Réforme de la protection des données en Argentine : guide de conformité sur le consentement aux cookies pour les éditeurs
L'Argentine dispose de l'un des régimes de protection des données les plus anciens d'Amérique latine. La Ley 25.326, la loi nationale sur la protection des données personnelles, a été adoptée en 2000 et a valu à l'Argentine la décision d'adéquation de la Commission européenne en 2003 — un statut qui a façonné deux décennies de droit de la vie privée en Amérique latine. Ce régime est désormais modernisé. Un projet de réforme, porté par l'Agencia de Acceso a la Información Pública (AAIP) et débattu au Congrès depuis 2023, alignerait bien plus étroitement la Ley 25.326 sur le GDPR : normes de consentement explicite, règles plus précises sur les transferts transfrontaliers, obligations dédiées aux sous-traitants et amendes administratives significatives. Pour les éditeurs opérant en Argentine ou traitant des données personnelles de résidents argentins, la réforme modifie la manière dont le consentement aux cookies doit être obtenu, enregistré et démontré. Ce guide résume ce qui change et les mesures à prendre.
Le contexte juridique
La Ley 25.326 a été rédigée avant que la publicité comportementale existe à grande échelle. Sa norme de consentement exigeait une autorisation préalable, expresse et éclairée, mais l'interprétation pratique de l'AAIP a historiquement été moins prescriptive que celle appliquée par les superviseurs européens. Les cookies, les pixels de suivi et les outils de constitution d'audiences ont opéré en Argentine sous un régime d'interprétation relativement permissif, l'application étant concentrée sur les cas flagrants plutôt que sur la conception systématique des bannières.
La réforme modifie l'environnement opérationnel de trois manières structurelles. Premièrement, elle resserre la définition du consentement pour suivre le libellé du GDPR Article 4(11) — librement donné, spécifique, éclairé et non ambigu. Deuxièmement, elle adopte un principe explicite de responsabilité qui exige que les responsables de traitement puissent démontrer leur conformité, et pas seulement l'affirmer. Troisièmement, elle relève l'amende administrative maximale à un niveau proportionnel au chiffre d'affaires de l'organisation, ce qui modifie substantiellement le calcul de l'application pour les plateformes internationales.
Ce qui constitue un consentement selon la norme réformée
Le texte réformé, dans la version la plus récente soumise au Congrès, reflète la conception européenne du consentement sur des points importants. Les cases pré-cochées ne constituent pas un consentement. L'utilisation continue d'un site web ne constitue pas un consentement. Le regroupement du consentement pour des finalités sans lien entre elles — par exemple, traiter l'acceptation des conditions d'utilisation comme une autorisation pour la publicité comportementale — ne constitue pas un consentement. L'AAIP a signalé lors d'ateliers et de consultations qu'elle entend interpréter la norme réformée par référence au corpus directif de l'EDPB, ce qui signifie que les éditeurs argentins doivent s'attendre à ce que l'application des bannières de cookies converge sur les six mêmes modes de défaillance que la Taskforce Cookie Banner de l'EDPB a documentés : boutons de refus manquants, conception de liens trompeuse, catégories pré-cochées, cookies mal étiquetés, mécanismes de retrait manquants et dark patterns de conception par pression.
La conséquence pratique pour les bannières de cookies en Argentine est que la conception qui passe l'examen de l'EU passera également l'examen argentin dans le cadre de la réforme. À l'inverse, une bannière qui opérait en Argentine sous l'ancienne interprétation plus légère peut nécessiter une refonte substantielle avant l'entrée en vigueur de la loi réformée.
Transferts transfrontaliers de données
L'un des changements les plus importants de la réforme concerne le traitement des transferts internationaux de données. Sous la Ley 25.326 telle qu'elle était initialement promulguée, les transferts vers des pays sans protection adéquate nécessitaient soit un consentement spécifique, soit une garantie contractuelle, mais les règles étaient lacunaires et l'AAIP disposait d'une capacité d'application limitée. La réforme introduit un cadre à plusieurs niveaux qui est le pendant du Chapter V du GDPR : les transferts sont autorisés vers les pays que l'AAIP désigne comme adéquats ; en l'absence d'adéquation, les transferts nécessitent des instruments approuvés tels que des règles d'entreprise contraignantes, des clauses contractuelles types approuvées par l'AAIP, ou des dérogations spécifiques.
Pour les éditeurs qui acheminent le trafic argentin par des prestataires de technologie publicitaire américains, européens ou asiatiques, la conséquence pratique est que l'enregistrement du consentement aux cookies doit désormais également soutenir une obligation de responsabilité en matière de transfert. La CMP doit être en mesure de montrer, pour tout visiteur donné, quelles catégories de prestataires ont reçu ses données personnelles et selon quel instrument de transfert. C'est la même architecture de responsabilité que les éditeurs européens ont construite pour le GDPR, appliquée au trafic argentin.
