Qu'est-ce que la confidentialitu00e9 par du00e9faut sous la Loi 25?

L'article 9.1 de la LPRPSP exige que tout produit ou service technologique soit configuru00e9 avec les paramu00e8tres de confidentialitu00e9 les plus u00e9levu00e9s activu00e9s par du00e9faut, sans action requise de l'utilisateur. Profils privu00e9s, gu00e9olocalisation du00e9sactivu00e9e, profilage bloquu00e9, cookies non essentiels inactifs , tout u00e7a par du00e9faut.

Les cookies de session sont-ils exemptu00e9s de la Loi 25?

Oui. Les cookies strictement nu00e9cessaires au fonctionnement du service sont exemptu00e9s : session d'authentification, panier d'achat (WooCommerce), protection CSRF des formulaires, pru00e9fu00e9rence de langue. Ces cookies peuvent u00eatre du00e9posu00e9s sans consentement pru00e9alable. Les cookies analytiques et marketing restent bloquu00e9s par du00e9faut.

Qu'est-ce que le profilage sous la Loi 25?

La Loi 25 du00e9finit le profilage largement : toute collecte et utilisation de donnu00e9es personnelles pour u00e9valuer ou anticiper les caractu00e9ristiques d'une personne (pru00e9fu00e9rences, comportements d'achat, situation u00e9conomique). Les technologies de profilage doivent u00eatre du00e9sactivu00e9es par du00e9faut, assorties d'une notification et activables uniquement par opt-in actif.

Quels paramu00e8tres doivent u00eatre du00e9sactivu00e9s par du00e9faut sous la Loi 25?

Doivent u00eatre du00e9sactivu00e9s par du00e9faut : cookies non essentiels (analytics, publicitu00e9), gu00e9olocalisation pru00e9cise, profilage comportemental, partage de donnu00e9es avec des tiers u00e0 des fins marketing, profils publics. L'utilisateur peut activer ces fonctionnalitu00e9s, mais elles ne peuvent pas u00eatre actives sans son action.

10 min

Leçon 4.1 : Privacy by Default : protéger automatiquement par défaut

Le plus haut niveau de protection, sans action de l’utilisateur

L’article 9.1 de la LPRPSP (introduit par la Loi 25) instaure le principe de Confidentialité par Défaut (Privacy by Default) : toute organisation offrant un produit ou service technologique doit s’assurer que, sans intervention de l’utilisateur, les paramètres de ce produit assurent le plus haut niveau de confidentialité possible.

Qu’est-ce que ça signifie concrètement?

Profil public : Par défaut, le profil d’un utilisateur doit être privé, pas public. L’utilisateur choisit de le rendre public.
Géolocalisation : Désactivée par défaut. L’utilisateur l’active explicitement.
Profilage comportemental : Désactivé par défaut. Notification requise si activé.
Partage des données avec des tiers : Désactivé par défaut.
Cookies analytiques : Bloqués par défaut, activation seulement après consentement.

Les exemptions : les cookies essentiels

Tous les cookies ne sont pas soumis à cette exigence. Sont exemptés les témoins strictement nécessaires au fonctionnement du service :

Cookie de session (authentification, panier d’achat).
Cookie anti-CSRF (protection sécurité des formulaires).
Cookie de préférence de langue.
Cookie de mémorisation du choix de consentement.

Ces cookies peuvent être déposés sans consentement préalable.

Un cookie de session WooCommerce qui maintient le contenu du panier est essentiel, il peut être déposé silencieusement. Un cookie Google Analytics qui suit le comportement de navigation = non essentiel, bloqué par défaut.

Le profilage : une catégorie particulièrement encadrée

La Loi 25 définit le profilage largement : toute collecte et utilisation de données personnelles pour évaluer ou anticiper des caractéristiques d’une personne (préférences, comportements d’achat, situation économique). Les technologies de profilage doivent être :

Désactivées par défaut.
Assorties d’une notification transparente dès l’entrée.
Activables uniquement par l’utilisateur (opt-in actif).

SiteQC et la confidentialité par défaut

SiteQC applique le Privacy by Default à tous les niveaux : aucun script de suivi n’est actif avant consentement, les profils sont privés par défaut, la géolocalisation n’est jamais activée sans demande explicite. L’architecture garantit la conformité sans configuration manuelle.

Points clés

Par défaut = paramètres les plus protecteurs, sans action de l’utilisateur.
Profils privés, géolocalisation désactivée, profilage bloqué, tous par défaut.
Cookies essentiels (session, sécurité) exemptés.
Profilage : désactivé par défaut + notification + opt-in actif requis.