Un arrêt historique de la Cour de justice de l'Union européenne (CJUE) dans l'affaire Bundeskartellamt a établi que les cookies d'analyse web peuvent, et le font fréquemment, collecter des données personnelles sensibles au sens du RGPD. Cette décision a des implications profondes pour toute organisation utilisant des outils d'analyse ou de marketing basés sur les cookies.

Contexte de l'affaire

L'affaire trouve son origine dans une décision de 2019 de l'autorité allemande de la concurrence selon laquelle un réseau social majeur abusait de sa position dominante sur le marché. L'autorité a ordonné des modifications des conditions d'utilisation de l'entreprise, statuant notamment que la collecte de données hors plateforme via des cookies et des traceurs nécessitait le consentement de l'utilisateur. Lorsque l'affaire est arrivée devant la CJUE, la cour a rendu des arrêts allant bien au-delà du périmètre initial.

La conclusion sur les données sensibles

La cour a déterminé que les technologies de suivi collectent des données sensibles lorsque les utilisateurs visitent certaines catégories de sites web ou utilisent des applications spécifiques. Point crucial, la cour a précisé qu'un jeu de données entier doit être traité comme donnée sensible s'il contient la moindre information sensible. Si ne serait-ce qu'un visiteur sur des milliers consulte du contenu lié à la santé ou visite des sites en rapport avec l'orientation sexuelle, les convictions politiques ou les affiliations religieuses, toutes les données de navigation collectées doivent bénéficier des protections renforcées requises pour les données sensibles en vertu du RGPD.

Ce raisonnement s'applique non seulement au suivi des réseaux sociaux mais à tout service d'analyse basé sur les cookies, puisque les mécanismes de suivi sous-jacents fonctionnent de manière identique.

Conséquences pour l'analytique basée sur les cookies

Les données sensibles ne peuvent être traitées que sur des bases juridiques très spécifiques, et pour l'analytique web, la seule option réaliste est le consentement explicite -- un standard plus élevé que le consentement ordinaire. L'écosystème publicitaire actuel peine déjà à obtenir un consentement de base valide via les bannières de cookies. Atteindre le niveau du consentement explicite est fonctionnellement impossible pour la plupart des implémentations.

De plus, le traitement à grande échelle de données sensibles déclenche des analyses d'impact sur la protection des données (AIPD) obligatoires en vertu de l'article 35 du RGPD. De nombreux sites utilisant des analyses basées sur les cookies devraient formellement évaluer et justifier les risques pour la vie privée liés à l'alimentation de réseaux publicitaires avec les données de navigation des visiteurs.

Les implications plus larges

Cet arrêt rend la position de conformité des outils d'analyse basés sur les cookies considérablement plus précaire. Les organisations exploitant des sites liés à la santé, la politique, la religion ou d'autres sujets sensibles font face au risque le plus immédiat. Cependant, étant donné que pratiquement n'importe quel site peut être visité par des utilisateurs dont les habitudes de navigation révèlent des informations sensibles, l'arrêt s'applique effectivement de manière générale. L'autorité norvégienne de protection des données a déjà publié des orientations reflétant cette interprétation.

Les approches analytiques sans cookies qui évitent complètement la collecte de données personnelles contournent ce problème en ne créant pas de jeux de données susceptibles de contenir des informations sensibles.