TL;DR
Le RGPD n'est pas la seule reglementation qui impose des regles sur les cookies et le consentement. Le Bresil (LGPD), l'Afrique du Sud (POPIA), la Thailande (PDPA), l'Inde (DPDPA) et d'autres pays ont adopte leurs propres lois sur la protection des donnees, chacune avec des exigences specifiques sur les traceurs. Pour les sites a audience internationale, gerer les cookies hors Europe est devenu aussi important que la conformite RGPD.
Pourquoi les cookies sont reglementes au-dela de l'Europe
L'Europe a ete pionniere avec le RGPD et la directive ePrivacy, mais la tendance a la reglementation de la vie privee en ligne est mondiale. Entre 2018 et 2026, plus de 40 pays ont adopte ou renforce des lois sur la protection des donnees personnelles. La plupart incluent des dispositions qui affectent directement le depot de cookies et le tracking en ligne.
Si votre site recoit du trafic du Bresil, d'Afrique du Sud, d'Asie du Sud-Est ou d'Inde, vous etes potentiellement soumis a ces reglementations, en plus du RGPD et du CCPA. Cet article passe en revue les principales lois hors Europe et ce qu'elles impliquent pour vos cookies.
LGPD (Bresil) : quelles regles pour les cookies ?
La Lei Geral de Protecao de Dados (LGPD) est la loi bresilienne sur la protection des donnees personnelles, en vigueur depuis septembre 2020. Elle est fortement inspiree du RGPD, mais presente des differences importantes sur le consentement et les bases legales applicables aux cookies.
Le consentement n'est pas la seule base legale
Contrairement au RGPD ou le consentement est la base legale dominante pour les cookies non essentiels, la LGPD prevoit dix bases legales pour le traitement des donnees. L'interet legitime est une base legale valide au Bresil, ce qui signifie que certains cookies (analytiques, par exemple) pourraient theoriquement etre deposes sans consentement prealable, a condition de respecter les principes de transparence et de necessite.
En pratique, l'autorite bresilienne (ANPD) recommande neanmoins d'obtenir le consentement pour les cookies de tracking et publicitaires. Le consentement LGPD doit etre libre, informe, inequivoque et specifique a chaque finalite.
Ce que la LGPD exige concretement
La LGPD exige une politique de confidentialite claire, l'identification des cookies deposes et de leurs finalites, un mecanisme de retrait du consentement, et la nomination d'un responsable du traitement (encarregado). Les categories de cookies (necessaires, analytiques, publicitaires) sont pertinentes dans ce contexte bresilien.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
POPIA (Afrique du Sud) : le RGPD du continent africain
Le Protection of Personal Information Act (POPIA) est la loi sud-africaine sur la protection des donnees, pleinement applicable depuis juillet 2021. Elle s'applique a toute organisation qui traite les donnees personnelles de residents sud-africains, y compris les sites web etrangers.
Consentement et cookies sous POPIA
POPIA exige que le traitement des donnees soit justifie par l'une des bases legales prevues par la loi. Le consentement est l'une d'entre elles, mais l'interet legitime (section 11(1)(f)) peut aussi s'appliquer dans certains cas. Pour les cookies publicitaires et de tracking, le consentement prealable est recommande par l'Information Regulator (l'autorite sud-africaine).
Le consentement POPIA doit etre volontaire, specifique et informe. L'utilisateur doit pouvoir le retirer a tout moment. POPIA exige aussi un mecanisme d'opt-out pour le marketing direct, ce qui concerne les cookies utilises a des fins de remarketing.
PDPA (Thailande) : la loi asiatique la plus stricte
Le Personal Data Protection Act (PDPA) thailandais est en vigueur depuis juin 2022. Il est souvent considere comme l'equivalent asiatique du RGPD, avec des exigences similaires en matiere de consentement et de droits des personnes concernees.
Un consentement explicite requis
Le PDPA thailandais exige un consentement explicite avant toute collecte de donnees personnelles, y compris via les cookies. Le consentement doit etre libre, specifique, informe et donne par une action affirmative claire. Les cookies pre-coches ou les bandeaux sans option de refus ne sont pas conformes au PDPA.
L'autorite thailandaise (PDPC) a publie des lignes directrices qui alignent les exigences du PDPA avec les standards europeens. Un bandeau de consentement conforme au RGPD sera generalement conforme au PDPA, avec quelques ajustements mineurs sur la langue et les mentions legales.
DPDPA (Inde) : la nouvelle loi a surveiller
Le Digital Personal Data Protection Act (DPDPA) indien a ete adopte en aout 2023. Avec 1,4 milliard d'habitants et une economie numerique en forte croissance, l'Inde represente un marche majeur. Le DPDPA impose le consentement comme base legale principale pour le traitement des donnees personnelles.
