L’autorité belge de protection des données (APD) a sanctionné, le 25 mai 2022, le groupe ROULARTA, car deux sites d’information édités par le groupe, LEVIF.BE et KNACK.BE, ne respectait pas le RGPD et la législation[1] belge en matière de cookies.

Les contrôles réalisés par la Commission en 2020 ont montré que les deux sites de presse déposaient de nombreux cookies dans l’appareil des visiteurs : 66 cookies pour le site KNACK.BE et 60 pour le site LEVIF.BE. Ces cookies étaient placés avant que l’internaute ne donne son consentement et correspondaient, en grande majorité, à des cookies marketing ou analytiques tiers (48 sur les 56 pour KNACK.BE et 44 sur 60 pour LEVIF.BE).

La Commission belge a rappelé au groupe ROULARTA que le dépôt ou la lecture de cookies « non nécessaires » pouvaient être réalisés uniquement si l’internaute donne son consentement et que l’éditeur d’un site Web, en tant que responsable de traitement, doit être en mesure de prouver le caractère « strictement nécessaire » des cookies s’il souhaite s’éxonerer du consentement des visiteurs. Pour le cas des sites KNACK.BE et LEVIF.BE, seuls deux cookies sur la centaine de cookies déposée ont été jugés « strictement nécessaires » par la Commission.

Par ailleurs, l’APD reproche aussi au groupe ROULARTA :

  • d’avoir utilisé des cases pré-cochées sur l’écran de sélection des « partenaires » du site, ce qui ne permet pas de recueillir un consentement valable[2] ;
  • d’avoir défini des dates de validités trop longues pour certains cookies, jusqu’à 246 ans ;
  • d’avoir continué de déposer des cookies dans l’appareil des internautes même s’ils s’y opposaient.

Enfin, l’APD reproche aussi au groupe ROULARTA le manque de clarté, d’accessibilité et de transparence de sa politique relative aux cookies. La Commission belge reproche notamment au groupe :

  • d’avoir indiqué, à tort, dans sa politique relative au cookies n’être « pas responsable des cookies placés et gérés par des tiers », et n’avoir « aucun contrôle sur certains cookies utilisés »[3] ;
  • d’avoir indiqué que les partenaires du groupe utilisaient le standard TCF[4] développé par l’organisme IAB pour garantir le respect du RGPD, alors que 312 des 449 partenaires des sites n’ont pas été validés par IAB, ce qui a pu « créer une apparence de conformité » chez les visiteurs ;
  • de n’avoir pas fourni des informations claires sur la nécessité d’utiliser des cookies tiers suite à des « problèmes techniques » qui ont duré plus d’un an ;
  • d’avoir utilisé une classification des cookies différente dans la politique relative aux cookies et dans la plateforme de gestion de contenu (CMP) ;
  • de n’avoir pas indiqué de manière claire la durée de vie des cookies déposés.

Une amende de 50 000 euros a été prononcée à l’encontre du groupe ROULARTA. Le groupe a également trois mois pour se mettre en conformité.

Lire :

Notes et références

  1. La loi belge applicable en matière de cookies au moment des faits est l’article 129 de la Loi du 13 juin 2005 relative aux Communications Électroniques (LCE). L’article est similaire à l’article 82 de la loi Informatique et Libertés en France.
  2. Le consentement est défini comme un « un acte positif clair » de la personne (source : RGPD, article 4-11). L’utilisation d’une cache pré-cochée ne demande pas une action de l’utilisateur. Il n’est donc pas considéré comme valide.
  3. Le RGPD indique que « [l]e responsable du traitement est responsable du respect du [RGPD] et est en mesure de démontrer que celui-ci est respecté » (source : RGPD, article 5-2). Le groupe ROULARTA ne peut donc pas rejeté sa responsabilité si le traitement intervient sur un site Internt qu’il édite.
  4. TCF : Transparency and Consent Framework. Son fonctionnement est le sujet d’une analyse et d’une sanction de l’APD. Voir « L’association représentant la publicité digitale, IAB EUROPE, sanctionnée pour avoir conçu et utilisé un standard non conforme ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données
  • CMP : Content Management Platform