Cookies et autres technologies similaires

Cookies et autres technologies similairesCookies et autres technologies similaires

En bref…

Vous devez dire aux gens si vous définissez les cookies, et expliquer clairement ce que les biscuits font et pourquoi. Vous devez également obtenir le consentement de l’utilisateur. Le consentement peut être implicite, mais doit être sciemment donné.

Il y a une exception pour les cookies qui sont essentiels pour fournir un service en ligne à la demande de quelqu’un (par exemple, de se rappeler ce qui est dans leur panier en ligne, ou pour assurer la sécurité dans les services bancaires en ligne).

Les mêmes règles sont également applicables si vous utilisez un autre type de technologie pour stocker ou accéder à des informations sur le périphérique de quelqu’un.

Plus en détail…

Qu’est-ce qu’un cookie?

Que devons-nous faire pour se conformer?

Les règles sur les cookies sont dans la régulation 6. La règle de base est que vous devez:

  • dire aux gens les témoins sont là;
  • expliquer ce que les biscuits font et pourquoi; et
  • obtenir le consentement de la personne à stocker un cookie sur leur appareil.

Tant que vous faites cela la première fois que vous définissez les cookies, vous ne disposez pas de le répéter chaque fois la même personne visite votre site Web. Cependant, garder à l’esprit que les dispositifs peuvent être utilisés par des personnes différentes. S’il est susceptible d’être plus d’un utilisateur, vous pouvez envisager de répéter ce processus à des intervalles appropriés.

Qu’est-ce que le reste est couvert, en dehors des cookies?

Bien que ce guide met l’accent sur les cookies, la règle 6 applique en fait à toute personne qui stocke des informations sur le périphérique ou les gains d’accès d’un utilisateur à l’information sur le terminal d’un utilisateur, dans les deux cas par un procédé quelconque.

Cela signifie que les mêmes règles sont applicables à toutes les technologies similaires – comme Local Shared Objects (parfois appelés cookies Flash) – et peuvent également couvrir d’autres types de technologies, y compris les applications sur les smartphones, les tablettes, les téléviseurs intelligents ou d’autres dispositifs.

Ces règles interdisent également les logiciels espions ou tout autre logiciel de surveillance secrète similaire qui télécharge à l’appareil d’un utilisateur et le suivi de leurs activités à leur insu.

Quelles informations devons-nous donner aux utilisateurs?

PECR ne pas défini exactement quelles informations vous devez fournir ou comment fournir – ce qui est à vous. La seule exigence est que ce doit être l’information « claire et complète » à propos de vos besoins. Vous devez expliquer la façon dont les cookies (ou d’autres technologies similaires) fonctionnent et ce que vous les utilisez pour, et l’explication doit être claire et facilement disponibles. Les utilisateurs doivent être en mesure de comprendre les conséquences potentielles de laisser les cookies. Vous devrez peut-être vous assurer que la langue et le niveau de détail sont appropriés pour votre public cible.

Ceci est similaire aux exigences de transparence du premier principe de la protection des données (avis de confidentialité).

Guide sur les cookies

Ce qui compte que le consentement?

Pour être valide, le consentement doit être libre, spécifique et informé. Elle doit impliquer une certaine forme d’action positive – par exemple, en cochant une case ou en cliquant un lien – et la personne doit comprendre qu’ils donnent vous consentez. Vous ne pouvez pas montrer le consentement si vous fournissez seulement des informations sur les cookies dans le cadre d’une politique de confidentialité qui est difficile à trouver, difficile à comprendre, ou rarement lu.

Le consentement ne doit pas nécessairement être un consentement explicite ‘opt-in’. Le consentement implicite peut également être valable. Si vous comptez sur le consentement implicite, vous devez être sûr que vos utilisateurs comprennent bien que leurs actions se traduira par des cookies étant fixés. Cependant, dans certaines circonstances (par exemple, la collecte de données personnelles sensibles telles que les détails de la santé), il est probable que le consentement explicite de l’opt-in est plus approprié.

Pour plus de conseils sur l’obtention du consentement, y compris les règles sur les paramètres du navigateur, consultez nos cookies conseils.

Avons-nous besoin du consentement de l’abonné ou de l’utilisateur?

Règle 6 précise que le consentement doit être obtenu à partir de l’abonné ou l’utilisateur.