Le DPDPA prevoit un consentement libre, specifique, informe et inequivoque. Les regles d'implementation (via des notifications) sont encore en cours de publication. Les sanctions prevues sont significatives : jusqu'a 250 crores de roupies (environ 27 millions d'euros) par infraction.
Pour les sites qui ciblent le marche indien, il est recommande d'afficher un bandeau de consentement en anglais et en hindi, avec une politique de cookies adaptee au cadre DPDPA.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Comparatif des lois cookies hors Europe
Les quatre principales lois hors Europe ont des approches differentes sur le consentement cookies. Le tableau ci-dessous resume les points cles a retenir pour adapter votre CMP a chaque juridiction.
Comment adapter votre CMP a plusieurs juridictions
La strategie la plus efficace consiste a adopter une approche basee sur la geolocalisation de vos visiteurs. Plutot que d'appliquer les memes regles a tous, vous pouvez adapter le comportement de votre bandeau de consentement selon le pays de l'utilisateur.
Approche par geolocalisation
Un CMP moderne permet de detecter la localisation du visiteur et d'afficher le bandeau approprie. Pour les visiteurs europeens : bandeau RGPD complet avec opt-in. Pour les visiteurs bresiliens : bandeau adapte avec mention LGPD et opt-out. Pour les visiteurs thailandais : bandeau opt-in similaire au RGPD. Pour les visiteurs indiens : bandeau consentement avec mention DPDPA. FlowConsent propose cette fonctionnalite de geolocalisation integree pour adapter automatiquement le bandeau au pays du visiteur.
La strategie du plus haut niveau de protection
Une approche alternative consiste a appliquer le niveau de protection le plus eleve a tous les visiteurs, quel que soit leur pays. Cette strategie simplifie la mise en conformite mais peut reduire les taux de consentement dans les pays moins stricts. Elle est recommandee pour les sites a trafic modere hors Europe, ou la geolocalisation n'est pas justifiee en termes de retour sur investissement.
Ce qu'il faut retenir
La gestion des cookies n'est plus une question purement europeenne. Les lois se multiplient, les sanctions augmentent, et les utilisateurs sont de plus en plus sensibles a la protection de leurs donnees partout dans le monde. Pour un site a audience internationale, investir dans un CMP capable de gerer plusieurs juridictions est devenu indispensable.
Identifiez d'ou vient votre trafic, verifiez si vous etes concerne par ces reglementations, et adaptez votre bandeau en consequence. Scannez votre site avec FlowConsent pour verifier votre configuration et identifier les optimisations possibles.
Questions fréquentes
La LGPD bresilienne exige-t-elle un bandeau de cookies comme le RGPD ?
La LGPD n'impose pas explicitement un bandeau cookies, mais elle exige la transparence et le consentement pour le traitement des donnees personnelles. En pratique, un bandeau de consentement est le moyen le plus simple de se conformer a ces exigences. L'ANPD recommande le consentement prealable pour les cookies de tracking et publicitaires.
Un site europeen doit-il se conformer a la POPIA sud-africaine ?
Si votre site cible activement le marche sud-africain (contenu en langues locales, publicite ciblee, transactions en ZAR), la POPIA peut s'appliquer a votre traitement de donnees. Le critere principal est le ciblage du marche, pas la localisation du serveur. En cas de doute, consulter un juriste specialise est recommande.
Le PDPA thailandais est-il plus strict que le RGPD pour les cookies ?
Le PDPA est comparable au RGPD en termes d'exigences de consentement. Il exige un consentement explicite, libre et informe avant toute collecte de donnees via cookies. Les sanctions sont moins elevees que le RGPD, mais les principes sont similaires. Un bandeau conforme au RGPD sera generalement conforme au PDPA.
Comment adapter ma CMP pour gerer les cookies dans plusieurs pays ?
Les CMP modernes offrent la geolocalisation : elles detectent le pays de l'utilisateur et adaptent le bandeau (texte, langue, options, base legale) en consequence. Configurez des regles par region : RGPD pour l'UE, CCPA pour la Californie, LGPD pour le Bresil, PDPA pour la Thailande, etc.
Quelles sont les sanctions prevues par le DPDPA indien pour non-conformite sur les cookies ?
Le DPDPA prevoit des sanctions allant jusqu'a 250 crores de roupies (environ 27 millions d'euros) par infraction. Les regles d'application detaillees sont encore en cours de publication par le Data Protection Board of India. Il est recommande d'anticiper en mettant en place un bandeau de consentement pour le trafic indien.
Peut-on utiliser l'interet legitime comme base legale pour les cookies au Bresil et en Afrique du Sud ?
Oui, la LGPD et la POPIA prevoient l'interet legitime comme base legale pour le traitement des donnees. Cela peut s'appliquer a certains cookies (analytiques first-party, par exemple), mais les autorites locales recommandent le consentement pour les cookies publicitaires et de tracking. L'interet legitime doit etre documente et proportionnel.