Le paysage de la protection des données au Royaume-Uni après le Brexit

Lorsque le Royaume-Uni a quitté l’Union européenne, il n’a pas abandonné la protection des données. Le pays a intégré le RGPD de l’UE dans son droit interne sous la forme du UK GDPR, qui coexiste avec le Data Protection Act 2018. Pour les cookies en particulier, le Privacy and Electronic Communications Regulations (PECR) — la transposition britannique de la directive ePrivacy — continue de s’appliquer. Il en résulte un cadre de protection de la vie privée qui reflète étroitement celui de l’UE, mais qui est appliqué de manière indépendante par l’Information Commissioner’s Office (ICO) du Royaume-Uni.

Pour les exploitants de sites web, cela signifie que le fait de servir des visiteurs britanniques impose de prêter attention à un ensemble distinct de règles, de lignes directrices et de pratiques de contrôle. Bien que le fond soit similaire à celui du RGPD de l’UE, les nuances comptent.

UK GDPR vs EU GDPR : principales différences

L’UK GDPR est, dans ses principes et exigences fondamentaux, largement identique au RGPD de l’UE. Toutefois, plusieurs différences sont apparues depuis le Brexit :

• Autorité de contrôle : l’ICO est l’unique autorité de contrôle pour l’UK GDPR, remplaçant le rôle des autorités de protection des données de l’UE. Vous ne pouvez pas être sanctionné à la fois par l’ICO et par une DPA de l’UE pour une même opération de traitement concernant uniquement des résidents britanniques.
• Adéquation des données : l’UE a accordé au Royaume-Uni une décision d’adéquation en juin 2021, permettant la libre circulation des données personnelles de l’UE vers le Royaume-Uni. Cette décision fait l’objet de réexamens périodiques. Le Royaume-Uni a, en retour, reconnu l’EEE comme adéquat.
• Transferts internationaux : le Royaume-Uni dispose de son propre cadre pour les transferts internationaux de données, le Secrétaire d’État (plutôt que la Commission européenne) rendant les décisions d’adéquation. Le Royaume-Uni a annoncé une approche plus flexible des transferts internationaux, même si les garanties essentielles demeurent.
• Approche de l’application : historiquement, l’ICO privilégie le dialogue et l’accompagnement plutôt que des sanctions agressives. Les amendes maximales prévues par l’UK GDPR reflètent celles de l’UE : jusqu’à 17,5 millions de GBP ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
• Divergence potentielle : le gouvernement britannique a envisagé des réformes via le Data Protection and Digital Information Bill, qui pourraient modifier l’évaluation des intérêts légitimes, les exemptions pour la recherche et le rôle des Data Protection Officers. Les exploitants de sites web doivent suivre cette législation pour anticiper d’éventuels changements.

PECR : la loi britannique sur les cookies

Alors que l’UK GDPR fournit le cadre général du traitement des données personnelles, le PECR régit spécifiquement les cookies et technologies similaires. Le PECR est antérieur au RGPD et transpose la directive ePrivacy de l’UE en droit britannique. Ses principales exigences pour les cookies sont les suivantes :

• Le consentement est requis avant le dépôt de tout cookie non essentiel sur l’appareil d’un utilisateur. Cela inclut les cookies d’analytics, de publicité et de réseaux sociaux.
• Des informations doivent être fournies sur les cookies déposés et leurs finalités, dans un langage clair et compréhensible.
• Le consentement doit être libre, spécifique et éclairé. Les cases précochées ne constituent pas un consentement valable.
• Les cookies strictement nécessaires sont exemptés. Les cookies indispensables à un service explicitement demandé par l’utilisateur (comme les cookies de session pour les fonctionnalités de connexion ou les cookies de panier d’achat) ne nécessitent pas de consentement.