En pratique, vous ne pouvez pas être en mesure de dire qui est l’abonné et qui est un utilisateur – ce qui signifie que vous ne pouvez pas être en mesure de faire la distinction entre le consentement fourni par l’abonné et par l’utilisateur. La clé sera que le consentement valide a été fournie par l’un d’eux.

PECR ne dit pas qui souhaits devrait avoir préséance si elles sont différentes. S’il semble y avoir un conflit – par exemple, si un abonné ou l’utilisateur préalablement consenti, mais maintenant l’utilisateur actuel des mêmes objets de l’appareil – il semblerait raisonnable de compter sur l’indication la plus récente. Cela signifie que vous respectez toujours les préférences de l’utilisateur actuel, même si vous ne pouvez pas être sûr des préférences de l’abonné.

Guide sur les cookies

Existe-t-il des exemptions?

Il y a une exemption si:

  • le témoin est le seul but de réaliser la transmission d’une communication sur un réseau de communications électroniques; ou
  • le cookie est strictement nécessaire de fournir un «service de la société» (par exemple un service sur Internet) demandé par l’abonné ou de l’utilisateur. Notez qu’il doit être essentiel pour remplir leur demande – les cookies qui sont utiles ou pratique mais pas indispensable, ou qui sont seulement essentiels pour vos propres besoins, sera toujours exiger le consentement.

Cela signifie que vous êtes peu probable besoin du consentement pour:

  • cookies utilisés pour se rappeler les produits d’un utilisateur souhaite acheter quand ils ajoutent des biens à leur panier en ligne ou passer à la caisse sur un site internet shopping;
  • les cookies de session assurant la sécurité qui est essentielle pour se conformer aux exigences de sécurité de protection des données pour un service en ligne l’utilisateur a demandé – par exemple les services bancaires en ligne; ou
  • les cookies qui assurent le contenu de votre page se charge rapidement et efficacement en répartissant la charge de travail sur plusieurs ordinateurs d’équilibrage de charge.

Cependant, il est toujours une bonne pratique pour fournir aux utilisateurs des informations sur ces cookies, même si vous n’avez pas besoin de consentement.

Est-ce que les règles sont toujours valides si les données sont anonymes?

Oui. Bien que les cookies qui traitent des données personnelles donnent lieu à des risques accrus de confidentialité et de sécurité que ceux qui traitent des données anonymes, PECR appliquent à tous les cookies.

Si vos données de cookie ne soit pas anonyme, notez que vous aurez également besoin de se conformer à la Loi sur la protection des données. Vous pouvez réellement besoin de se demander si vous pouvez utiliser des données anonymisées à la place, afin de se conformer avec le troisième principe de la protection des données (qui concerne les données personnelles étant adéquates, pertinentes et non excessives). Cela est susceptible d’être particulièrement pertinent lorsque vous ne l’utilisez les données pour fournir un service à l’utilisateur – par exemple, si vous êtes simplement comptez les visiteurs d’un site Web.

Voir notre guide distinct pour la protection des données pour plus d’informations sur le troisième principe.

Où pouvons-nous obtenir plus d’informations?

Pour obtenir des informations plus détaillées et des conseils pratiques sur ce sujet, consultez nos conseils sur les cookies.

Vous pouvez trouver plus sur l’action que nous prenons sur les cookies sur la section Mise en application du site Web de l’OIC.

Nous avons également répondu à quelques FAQ dans une vidéo YouTube. qui résume la façon dont vous pouvez respecter et l’approche de l’OIC est de prendre à l’application. (Lecture de vidéos YouTube définit un cookie.)

Comment ces règles affectent les applications?

Apps stockent des informations sur les appareils intelligents, et certaines applications peuvent également accéder à des informations sur le périphérique (par exemple, des contacts ou des photos). Les développeurs d’applications doivent donc fournir des informations claires aux utilisateurs sur ce que l’application fait, et exactement comment il utilise leurs informations, avant les utilisateurs cliquent pour installer l’application.

Cela rejoint en étroite collaboration avec les exigences de la Loi sur la protection des données. Pour plus d’informations sur la façon de se conformer, consultez nos conseils de confidentialité distincte dans les applications mobiles.

Source: ico.org.uk

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-neuf − 4 =