Guide de conformité au consentement aux cookies selon la Law 1581 de Colombie (2012) pour les éditeurs en 2026

La loi statutaire colombienne 1581 (2012), complétée par le Decree 1377 réglementaire de 2013 et consolidée dans le Decree 1074 de 2015, a établi l'un des premiers cadres complets de protection de la vie privée en Amérique latine. La Superintendencia de Industria y Comercio (SIC) est l'autorité de protection des données, et sa Delegatura para la Protección de Datos Personales a été un contrôleur inhabituellement actif par rapport à la base de référence plus large de l'Amérique latine. Pendant plus d'une décennie, le SIC a émis des milliers de sanctions, accumulé un corpus de doctrine contraignante à travers des résolutions et des avis conceptuels, et construit un régime d'enregistrement — le Registro Nacional de Bases de Datos (RNBD) — qui couvre la plupart des éditeurs en ligne soutenus par la publicité. Pour les opérateurs au service du trafic colombien, la norme opérationnelle est plus proche des normes européennes que ne pourrait le laisser entendre la version 2012 de la loi, et les Orientations du SIC de 2023 sur le suivi en ligne ont aligné explicitement les attentes en matière de bannières de cookies sur des positions de style EDPB. Ce guide explique ce que la Law 1581 exige, comment le SIC l'a interprétée pour les cookies et la publicité comportementale, et à quoi ressemble le travail pratique de conformité en 2026.

La Law 1581 en résumé

La Law 1581 est structurée autour de huit principes de l'Article 4 : légalité, finalité, liberté, véracité, transparence, accès et circulation restreints, sécurité et confidentialité. Les bases juridiques prévues par l'Article 9 sont plus étroites que celles du GDPR — le droit colombien donne au consentement un rôle plus central et traite les autres bases (contrat, intérêt public, intérêts vitaux) comme des exceptions plutôt que comme des bases parallèles. Pour le suivi en ligne, la conséquence pratique est que le consentement est presque toujours la base opérationnelle, et le SIC a rarement accepté des arguments de type intérêt légitime pour les cookies comportementaux.

La loi s'applique aux responsables du traitement et aux sous-traitants qui traitent des données à caractère personnel de personnes situées en Colombie, avec une portée extraterritoriale en vertu de l'Article 2 couvrant les opérateurs offshore qui ciblent le marché colombien. L'enregistrement auprès du RNBD du SIC est obligatoire au-delà de seuils définis, et le SIC a été visible dans la poursuite des opérateurs non enregistrés depuis 2016.

Comment la Law 1581 traite les cookies et le suivi en ligne

La Law 1581 ne contient pas de disposition spécifique aux cookies ; les obligations de consentement et d'information découlent des Articles 4, 9 et 12 de la loi et des Orientations du SIC de 2023 sur le suivi en ligne. Quatre points ont le plus d'impact opérationnel.

Consentement préalable exprès comme norme par défaut

La position de longue date du SIC, réaffirmée dans les Orientations de 2023, est que le suivi non essentiel exige un consentement préalable exprès — le droit colombien utilise "expreso e inequívoco" (exprès et non ambigu) comme norme de consentement, et le SIC l'a interprété strictement en ligne. Le consentement implicite, le consentement par défilement et les cases pré-cochées ont été rejetés dans des résolutions publiées.

Catégories granulaires et principe de proportionnalité

Les Orientations s'attendent à ce que les bannières permettent au visiteur d'accepter et de refuser les catégories indépendamment. Le SIC cadre l'acceptation groupée de tout comme une violation du principe de proportionnalité de l'Article 4(c) — nécessaire, utile et adéquat ne peut pas devenir "tout en même temps" sans violer la proportionnalité.

La langue espagnole comme langue par défaut

Le SIC a été explicite sur le fait que les avis de confidentialité et les bannières de consentement pour les publics colombiens doivent être disponibles en espagnol, et que la langue doit refléter les conventions de l'espagnol colombien là où elles diffèrent des variantes européennes ou d'autres variantes latino-américaines. Les bannières uniquement en anglais ont été citées comme des défauts dans plusieurs résolutions du SIC.

Transfert transfrontalier (Article 26)

L'Article 26 régit les transferts internationaux et exige que la juridiction de destination offre un niveau adéquat de protection. Le SIC a publié une liste d'adéquation — une liste plus restreinte que celle de l'UE — et les transferts vers des pays non répertoriés nécessitent un consentement explicite, des garanties contractuelles ou une autorisation spécifique du SIC. Pour les cookies qui acheminent des données vers des fournisseurs américains d'adtech, l'attente pratique est des garanties contractuelles documentées.

La posture d'application du SIC

Le SIC opère avec l'une des postures d'application les plus actives en Amérique latine. Trois schémas façonnent son approche.

Pratique de sanctions à fort volume

Le SIC émet des centaines de résolutions de sanctions par an et publie les principales. Le volume crée un corpus inhabituellement riche de doctrine contraignante que les opérateurs peuvent utiliser pour anticiper les attentes réglementaires — mais cela signifie également que les défauts sont détectés rapidement lorsque des plaintes arrivent.

Inspections pilotées par le RNBD

De nombreuses inspections du SIC commencent par l'enregistrement au RNBD comme point d'entrée. Un opérateur qui ne s'est pas enregistré, ou dont l'enregistrement n'est pas à jour, est plus susceptible d'attirer l'attention qu'un responsable du traitement correctement enregistré avec un traitement comparable.

Coordination ibéro-américaine

Le SIC participe activement au Ibero-American Data Protection Network (RIPD) et coordonne avec l'AAIP d'Argentine, l'INAI du Mexique (désormais restructuré), l'ANPD du Brésil, l'URCDP d'Uruguay et le régime réformé du Chili. Les affaires transfrontalières impliquant le trafic colombien et d'autres trafics ibéro-américains sont de plus en plus traitées par des procédures coordonnées.

Une liste de contrôle pratique pour la conformité

Six questions concrètes à répondre pour toute bannière de cookies au service du trafic colombien.

La place de la Colombie dans un environnement multi-juridictions

La Colombie est l'un des quatre régimes de protection des données les plus importants sur le plan opérationnel en Amérique latine, aux côtés du Brésil, du Mexique et de l'Argentine. La version 2012 de la Law 1581 est antérieure au GDPR, mais l'application active du SIC et les Orientations de 2023 ont aligné la norme opérationnelle étroitement avec les normes européennes. Pour les éditeurs qui se dirigent vers des opérations pan-latino-américaines, le cadre colombien s'associe naturellement avec le LGPD brésilien, le LFPDPPP mexicain et le régime réformé argentin — une architecture CMP construite selon les normes européennes gère l'essentiel du travail, avec trois ajouts spécifiques à la Colombie : l'enregistrement au RNBD lorsque les seuils s'appliquent, le support de la langue espagnole colombienne et le schéma de documentation transfrontalière de l'Article 26. La convergence ibéro-américaine autour des normes alignées sur le GDPR s'accélère, et l'expérience d'application mature de la Colombie en fait la juridiction régionale où la posture de conformité est le plus directement mise à l'épreuve.

← Blog Tout lire →