Guide de conformité au consentement des cookies PDPA au Sri Lanka : loi n° 9 de 2022 en vigueur pour les éditeurs en 2026
Le Sri Lanka a passé plus d'une décennie dans le processus législatif avant que sa loi sur la protection des données personnelles soit finalement adoptée sous la forme de la loi n° 9 de 2022, certifiée par le Président du Parlement le 19 March 2022. La loi adopte la large architecture qui est devenue la norme mondiale depuis le GDPR — limitation des finalités, base légale, droits des personnes concernées, responsabilité, contrôles des transferts transfrontaliers, notification des violations et un régulateur indépendant doté de pouvoirs de sanctions administratives — mais les intègre dans un régime adapté aux réalités commerciales et constitutionnelles de l'Asie du Sud. La loi est entrée en vigueur par étapes à compter du 17 March 2023, les obligations substantielles se déclenchant 18 mois plus tard et les dispositions d'application progressivement mises en œuvre tout au long de 2025 et 2026. Pour les éditeurs et tout autre entité traitant des données personnelles de personnes situées au Sri Lanka, l'implication est directe : une posture de consentement aux cookies qui satisfaisait à l'ensemble hétéroclite de règles sectorielles antérieures n'est plus suffisante, et une posture qui satisfait au GDPR ne satisfera au PDPA que si l'intégration est configurée pour les points spécifiques où les deux régimes divergent.
Ce que la PDPA du Sri Lanka exige réellement
La PDPA s'applique au traitement des données personnelles des personnes concernées qui se trouvent au Sri Lanka, quelle que soit la localisation du responsable du traitement ou du sous-traitant, et aux responsables du traitement et sous-traitants établis au Sri Lanka quelle que soit la localisation des personnes concernées. La portée extraterritoriale reflète l'article 3 du GDPR et signifie qu'un éditeur sans bureau au Sri Lanka mais comptant des lecteurs, des installations d'applications ou des clients payants sri-lankais est clairement dans le champ d'application. Les données personnelles sont définies au sens large comme toute information relative à une personne physique vivante identifiée ou identifiable, les données de catégorie spéciale comprenant les données biométriques, génétiques, financières, de santé, raciales, ethniques, de convictions religieuses, d'opinions politiques et de casier judiciaire traitées selon des règles plus strictes.
La loi établit sept principes fondamentaux de protection des données, six bases légales pour le traitement, le catalogue standard des droits des personnes concernées — accès, rectification, effacement, limitation, opposition et portabilité des données lorsqu'elle est techniquement réalisable — et un régulateur, l'autorité de protection des données du Sri Lanka, avec le pouvoir d'émettre des directives, d'infliger des sanctions administratives jusqu'à LKR 10 millions par violation et de renvoyer les affaires graves aux poursuites pénales.
Comment la PDPA traite spécifiquement le consentement aux cookies
La PDPA ne contient pas de disposition distincte de style ePrivacy sur les cookies, à la manière de la directive ePrivacy de l'UE. Au lieu de cela, elle intègre le traitement des cookies dans le cadre général du consentement de style GDPR : tout traitement de données personnelles qui repose sur le consentement comme base légale doit être obtenu sur la base d'un acte affirmatif clair par lequel la personne concernée manifeste son accord, librement consenti, spécifique, éclairé et sans ambiguïté. L'autorité a indiqué, en cohérence avec la tendance mondiale, que les cases pré-cochées, le langage de navigation continue et les bannières de consentement groupé ne constituent pas des formes valides de consentement en vertu de la loi.
L'effet pratique est la même posture que les éditeurs opérant dans l'EEE maintiennent déjà : les cookies et toute technologie analogique de stockage et d'accès qui ne sont pas strictement nécessaires à la fourniture du service ne doivent pas être placés avant que l'utilisateur y ait activement consenti. Les cookies strictement nécessaires — identifiants de session, contenus du panier, jetons de sécurité, cookies d'équilibrage de charge — peuvent être placés sans consentement car ils relèvent de la base d'intérêt légitime liée au service que l'utilisateur a activement demandé. Tout le reste, notamment l'analytique, la publicité, la personnalisation, les tests A/B, la relecture de session et tout tag tiers, requiert un consentement préalable.
En quoi la PDPA diffère du GDPR
Trois différences importent pour la couche d'intégration. Premièrement, le catalogue de bases légales de la PDPA comprend une base d'intérêt public et d'obligation légale qui s'apparentent étroitement à l'article 6 du GDPR mais n'inclut pas la base d'intérêt légitime autonome sous la forme à laquelle les éditeurs européens recourent pour le traitement de mesure publicitaire. L'équivalent dans la PDPA est plus étroit, nécessitant un test d'équilibre documenté qui est déposé dans le registre des activités de traitement du responsable et mis à la disposition de l'autorité sur demande. Deuxièmement, les règles de transfert transfrontalier de la PDPA exigent que l'autorité désigne les juridictions de destination, et les transferts vers des juridictions non désignées requièrent soit un consentement explicite, des garanties contractuelles approuvées par l'autorité, soit l'une des dérogations restrictives. Troisièmement, le délai de notification de violation de la PDPA est plus court pour les violations à haut risque et plus long pour les violations à faible risque que la règle uniforme de 72 heures du GDPR — les responsables doivent notifier sans délai indu et, si possible, dans un délai que les orientations de l'autorité ont resserré au cours de la période de commencement échelonné.
