Guide de consentement aux cookies selon la Privacy Protection Law d'Israël : conformité à l'Amendment 13 pour les éditeurs
La Privacy Protection Law d'Israël a une longue lignée. Le texte original remonte à 1981, la Privacy Protection Authority — l'autorité de régulation de la protection des données du pays — a été créée en 2006, et l'EU reconnaît Israël comme une juridiction adéquate pour les transferts de données personnelles depuis 2011, l'un des rares pays à détenir ce statut. Pendant la majeure partie de cette période, les normes substantielles étaient globalement alignées sur le GDPR mais l'architecture d'application était plus légère et les spécificités techniques moins développées. L'Amendment 13, entré en vigueur en août 2025, change cela. L'amendement modernise la norme de consentement, élargit le cadre des droits, affine les règles de transfert transfrontalier et renforce substantiellement les pouvoirs d'application de la Privacy Protection Authority. Pour les éditeurs opérant en Israël ou ciblant le trafic israélien — un marché avec l'une des populations les plus engagées numériquement au monde — l'effet pratique est que la conformité au consentement aux cookies et au suivi en ligne est désormais sensiblement plus proche de la norme européenne. Ce guide explique ce qui a changé, quelle est la norme opérationnelle actuelle et sur quoi les éditeurs devraient concentrer leur travail de mise en conformité.
La Privacy Protection Law en 2026
Le cadre israélien repose sur trois niveaux : la Privacy Protection Law elle-même (le statut principal), les Privacy Protection Regulations (qui complètent les détails opérationnels, notamment les Data Security Regulations de 2017), et les directives et documents de position publiés par la Privacy Protection Authority. L'Amendment 13 modifie le premier niveau et déclenche des mises à jour du deuxième ; le troisième — l'orientation interprétative de l'Authority — a été mis à jour en continu depuis l'entrée en vigueur de l'amendement.
Les principes fondamentaux seront familiers à quiconque travaille avec le GDPR : base légale, limitation de la finalité, minimisation des données, exactitude, limitation de la conservation, intégrité et responsabilité. Les bases légales selon la loi israélienne comprennent le consentement, l'exécution du contrat, l'obligation légale, l'intérêt public et l'intérêt légitime, chacune avec sa propre portée. Pour le suivi en ligne, les bases pertinentes sont le consentement et, dans des circonstances limitées, l'intérêt légitime — le même cadre que la plupart des opérateurs connaissent déjà.
Ce que l'Amendment 13 a réellement changé
L'amendement est plus large que le consentement aux cookies, mais quatre changements importent le plus pour les éditeurs en ligne.
Norme de consentement renforcée
L'amendement renforce la définition du consentement pour exiger qu'il soit librement donné, spécifique, éclairé et sans ambiguïté — un langage suivant de près l'Article 4(11) du GDPR. Le consentement implicite et le consentement par usage continu, qui avaient été acceptés de manière ambiguë selon l'ancienne interprétation, sont désormais clairement insuffisants pour le suivi non essentiel.
Droits des personnes concernées élargis
Les droits d'accès, de rectification, d'effacement et d'opposition sont clarifiés et élargis. L'amendement introduit des délais explicites pour les réponses (45 jours, prolongeables de 30 dans les cas complexes) et clarifie l'obligation de l'éditeur de fournir un chemin clair pour l'exercice des droits.
Cadre de transfert transfrontalier plus précis
Les transferts vers des juridictions non adéquates nécessitent désormais des garanties explicites — clauses contractuelles types, règles d'entreprise contraignantes ou dérogations spécifiques. Le cadre est plus proche du Chapter V du GDPR que de l'ancienne approche israélienne, et l'Authority a commencé à publier des clauses types similaires aux SCC de l'EU.
Pouvoirs d'application renforcés
Les amendes administratives sont considérablement augmentées. La pénalité maximale est liée à un pourcentage du chiffre d'affaires de l'organisation avec un plafond absolu élevé, similaire à la structure à plusieurs niveaux du GDPR. L'Authority s'est vu accorder des pouvoirs d'enquête élargis, notamment la capacité d'exiger la production de documents et de mener des inspections sur site.
Consentement aux cookies selon la norme amendée
La Privacy Protection Law ne contient pas de disposition spécifique aux cookies comme le fait la directive ePrivacy de l'EU. Au lieu de cela, l'exigence de consentement découle de la norme générale de consentement et de l'orientation interprétative de l'Authority. L'orientation de 2026 sur le suivi en ligne, publiée peu après l'entrée en vigueur de l'Amendment 13, articule des attentes qui s'alignent étroitement sur les critères du groupe de travail sur les bannières de cookies de l'EDPB.
Éléments de bannière requis
L'Authority s'attend à ce que les bannières incluent une option de rejet explicite sur la première couche, des contrôles de catégories granulaires séparant les cookies strictement nécessaires de l'analyse et du marketing, et un mécanisme de retrait clair. Les cases pré-cochées et la conception trompeuse de liens sont des défauts explicites. L'attente est une convergence avec les normes européennes et toute bannière qui passe l'examen de l'EU satisfera l'Authority.