Le rôle de l'AAIP
L'Agencia de Acceso a la Información Pública est l'autorité argentine de protection des données. Créée en 2017 par le Decreto 746/2017, elle regroupe la supervision des régimes de protection des données et d'accès à l'information. Sous le droit actuel, ses pouvoirs coercitifs sont modestes ; la réforme les renforce substantiellement.
Pouvoirs d'enquête
La réforme confère à l'AAIP des pouvoirs renforcés pour contraindre à la production de documents, effectuer des inspections et imposer des mesures provisoires pendant les enquêtes. Pour les éditeurs en ligne, cela se manifestera le plus probablement sous la forme de demandes de journaux de consentement, de listes de prestataires et de captures de code de bannière couvrant des plages de dates spécifiques.
Régime de sanctions
Les amendes administratives maximales prévues par le texte réformé sont liées à un pourcentage du chiffre d'affaires annuel, plafonné à un montant absolu élevé. C'est un changement significatif par rapport au régime actuel à montant fixe et aligne l'Argentine sur la structure d'amendes à deux niveaux du GDPR.
Coordination avec les homologues latino-américains
L'AAIP est un participant actif du Réseau ibéro-américain de protection des données. Les orientations argentines réformées devraient influencer — et être influencées par — l'ANPD du Brésil, l'INAI du Mexique, le régime réformé du Chili et l'URCDP de l'Uruguay. Les éditeurs opérant dans la région doivent s'attendre à une convergence sur les normes de consentement d'ici 24 à 36 mois.
Ce que les éditeurs devraient faire maintenant
La réforme est en mouvement législatif, pas encore en vigueur. La posture prudente consiste à construire dès maintenant selon la norme la plus élevée, en supposant que l'entrée en vigueur interviendra dans les 12 à 18 mois. Cinq étapes opérationnelles rendent la transition gérable.
- Auditer la bannière actuelle selon les critères de la taskforce EDPB. Si elle échoue à l'un des six modes de défaillance courants, la même bannière échouera sous la norme argentine réformée une fois en vigueur. La remédiation maintenant évite un travail en double plus tard.
- Ajouter des versions de bannière et de politique en espagnol. L'espagnol argentin (es-AR) est la langue principale côté utilisateur ; assurez-vous que la CMP le prend en charge nativement, pas seulement l'espagnol générique.
- Cartographier la liste des prestataires sur les instruments de transfert. Pour chaque prestataire adtech, analytique ou marketing qui reçoit des données personnelles argentines, documenter l'instrument de transfert : adéquation, clauses contractuelles types, règles d'entreprise contraignantes ou dérogation.
- Configurer la journalisation du consentement avec une granularité régionale. Les journaux de consentement doivent enregistrer le pays d'origine du visiteur (dérivé de l'adresse IP au moment de l'affichage de la bannière) afin qu'une enquête de l'AAIP puisse recevoir une réponse avec des preuves filtrées par pays.
- Désigner un point de contact pour la correspondance avec l'AAIP. De nombreux éditeurs internationaux opèrent en Argentine sans représentant local formel ; la réforme fait de la désignation d'un contact auprès de l'autorité de contrôle une nécessité pratique.
Au-delà des bannières de cookies
La réforme argentine est plus large que le consentement aux cookies. Elle refondue les délais de notification des violations, introduit des protections spécifiques pour les catégories de données sensibles et crée de nouvelles obligations autour de la prise de décision automatisée. Pour les éditeurs, la bannière de cookies est la surface de conformité la plus visible, mais ce n'est pas la seule. La même infrastructure CMP qui enregistre le consentement aux cookies est bien positionnée pour enregistrer d'autres décisions de consentement — consentement aux communications, consentement au partage de données avec des partenaires de retail media, consentement pour les fonctionnalités de personnalisation — et l'exigence de responsabilité de l'AAIP s'applique à toutes.
La réforme reflète un schéma plus large : l'Amérique latine s'oriente vers des normes alignées sur le GDPR, avec des mises en œuvre nationales adaptées aux traditions juridiques locales. Les éditeurs qui construisent dès maintenant une pile de consentement indépendante de la région — qui enregistre un consentement granulaire spécifique aux finalités, prend en charge plusieurs langues et formats de date, consigne les décisions dans un format de qualité audit et s'intègre à la documentation des transferts — gèrent la conformité argentine, brésilienne, mexicaine et chilienne via le même pipeline opérationnel. Le coût de la construction pour une seule juridiction puis de l'adaptation à la suivante a historiquement été plus élevé que le coût de la construction selon la norme régionale dès le départ.