À quoi ressemble une bannière de cookies conforme sous la PDPA
Les exigences techniques convergent avec ce que tout CMP moderne produit déjà, mais l'étiquetage et le journal de consentement doivent refléter les spécificités du Sri Lanka. La bannière de premier niveau doit présenter à l'utilisateur un vrai choix — accepter, refuser, gérer — où l'option de refus est au moins aussi visible que l'option d'acceptation. Le consentement groupé est interdit, de sorte que le deuxième niveau doit permettre un opt-in par catégorie couvrant au minimum l'analytique, la publicité et tout traitement dépendant de transferts transfrontaliers. Les catégories doivent être définies par défaut sur désactivé ; la bannière ne doit pas charger les tags avant que l'utilisateur ne les ait activement activés.
L'avis de confidentialité affiché depuis la bannière doit identifier le responsable du traitement, les catégories de données personnelles collectées, la base légale de chaque finalité de traitement, la durée de conservation des données, les catégories de destinataires y compris les sous-traitants opérant hors du Sri Lanka, les droits de la personne concernée en vertu de la PDPA, et les coordonnées de l'autorité pour les réclamations. Un avis répondant à la norme de l'article 13 du GDPR se recoupera substantiellement, mais les lignes de contact avec l'autorité et la juridiction de transfert transfrontalier doivent être ajoutées explicitement.
Le schéma d'intégration qui passe en revue une révision de l'autorité
L'implémentation de référence comporte quatre parties mobiles. La première est un CMP qui prend en charge l'opt-in par catégorie, désactivé par défaut, et expose le choix de l'utilisateur via une chaîne de consentement structurée que l'éditeur peut conserver dans un journal de consentement. La deuxième est une couche de chargement de tags — généralement un gestionnaire de tags côté serveur ou une passerelle de script native au CMP — qui applique strictement l'état du consentement avant de permettre l'installation d'un cookie non essentiel. La troisième est un journal de consentement côté serveur qui enregistre pour chaque événement de consentement le choix de l'utilisateur par catégorie, l'horodatage, la version de la bannière de consentement, l'adresse IP (tronquée ou hachée si le responsable a décidé que cela satisfaisait son analyse de minimisation des données), et les catégories accordées par rapport aux catégories refusées. La quatrième est un chemin de retrait au moins aussi facile que l'octroi initial — un lien persistant de réouverture de la bannière dans le pied de page est le schéma que l'autorité a tacitement approuvé en référence aux meilleures pratiques internationales.
- Les tags d'analytique ne doivent être chargés qu'après l'octroi de la catégorie analytique ; Google Analytics 4, Adobe Analytics, Matomo, Amplitude et Mixpanel supportent tous une configuration déclenchée par consentement qui empêche toute écriture de cookie avant l'ouverture de la passerelle.
- Les tags publicitaires — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, les enchérisseurs programmatiques en en-tête — doivent être similairement verrouillés et, là où le partenaire publicitaire transfère des données hors du Sri Lanka, la juridiction de destination du partenaire doit figurer dans l'avis de confidentialité.
- Les outils de relecture de session et de carte de chaleur — Hotjar, Microsoft Clarity, FullStory — doivent être placés derrière une passerelle distincte et plus stricte car l'autorité, en cohérence avec l'EDPB, a signalé le rendu des champs de saisie comme une catégorie nécessitant un consentement explicite et granulaire.
- Les divulgations de transferts transfrontaliers doivent être spécifiques à chaque juridiction de destinataire, et non génériques. L'autorité a indiqué que les données sont traitées par des prestataires de services dans le monde entier n'est pas une divulgation suffisante.
Validation et posture d'audit pour 2026
Un déploiement sri-lankais défendable en 2026 doit passer quatre vérifications. Premièrement, une session de navigateur propre servie depuis une adresse IP sri-lankaise doit produire zéro cookie non essentiel avant que la bannière n'ait été actionnée. Deuxièmement, le parcours tout-refuser doit aboutir à la même posture qu'une session sans action — aucun tag d'analytique, aucun tag publicitaire, aucun script de relecture de session, uniquement l'ensemble strictement nécessaire. Troisièmement, un flux tout-accepter doit produire les tags auxquels l'utilisateur a consenti et le journal de consentement doit contenir l'enregistrement correspondant. Quatrièmement, un flux de retrait doit immédiatement stopper les déclenchements de tags ultérieurs, faire expirer les cookies installés lors de la session consentie et déclencher tous les signaux de suppression ou d'opt-out en aval que les partenaires destinataires exigent.
L'exigence de piste d'audit est là où la PDPA est la plus distinctive en 2026. L'autorité a émis des orientations indiquant que les responsables du traitement devraient être en mesure de produire, sur demande, l'enregistrement de consentement spécifique qui a autorisé toute activité de traitement donnée. Cela signifie que le journal de consentement doit être interrogeable par identifiant d'utilisateur ou identifiant de session, conservé pendant une période que le responsable a documentée dans son calendrier de conservation, et exportable dans un format structuré. Un CMP correctement configuré avec un journal côté serveur, associé à une couche de chargement de tags qui applique l'état de consentement et un avis de confidentialité nommant chaque destination de transfert transfrontalier, est ce qui transforme la PDPA sri-lankaise d'une inconnue réglementaire en une partie défendable de la posture de consentement mondiale d'un éditeur.