélection d’articles dans le panier d’une commande en ligne, de ceux concernant les modalités de paiement ou de livraisons à domicile basées sur des données d’adresses peuvent être justifiés par un intérêt privé. Il en va de même des cookies pour la recherche et les statistiques, si les données sont anonymisées dès que possible.
Dans ces cas, un consentement n’est pas nécessaire, mais la personne concernée doit pouvoir facilement exercer son droit d’opposition. Le PFPDT précise que le responsable du traitement doit afficher de manière bien visible le droit d’opposition à l’utilisation de cookies non nécessaires sur le site web, afin que la possibilité d’un opt-out soit facilement repérable et accessible par les utilisateurs, aussi bien lors de la première visite que lors des visites suivantes, et que le choix puisse être exercé en quelques clics.
La LPD n’impose toutefois pas de modalités à l’exercice du droit d’opposition, ni, contrairement au RGPD, n’oblige le responsable du traitement à informer la personne concernée de ses droits. À noter que le PFPDT ne se prononce pas sur la forme, notamment si le renvoi au blocage de cookies via le navigateur, est suffisant.
L’utilisation qualifiée des cookies
Le PFPDT prévoit des exigences spécifiques dans les cas d’utilisation qualifiée de cookies (atteinte d’intensité élevée et utilisation inhabituelle des cookies). Ce critère est intéressant, étant donné que la LPD se contente d’une violation des principes pour présumer un traitement illicite. Ainsi dans les cas d’utilisation qualifiée de cookies, le PFPDT considère qu’un consentement est nécessaire. Il recommande également de mettre en place un message automatique (« fenêtre pop-up ») apparaissant lors de la première visite du site web pour signaler cette utilisation, obtenir le consentement ou permettre l’opposition. C’est une recommandation et pas une obligation. Une telle information est donc encore moins nécessaire pour les utilisations non qualifiées.
Dans le cas de l’utilisation de cookies pour la publicité personnalisée, le PFPDT distingue l’utilisation de cookies publicitaires relevant du profilage «normal» (les annonceurs collectent, à l’aide de cookies, des informations sur le comportement et les intérêts des visiteurs de leur site web afin de leur proposer une présentation personnalisée des offres ou l’envoi de publicités ciblées pour leurs propres produits) qui ne requiert pas de consentement, du suivi publicitaire par profilage à risque élevé qui exige un consentement.
Les murs de cookies
Le PFPDT aborde la question des murs de cookies (accès à tout ou partie d’un site conditionné à l’acceptation des cookies) sous l’angle de la liberté de consentir, mais ne tranche pas la question de leur légalité. Il se contente de relever que cela dépend de savoir si la renonciation à la prestation principale peut être jugée raisonnable ou non pour la personne concernée dans le cas concret. Ce n’est plutôt pas raisonnable lorsqu’il existe une relation de dépendance et que l’absence ou la mauvaise qualité des alternatives en est la conséquence. Il ne se prononce pas en revanche sur l’alternative visant à devoir payer pour éviter les cookies.
Pas besoin de bannières
Ce n’est qu’à la dernière page de son guide que le PFPDT s’intéresse brièvement aux aspects techniques. Il y précise que les bannières de consentement sont couramment utilisées en pratique, et qu’elles peuvent aussi être utilisées pour informer ou exercer un droit d’opposition (case précochée). Une telle bannière n’est pas exigée (il y a beaucoup de cas où un consentement n’est pas nécessaire) et le PFPDT ne semble même pas la recommander pour gérer les oppositions (ce qui revient quand même à obliger l’utilisateur à paramétrer finement son navigateur et qui n’est probablement pas compatible avec un exercice simple du droit d’opposition).
Des cookies tiers pas clairs
S’agissant des cookies et plug-ins sociaux, la position du PFPDT est ambiguë. Lorsqu’il distingue les cookies tiers des cookies internes (ceux de l’exploitant du site web lui-même), le PFPDT retient qu’il n’y a pas de communication de données personnelles par l’exploitant du site web au tiers, mais une collecte directe de données par un tiers (p. 3). Il n’envisage pas de traitement conjoint. Plus loin (p. 7), le PFPDT affirme en parlant des plug-ins sociaux que l’exploitant du site web et le tiers ont une obligation d’informer sur la collecte de données au sens de l’art. 19 LPD. Pourtant l’art. 19 LPD ne s’applique qu’au responsable du traitement. L’exploitant du site n’a, selon la loi mais contrairement à la position du PFPDT, pas l’obligation d’informer sur une collecte de données effectuée par un tiers. Finalement, le PFPDT évoque une responsabilité commune ou partagée entre l’exploitant du site web et le tiers (p. 8) en citant l’arrêt Fashion ID (C‑40/17). Pourtant cet arrêt retient bien un traitement conjoint, et pas une responsabilité partagée.
Conclusion
Le guide est bienvenu car il rappelle que contrairement à d’autres pays, le droit suisse n’exige pas un consentement au traitement de données personnelles et à l’utilisation de cookies. C’est une obligation d’information et un droit d’opposition qui prévalent. Un consentement est nécessaire lorsque les principes de protection des données sont violés et que le responsable du traitement ne peut pas faire valoir d’intérêt privé prépondérant.
Le PFPDT ne s’est malheureusement pas prononcé sur les questions délicates comme celle de la légalité des contenus accessibles seulement contre paiement ou acceptation des cookies, ou celle de savoir si une opposition aux cookies doit être proposée sur chaque site ou si l’on peut renvoyer l’utilisateur aux paramètres de son navigateur.