Aux Pays-Bas, c’est l’Autoriteit Persoonsgegevens (AP) qui veille au respect du RGPD et de la réglementation relative aux cookies. Si les grands principes restent les mêmes partout en Europe, chaque autorité nationale a ses propres points de vigilance. Et depuis le mois d’avril, l’AP a renforcé ses contrôles en adressant de multiples lettres d’avertissement à de nombreux éditeurs de sites, leur laissant trois mois pour se mettre en conformité. Dans ce nouveau numéro de Check-Up Conformité, nous décryptons pour vous les étapes clés pour rendre votre bannière cookie conforme (et même exemplaire) pour l’autorité néerlandaise.
Un cadre européen et des interprétations locales
Le Règlement général sur la protection des données (RGPD), qui détermine notamment les critères de validité du consentement, s’applique directement dans tous les États membres de l’Union européenne.
Mais dans les faits, son application pratique varie : chaque autorité nationale de protection des données peut orienter ses contrôles ou ses recommandations selon ses priorités.
En France, par exemple, la CNIL s’est récemment illustrée avec la sanction de Shein, qui rappelle trois fondamentaux en matière de cookies :
- les finalités doivent être clairement indiquées,
- l’identité des partenaires utilisant des traceurs sur le site doit être communiquée,
- et le refus de consentement doit être effectif.
Ces trois points illustrent bien la logique du consentement au sens du RGPD : le consentement n’est valable que s’il est libre, spécifique, éclairé et univoque.
Aux Pays-Bas, c’est l’Autoriteit Persoonsgegevens (AP) qui supervise l’application du règlement et de la loi locale de transposition de la directive e-Privacy (article 5, paragraphe 3, directive 2002/58/CE). Et dans son interprétation, la transparence autour des partenaires et des finalités est au cœur de ses priorités. En effet, l’utilisateur doit savoir clairement quelles catégories de données sont partagées, à quelles fins et avec combien de partenaires.
C’est cette exigence qui distingue la pratique néerlandaise, et qui a inspiré la conception de la bannière cookie d’Axeptio déployée sur le site de CookieCode.
Ce que l’AP attend d’une bannière conforme
Les recommandations de l’AP reposent sur neuf principes clés, pour la plupart directement issus du RGPD et de la directive ePrivacy :
- Informer clairement sur le traitement des données et ses finalités. Autrement dit, l’utilisateur doit comprendre à quelles fins ses données sont collectées et comment elles seront utilisées.
- Ne pas utiliser de cases pré-cochées. Le consentement doit être une action positive, jamais implicite.
- Employer un langage simple et accessible, en évitant le jargon technique ou les formulations ambiguës.
- Présenter toutes les options de choix sur un seul écran. L’utilisateur ne doit pas devoir naviguer pour accéder au refus.
- Ne pas dissimuler certaines options, tous les choix doivent être visibles, équitables et d’importance comparable.
- Éviter les clics inutiles pour refuser. Ici, c’est le même principe qui se cache derrière le point n°5 : le refus doit être aussi simple que l’acceptation.
- Ne pas cacher d’informations derrière des liens discrets ou trompeurs.
- Être clair sur la possibilité de retirer son consentement à tout moment. L’utilisateur doit savoir qu’il peut modifier son choix facilement.
- Ne pas confondre consentement et intérêt légitime. Ces bases légales sont distinctes et ne doivent pas être mélangées dans la même catégorie de traceurs.
Ces neuf points constituent la base d’une bannière conforme. Mais si vous vous adressez à un public néerlandais, certaines nuances locales méritent une attention particulière par rapport aux autres pays européens.
Trois spécificités à garder en tête pour la conformité de votre site néerlandais au RGPD
1/ Donner la visibilité sur les tiers et leurs finalités
L’AP demande que les utilisateurs puissent voir, dès le premier écran de la CMP, le nombre de partenaires concernés et les catégories de finalités associées.
Avec Axeptio for Brands, cette exigence se met en œuvre facilement : la CMP permet d’afficher, par finalité, la liste des vendors associés directement depuis le bandeau, offrant ainsi une lecture simple et pédagogique du partage de données. Il vous suffit alors d’intégrer le nombre de partenaires dans le texte personnalisable de la CMP comme dans l’exemple ci-dessous.
2/ Référencer la politique relative aux cookies et traceurs
Autre point salué par l’AP : la présence d’un lien direct vers le “cookie statement”, c’est-à-dire la politique détaillée relative aux cookies et traceurs.
Contrairement à la politique de confidentialité (qui couvre l’ensemble des traitements de données personnelles), le “cookie statement” se concentre spécifiquement sur les traceurs utilisés, leurs finalités, leurs durées de vie et les tiers impliqués.
La bannière d’Axeptio déployée sur le site de CookieCode a trouvé le bon équilibre : un texte court et lisible sur la bannière, accompagné par un lien clair vers la politique complète relative aux cookies et traceurs. Une approche que l’AP a jugée transparente et ergonomique.
3/ Utiliser la bonne terminologie pour les boutons et les choix
Enfin, un détail linguistique qui a son importance : le bouton d’acceptation doit afficher “Accepteren” plutôt que “Oké!” ou toute autre formule ambiguë.
Pour l’AP, le libellé des boutons participe à la compréhension du choix, et donc à la validité du consentement.
Check-Up final : votre bannière cookies est-elle prête pour les Pays-Bas ?
Lors d’un échange avec l’Autoriteit Persoonsgegevens, les représentants ont indiqué que la bannière déployée sur le site de CookieCode, conçue avec Axeptio for Brands, allait dans le sens de leurs recommandations.
Avant de déployer votre propre bannière sur le marché néerlandais, vérifiez ces points clés :
- Le bouton d’acceptation mentionne bien “Accepteren”
- Le nombre de partenaires et leurs finalités sont clairement identifiables
- Un lien vers la politique de cookies est visible dès le premier écran
- Le refus est aussi simple que l’acceptation
- Le bandeau reste accessible à tout moment pour modifier son choix
Vous avez des difficultés à rendre votre bandeau cookie conforme aux attentes de l’AP aux Pays-Bas ?
