Cet article analyse l’utilisation des cookies par les sites web pour traiter les données personnelles au regard de la loi sur la protection des données personnelles.
Qu’est-ce qu’un cookie ?
Les cookies sont des fichiers texte que les opérateurs de sites web placent sur l’appareil d’un utilisateur. En d’autres termes, il s’agit de petits fichiers au format texte enrichi qui permettent de stocker certaines informations sur le terminal de l’utilisateur lorsqu’il visite un site web.
Les cookies sont classés en fonction (i) de leur durée de stockage, (ii) de leur but d’utilisation et (iii) des parties.
Les cookies sont divisés en cookies de session et en cookies permanents en fonction de leur période de stockage. En ce qui concerne leur finalité, ils sont divisés en cookies strictement nécessaires, en cookies fonctionnels, en cookies d’analyse des performances et en cookies publicitaires/de marketing. Enfin, ils sont séparés selon la partie en cookies de première partie et cookies de tierce partie.
Conditions de traitement des données personnelles pour les cookies en vertu de la loi sur la protection des données personnelles
Les sites web peuvent utiliser des cookies pour traiter des données personnelles en obtenant le consentement explicite du propriétaire des données ou sans avoir besoin d’un consentement explicite si les conditions de traitement des données stipulées dans les articles 5 et 6 de la loi sur la protection des données personnelles (« loi ») sont remplies. Nous pouvons donner l’exemple suivant pour le traitement des données personnelles sans consentement explicite : Si les données d’un client sont traitées par le biais de cookies lorsqu’il ajoute un article à son panier sur un site web de commerce électronique, un contrat de vente est conclu ou appliqué en vertu de l’alinéa (c) du paragraphe 2 de l’article 5 de la loi[1], ce qui élimine la nécessité d’un consentement explicite.
Certains facteurs doivent être pris en compte pour obtenir un consentement explicite au traitement des données à caractère personnel par le biais de cookies. Le consentement sans ambiguïté à accepter pour les cookies doit préciser la finalité de l’utilisation des cookies et la période de stockage en fonction de cette finalité, et préciser s’il s’agit de cookies de première ou de tierce partie. En outre, le consentement explicite doit être révocable.
En bref, si des cookies de tiers sont placés sur un site web, le propriétaire du site et le tiers doivent informer les utilisateurs de l’utilisation de cookies et obtenir leur consentement explicite. Cette obligation doit être remplie conformément à la loi et aux lignes directrices publiées par l’Autorité.
La décision n° 2020/173 du 27/02/2020 de la Commission de protection des données personnelles porte sur les questions suivantes concernant le traitement des données personnelles par le biais des cookies :
- Une action délibérée est nécessaire pour obtenir le consentement exprès, car la visite d’un site web n’implique pas automatiquement l’octroi d’une autorisation expresse à l’utilisation de cookies par ce site web.
- Le propriétaire des données doit être informé avant ou au moins pendant le traitement de ses données.
- Lors de l’obtention du consentement explicite pour le traitement des données à caractère personnel au moyen de cookies, il faut demander séparément au propriétaire des données s’il a lu le texte explicatif et s’il donne ainsi son consentement explicite à la procédure.
Les sites web doivent respecter et prendre en compte différents facteurs selon qu’ils utilisent des cookies pour traiter des données à caractère personnel pour eux-mêmes ou pour des tiers. Bien que les décisions et les lignes directrices de l’Autorité fournissent une feuille de route pour le sujet en question, il est toujours essentiel d’informer correctement le propriétaire des données et d’obtenir son consentement explicite et éclairé.
[1] https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/fb193dbb-b159-4221-8a7b-3addc083d33f.pdf
