Cookies UK : l'ICO durcit l'affiliation et prépare une exception consentement pour la publicité 'privacy-preserving'

8/5/26
👈 les autres actualités

Le 29 avril 2026, le régulateur britannique de la protection des données (l'ICO) a publié une mise à jour de sa guidance sur l'usage des « technologies de stockage et d'accès » — autrement dit les cookies et autres traceurs — encadrés par la règle 6 du PECR, l'équivalent britannique de la directive ePrivacy. Au-delà des trois clarifications opérationnelles que l'ICO apporte, c'est le signal politique qui compte : Londres prépare une exception au consentement pour certaines publicités dites « privacy-preserving », un chemin que la France et l'Union européenne ne sont pas prêtes à emprunter.

Ce qui s'est passé

L'ICO a clos une consultation publique de plusieurs mois sur la lisibilité de sa guidance et a publié, le 29 avril 2026, trois clarifications structurantes pour les organisations qui déposent ou lisent des informations sur le terminal d'un utilisateur :

  1. L'exception « strictement nécessaire » s'apprécie du point de vue de l'utilisateur, pas de l'organisation. Un éditeur ne peut donc pas qualifier de « strictement nécessaire » un traceur qui sert à financer son service par la publicité. Cette position aligne l'ICO sur celle des autorités européennes : seuls les services « explicitement demandés » par l'utilisateur peuvent justifier l'exemption.
  2. Les pixels de suivi utilisés en marketing d'affiliation exigent un consentement. L'ICO ajoute un exemple explicite : un affilié qui pose un pixel pour tracker les clics sur ses liens et attribuer des ventes doit obtenir le consentement préalable du visiteur. C'est la première fois que l'autorité britannique nomme aussi clairement le marketing d'affiliation.
  3. Les exceptions au consentement ne valent que pour une finalité unique. L'ICO précise que l'exemption « statistical purposes » (mesure d'audience anonymisée, par exemple) tombe dès qu'une même technologie est utilisée pour une autre finalité en parallèle. Beaucoup d'outils analytics multi-usages devront donc repasser au consentement.

Mais l'élément le plus politique est ailleurs. Dans sa réponse de consultation, l'ICO confirme qu'il transmettra prochainement au gouvernement britannique une liste d'activités publicitaires « privacy-preserving » qui pourraient, à terme, être exemptées du consentement par voie législative — frequency capping, mesure d'audience publicitaire, attribution. À ce stade, la guidance reste inchangée sur ce point : la publicité en ligne reste soumise au consentement. Mais le cap est posé.

Pourquoi c'est important pour les DPO européens

Pour les organisations françaises et européennes, deux signaux sont à retenir.

D'abord, sur les clarifications de l'ICO, l'écart avec la doctrine de la CNIL se réduit plutôt qu'il ne se creuse. Le point de vue utilisateur pour qualifier le « strictement nécessaire », l'exigence de consentement pour les pixels d'affiliation, l'analyse par finalité unique : ces trois positions sont déjà appliquées en France. Tout DPO qui s'appuie sur les recommandations CNIL pour piloter sa CMP et qui suit nos bonnes pratiques de politique de cookies est déjà sur la bonne ligne. Le rappel récent de la CNIL sur les pixels de suivi dans les emails va dans le même sens : dès qu'il y a finalité comportementale, il y a consentement.

Ensuite, sur la trajectoire britannique vers une exception consentement pour la publicité « privacy-preserving », c'est un point de vigilance pour toute organisation qui opère au Royaume-Uni ou y traite les données de visiteurs UK. Si la réforme du PECR aboutit, des activités aujourd'hui soumises au consentement en UK ne le seront plus. Cela ne change rien à la situation côté UE : tant que l'utilisateur est sur un site européen ou identifiable comme résident d'un État membre, l'exigence d'un consentement explicite reste pleine et entière. Les acteurs adtech tentés d'utiliser le UK comme banc d'essai d'une publicité sans consentement devront documenter avec précision la frontière géographique de leurs traitements.

Ce que ça change pour les organisations

Trois actions concrètes à mettre en œuvre dès maintenant :

  1. Auditer les pixels d'affiliation. Si vous opérez en UK, le consentement pour les pixels de tracking d'affiliation est désormais explicitement requis. Vérifiez que votre CMP les bloque par défaut et qu'aucune balise ne se déclenche avant l'opt-in. Pour les bonnes pratiques d'opt-in, les règles européennes sont plus exigeantes encore.
  2. Cartographier les finalités multi-usages. La position de l'ICO sur les exceptions « finalité unique » fragilise tous les outils analytics ou tag managers configurés pour servir à la fois la mesure interne et la publicité. Le travail de cartographie des finalités, central dans toute démarche RGPD, devient critique en ePrivacy/PECR.
  3. Surveiller la réforme PECR. Si vous avez une exposition UK significative, mettez en place une veille sur la prochaine soumission de l'ICO au gouvernement britannique. Les exemptions retenues fixeront la nouvelle ligne de partage entre l'opt-in EU et un opt-out de fait au UK.

Ce que Leto pense de cette décision

L'ICO joue un jeu intéressant : il durcit la doctrine sur les pratiques que personne ne défend (l'affiliation sauvage, le détournement du « strictement nécessaire ») tout en signalant qu'il est prêt à ouvrir la porte côté publicité « privacy-preserving ». C'est habile politiquement, mais cela crée une asymétrie réglementaire entre Londres et Bruxelles qui ne fera qu'augmenter avec le temps. Pour les DPO européens, le message est simple : ne pas se laisser distraire par les évolutions UK, continuer d'aligner ses pratiques sur la doctrine CNIL/EDPB, et documenter rigoureusement la géographie des traitements pour quiconque opère des deux côtés de la Manche. Le « privacy-preserving advertising » de demain au UK ne sera pas une excuse acceptable côté UE.

Sources : Inside Privacy — Three notable changes to the UK ICO's guidance on cookies (Paul Maynard, 6 mai 2026) · ICO — Guidance on storage and access technologies (mise à jour 29 avril 2026) · ICO — Consultation response on storage and access technologies guidance

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026