La norme de consentement du PECR est alignée sur la définition du consentement dans le RGPD, ce qui signifie qu’en pratique, les exigences sont très proches de celles de la directive ePrivacy de l’UE. Un bandeau cookies conforme aux règles de l’UE sera généralement conforme au PECR.

Lignes directrices de l’ICO sur les bandeaux cookies

L’ICO a publié des lignes directrices détaillées sur la conformité en matière de cookies, qui vont au-delà du texte même du PECR. Les points clés de ces lignes directrices sont les suivants :

Le consentement doit être affirmatif

Le simple fait de poursuivre la navigation sur un site ne constitue pas un consentement. L’ICO indique explicitement que le consentement implicite n’est pas valable. Les utilisateurs doivent accomplir une action claire et positive (comme cliquer sur un bouton « Accepter ») avant que des cookies non essentiels puissent être déposés.

Le refus doit être tout aussi simple

L’ICO se montre de plus en plus critique à l’égard des dark patterns dans les bandeaux cookies. En particulier :

• Une option « Tout refuser » ou équivalente doit être proposée au même niveau que « Tout accepter ». Dissimuler l’option de refus derrière un écran « Gérer les préférences » n’est pas acceptable.
• Le design visuel ne doit pas utiliser la couleur, la taille ou le positionnement pour pousser les utilisateurs à accepter.
• Le langage doit être neutre et ne pas chercher à culpabiliser ou à faire pression sur les utilisateurs pour obtenir leur consentement.

Contrôle granulaire par catégorie

Les utilisateurs doivent pouvoir consentir à des catégories spécifiques de cookies (analytics, marketing, fonctionnels) plutôt que d’être confrontés à un choix tout ou rien. Même si l’ICO n’impose pas un nombre précis de catégories, offrir un contrôle granulaire constitue une bonne pratique et peut être requis au regard du principe de limitation des finalités du RGPD.

Les cookie walls sont problématiques

L’ICO considère que les cookie walls — lorsque l’accès à un site est refusé si l’utilisateur n’accepte pas tous les cookies — sont peu susceptibles de constituer un consentement valable, car le consentement ne serait pas libre. Des exceptions peuvent exister pour les contenus payants lorsqu’une véritable alternative sans cookies est proposée.

Actions récentes de l’ICO en matière d’application

L’ICO a progressivement accru son attention sur la conformité aux règles relatives aux cookies ces dernières années. Parmi les actions notables :

• Audits sectoriels : l’ICO a mené des audits des 100 principaux sites britanniques dans plusieurs secteurs, publiant des conclusions faisant état d’une non-conformité généralisée. Les problèmes fréquents incluaient le dépôt de cookies avant le consentement, l’absence d’option de refus et des informations insuffisantes sur les finalités des cookies.
• Lettres d’avertissement : à la suite de ces audits, l’ICO a adressé des lettres d’avertissement aux organisations dont les pratiques en matière de cookies étaient insuffisantes. La plupart ont mis leurs pratiques en conformité après réception de ces lettres.
• Enquêtes sur l’adtech : l’ICO mène des enquêtes continues sur l’écosystème des enchères en temps réel, exprimant des préoccupations quant au volume de données personnelles partagées via les cookies de publicité programmatique sans consentement adéquat.
• Application dans le secteur public : l’ICO n’a pas exempté les sites gouvernementaux, publiant des lignes directrices et des avertissements à l’attention des organismes publics concernant leurs pratiques de cookies.

Bien que l’ICO n’ait pas encore infligé de sanctions financières majeures spécifiquement pour des violations liées aux cookies, la tendance est clairement à un renforcement de l’application. Le régulateur a indiqué qu’il s’attend désormais à ce que les organisations soient conformes et que des mesures coercitives suivront pour celles qui ne s’améliorent pas.