Exigence de langue hébraïque
Les bannières servant le trafic israélien devraient être disponibles en hébreu. L'Authority n'a pas formalisé cela comme une exigence stricte mais a noté dans son orientation que la disponibilité en hébreu fait partie du volet éclairé de la norme de consentement pour les audiences hébréophones.
Documentation et responsabilité
Le principe de responsabilité dans la loi israélienne suit celui du GDPR. Les éditeurs doivent être en mesure de démontrer les décisions de consentement sur demande. La journalisation de qualité audit — horodatage, version de la bannière, choix, juridiction du visiteur — est l'exigence pratique.
La question de l'adéquation de l'EU
La décision d'adéquation de l'EU pour Israël est l'une des caractéristiques les plus stratégiquement importantes de son régime de protection de la vie privée. La décision de 2011 permet aux données personnelles de circuler de l'EU vers Israël sans garanties supplémentaires, rendant les opérateurs israéliens des partenaires nettement plus attractifs pour les entreprises européennes que les opérateurs dans des juridictions non adéquates. Le processus d'examen périodique de l'adéquation de la Commission exige que le cadre d'Israël reste au niveau des normes européennes. L'Amendment 13 a été, en partie significative, motivé par le maintien de l'adéquation lors du prochain cycle d'examen.
Pour les éditeurs, l'implication pratique est que la conformité avec le cadre israélien amendé ne concerne pas seulement l'évitement de l'application domestique ; il s'agit de préserver le statut d'adéquation du pays et l'accès privilégié aux flux de données européennes que ce statut fournit. Les priorités d'application de l'Authority reflètent cela — les défauts de conception de bannière sur les sites israéliens sont pris plus au sérieux par l'Authority que les mêmes défauts ne le seraient dans des juridictions non adéquates en raison des implications systémiques sur l'adéquation.
La posture d'application de la Privacy Protection Authority
L'Authority opère au sein du ministère de la Justice mais avec une indépendance opérationnelle substantielle. Sa posture d'application a historiquement été mesurée — renforcement des capacités, consultation sectorielle et cas ciblés de haut profil plutôt qu'un volume élevé d'amendes — mais la boîte à outils élargie de l'Amendment 13 a sensiblement modifié le schéma.
Déclencheurs d'enquête
L'Authority ouvre des enquêtes principalement par trois canaux : plaintes des personnes concernées, notifications de violation et examens sectoriels. Les éditeurs en ligne ont tendance à émerger par le premier canal — une plainte concernant la conception de bannière ou le comportement de suivi devient souvent le point d'entrée.
Pratique de sanction
Les amendes de l'Authority post-Amendment 13 ont suivi un schéma : une période de remédiation offerte en premier, avec des pénalités monétaires imposées uniquement lorsque la remédiation est incomplète ou refusée. Le signal est que la posture de conformité de bonne foi importe même lorsque des défauts sont présents.
Coordination avec les régulateurs de l'EU
L'Authority participe activement aux mécanismes de coordination de type Article 29 qui impliquent les juridictions adéquates. Les positions d'application ont tendance à suivre l'orientation de l'EDPB, et les plaintes transfrontalières impliquant le trafic de l'EU et d'Israël sont de plus en plus traitées par des procédures coordonnées.
Une liste de contrôle de conformité pratique
Six questions concrètes à répondre pour toute bannière de cookies servant le trafic israélien.
- Y a-t-il un bouton de rejet explicite en première couche ? Le chemin de rejet doit être sur la même surface que l'acceptation, avec une importance visuelle comparable.
- Les catégories sont-elles granulaires ? Nécessaire, analytique et marketing doivent être contrôlables séparément ; une acceptation globale groupée sans granularité est un défaut.
- L'hébreu est-il disponible ? Pour les audiences incluant des locuteurs hébreux, la bannière et la politique devraient prendre en charge l'hébreu.
- Le retrait est-il aussi facile que le consentement ? Un contrôle persistant accessible depuis n'importe quelle page est l'attente opérationnelle.
- Les transferts transfrontaliers sont-ils documentés ? Identifiez quelles destinations se trouvent dans des juridictions non adéquates et quelle garantie autorise chaque transfert.
- La journalisation du consentement est-elle de qualité audit ? L'horodatage, la version de la bannière, le choix et la juridiction au moment de la décision doivent être récupérables.
Où Israël s'inscrit dans le tableau mondial
L'Amendment 13 d'Israël reflète un schéma plus large : les juridictions qui précèdent le GDPR modernisent leurs cadres pour maintenir l'alignement avec les normes européennes. Le Japon, le Royaume-Uni, la Corée du Sud et le Brésil ont tous suivi des trajectoires similaires. Pour les éditeurs opérant sur ces marchés, l'implication pratique est qu'une infrastructure CMP unique construite selon les normes européennes gère la majeure partie du paysage réglementaire — le cadre d'Israël, post-amendement, est fermement à l'intérieur de cette enveloppe. La valeur stratégique est double : conformité domestique plus participation continue à la relation privilégiée de flux de données avec l'EU que le statut adéquat fournit. L'investissement dans l'architecture de bannière appropriée et la journalisation du consentement que la conformité européenne justifie déjà est, en Israël, un investissement plus directement défendable que dans la plupart des juridictions non adéquates.