L’autorité belge de protection des données (APD[1]) a sanctionné, le 16 juin 2022, le groupe ROSSEL car trois sites d’information édités par le groupe, LESOIR.BE, SUDINFO.BE et SUDPRESSEDIGITAL.BE, ne respectait pas le RGPD[2] et la législation[3] belge en matière de cookies.

Les contrôles réalisés par la Commission en 2020 ont montré que les trois médias en ligne déposaient de nombreux cookies dans l’appareil des visiteurs : 47 cookies pour le site SUDINFO.BE, 104 pour le site LESOIR.BE et 23 pour le site SUDPRESSEDIGITAL.BE. Ces cookies étaient placés avant que l’internaute ne donne son consentement et contenaient notamment des « cookies comportementaux » associés à Google (DoubleClick et Google Analytics) et Facebook, mais aussi Outbrain, une entreprise proposant des « recommandations personnalisées ».

La Commission belge a rappelé au groupe ROSSEL que le dépôt ou la lecture de cookies « non nécessaires » étaient autorisés uniquement avec le consentement préalable du visiteur, c’est-à-dire une « une déclaration ou un acte positif clair », et a précisé que « la poursuite de la navigation ne peut être considérée comme donnant lieu à un consentement valide au sens du RGPD »[4].

Par ailleurs, l’APD reproche au groupe ROSSEL, au sujet du site LESOIR.BE :

  • d’avoir utilisé des cases pré-cochées sur l’écran de sélection des 500 « partenaires » du site[5] ;
  • de n’avoir listé que 13 de ces 500 partenaires dans la politique relative aux cookies du site, ce qui rendait la liste des 13 partenaires « totalement incomplète, inutile et trompeuse » ;
  • d’avoir utilisé des termes anglais dans sa plateforme de consentement, ce qui rendait l’accès aux informations difficilement accessible ;
  • d’avoir placé des cookies dans l’appareil des visiteurs malgré leur opposition.

Enfin, la Commission belge a émis de sérieux doutes sur la conformité de la plateforme de consentement (de la société DIDOMI) utilisée par le site, car le mécanisme TCF d’IAB utilisé a été jugé non conforme au RGPD en janvier 2022 par la même Commission[6].

Une amende de 50 000 euros a été prononcée à l’encontre du groupe ROSSEL, soit 0,23 % du chiffre d’affaires[7] généré par la partie Web du groupe. Le groupe a également trois mois pour se mettre en conformité.

Lire :

Notes et références

  1. APD : Autorité de Protection des Données (autoriteprotectiondonnees.be).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. La loi belge applicable en matière de cookies au moment des faits est l’article 129 de la Loi du 13 juin 2005 relative aux Communications Électroniques (LCE). L’article est similaire à l’article 82 de la loi Informatique et Libertés en France.
  4. Le RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (source : RGPD, article 4-11).
  5. Le consentement est défini comme un « un acte positif clair » de la personne (source : RGPD, article 4-11). L’utilisation d’une cache pré-cochée ne demande pas une action de l’utilisateur. Il n’est donc pas considéré comme valide.
  6. L’autorité belge de protection des données a jugé en janvier 2022 que la technologie Transparency and Consent Framework (TCF) dévelopée par l’organisme IAB n’était pas conforme au RGPD (source : APD, Interactive Advertising Bureau Europe, 27 janvier 2022). Voir « L’association représentant la publicité digitale, IAB EUROPE, sanctionnée pour avoir conçu et utilisé un standard non conforme ».
  7. Les activités « Web » du groupe ROSSEL ont généré un chiffre d’affaires de 11,95 millions d’euros pour LE SOIR et 9,32 millions d’euros pour SUDMEDIA, soit un total de 21,27 millions d’euros (source : décision de l’APD, §210).