Transferts internationaux de données : du Royaume-Uni vers l’UE et au-delà

Le consentement aux cookies recoupe de manière importante la question des transferts internationaux de données. Lorsque des cookies d’analytics ou de publicité envoient des données vers des serveurs situés hors du Royaume-Uni — comme Google Analytics qui envoie des données vers les serveurs de Google, ou Facebook Pixel vers les serveurs de Meta — il s’agit de transferts internationaux de données au sens de l’UK GDPR.

Situation actuelle :

• Royaume-Uni vers EEE : les données circulent librement grâce à la reconnaissance par le Royaume-Uni de l’adéquation de l’EEE.
• Royaume-Uni vers États-Unis : l’UK Extension to the EU-US Data Privacy Framework fournit un mécanisme pour les transferts vers les organisations américaines certifiées. Google et Meta sont certifiées dans ce cadre.
• Royaume-Uni vers d’autres pays : des garanties appropriées, telles que les Standard Contractual Clauses (version britannique) ou des règles d’entreprise contraignantes, sont requises.

En pratique, si vous utilisez Google Analytics, Google Ads ou d’autres grandes plateformes publicitaires, les mécanismes de transfert international sont en place. Toutefois, vous devez documenter ces transferts dans votre politique de confidentialité et veiller à ce que votre bandeau cookies mentionne que les données peuvent être transférées à l’international.

Géociblage FlexyConsent pour une conformité spécifique au Royaume-Uni

FlexyConsent propose un géociblage dédié pour les visiteurs britanniques, garantissant le respect du cadre réglementaire propre au Royaume-Uni :

• Bandeau conforme au PECR : les visiteurs britanniques voient un bandeau de consentement conforme aux exigences de l’ICO, incluant une option de refus aussi visible que l’option d’acceptation et des contrôles granulaires par catégorie. Aucun cookie n’est déposé avant la réception d’un consentement affirmatif.
• Séparé de la configuration UE : bien que les exigences soient similaires, FlexyConsent permet de configurer de manière indépendante les expériences de consentement pour le Royaume-Uni et l’UE. Cela pérennise votre implémentation face à une éventuelle divergence réglementaire entre le Royaume-Uni et l’UE.
• Design aligné sur l’ICO : les modèles de bandeau par défaut de FlexyConsent suivent les recommandations de l’ICO visant à éviter les dark patterns. Les options d’acceptation et de refus sont visuellement équivalentes, le langage est neutre et le design ne manipule pas les choix des utilisateurs.
• Intégration Consent Mode V2 : en tant que Google-certified CMP, FlexyConsent envoie les signaux de consentement appropriés aux services Google pour les visiteurs britanniques. Cela garantit le bon fonctionnement de la modélisation des conversions et du Smart Bidding tout en respectant les exigences de consentement du Royaume-Uni.
• Prise en charge de l’IAB TCF 2.3 : pour les éditeurs utilisant la publicité programmatique, FlexyConsent génère des chaînes de consentement TCF adaptées au Royaume-Uni, reconnues par les demand-side platforms et supply-side platforms opérant sur le marché britannique.

FlexyConsent est disponible avec des offres à partir de EUR 0 par mois, avec des intégrations natives pour WordPress, Shopify et PrestaShop. Pour les entreprises basées au Royaume-Uni en particulier, la mise en place d’un CMP certifié démontre une démarche proactive de conformité vis-à-vis de l’ICO — un facteur que le régulateur indique prendre en compte lorsqu’il décide de mesures d’application.

À retenir : le cadre de protection de la vie privée du Royaume-Uni après le Brexit reflète étroitement celui de l’UE, mais fonctionne avec son propre régulateur, ses propres pratiques d’application et, potentiellement, sa propre trajectoire législative. Traiter les visiteurs britanniques comme soumis aux mêmes règles que les visiteurs de l’UE est, pour l’instant, une approche sûre, mais conserver la capacité de configurer des expériences de consentement spécifiques au Royaume-Uni prépare votre site à s’adapter si les deux cadres venaient à diverger. Un CMP géosensible est le moyen le plus pratique de gérer cette complexité.