Le ICO britannique clarifie ses règles sur les cookies : 3 changements à connaître

7/5/26
👈 les autres actualités

Le régulateur britannique de la protection des données (ICO) a mis à jour ses lignes directrices sur les cookies le 29 avril 2026. Ces précisions sur l'exemption « strictement nécessaire », les pixels de suivi en marketing d'affiliation et les technologies multi-usages s'imposent à toute organisation opérant au Royaume-Uni — et donnent des signaux utiles sur l'évolution de la doctrine européenne.

Ce qui s'est passé

Le 29 avril 2026, l'ICO a publié une version actualisée de ses orientations sur la conformité aux Privacy and Electronic Communications Regulations 2003 (PECR), l'équivalent britannique de la directive ePrivacy post-Brexit.

Trois clarifications majeures ressortent de cette mise à jour :

1. L'exemption « strictement nécessaire » s'évalue du point de vue de l'utilisateur, et non de celui de l'éditeur ou du prestataire technique. Un cookie peut être indispensable au fonctionnement d'un outil côté backend sans pour autant être « strictement nécessaire » si l'utilisateur pourrait accéder au service sans lui. Cette précision ferme la porte aux interprétations extensives qui permettaient à certains acteurs de se passer du consentement.

2. Les pixels de suivi en marketing d'affiliation requièrent le consentement. L'ICO confirme que les technologies utilisées pour attribuer une conversion à un affilié — y compris les pixels tiers intégrés dans les emails ou les pages de destination — ne peuvent pas bénéficier d'une exemption. Le consentement explicite est désormais requis, ce qui impacte directement les éditeurs et les plateformes d'affiliation opérant au Royaume-Uni.

3. Les exemptions ne s'appliquent pas aux technologies multi-usages. Un outil qui sert à la fois à des finalités nécessaires et à d'autres finalités (analytique, personnalisation, publicité) ne peut pas invoquer l'exemption « strictement nécessaire » pour l'ensemble de ses fonctions. Chaque usage doit être évalué séparément.

Pourquoi c'est important — ce que ça signale pour l'Europe

Même si le PECR est un texte britannique post-Brexit, ces clarifications de l'ICO méritent l'attention des DPO français et européens pour deux raisons.

D'abord, elles reflètent une tendance de fond dans l'interprétation des règles sur les cookies : l'approche technique (le cookie est « nécessaire » parce que le service en a besoin côté serveur) cède progressivement la place à une approche centrée sur l'utilisateur. La CNIL suit une doctrine similaire dans ses propres lignes directrices. Si vous rédigez ou mettez à jour votre politique de cookies, cette grille de lecture utilisateur doit guider votre analyse.

Ensuite, elles confirment que le marketing d'affiliation n'échappe pas aux exigences de consentement — un point que de nombreuses organisations minimisaient encore. Si votre site intègre des pixels d'affiliation ou de conversion, votre outil de gestion du consentement (CMP) doit les couvrir explicitement.

Enfin, l'ICO envoie un signal inattendu : le régulateur envisage de proposer au gouvernement britannique des exemptions pour les cookies publicitaires « respectueux de la vie privée ». Cette ouverture — pour l'instant prospective — est à surveiller, car elle pourrait créer un écart de régime notable avec l'Union européenne si elle se concrétise.

Ce que ça change pour les organisations

Si votre organisation opère au Royaume-Uni ou cible des utilisateurs britanniques, cette mise à jour appelle plusieurs vérifications concrètes :

  • Revue du périmètre « strictement nécessaire » : auditez chaque cookie classé dans cette catégorie à l'épreuve du critère utilisateur. Ce qui est nécessaire pour votre infrastructure ne l'est pas forcément pour l'utilisateur final.
  • Vérification des intégrations d'affiliation : tout pixel, tag ou script d'attribution affilié doit être couvert par un consentement explicite. Vérifiez votre CMP et la liste des cookies déclarés dans votre politique.
  • Audit des cookies multi-usages : si un même outil sert à des fins mixtes, décomposez ses usages et soumettez au consentement ce qui n'est pas strictement nécessaire.

Ces bonnes pratiques s'appliquent également dans le cadre RGPD et ePrivacy européen. Le consentement explicite reste la règle de fond pour tout traitement non strictement nécessaire — les exemptions demeurent l'exception.

Ce que Leto pense de cette décision

L'ICO ne réinvente pas la roue : ces trois clarifications sont cohérentes avec la doctrine de la CNIL et les lignes directrices du CEPD. Ce qui est utile, c'est la précision pédagogique. En documentant explicitement les cas du marketing d'affiliation et des technologies multi-usages, le régulateur britannique offre une grille de lecture concrète — y compris pour les DPO qui travaillent sous RGPD.

La vraie nouveauté à surveiller, c'est l'ouverture sur les cookies publicitaires « respectueux de la vie privée ». Si le Royaume-Uni crée une exemption formelle pour certaines technologies post-Brexit, cela pourrait creuser un écart de régime significatif avec l'Union européenne — et relancer le débat sur la révision de la directive ePrivacy côté européen.

Sources : Covington Inside Privacy — Three notable changes to the UK ICO's guidance on cookies (6 mai 2026) · ICO — Guide to PECR: Cookies and similar technologies

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026