Le principal changement avec le RGPD vis-à-vis des Cookies est que ces derniers sont dorénavant considérés comme des données personnelles et rentrent pleinement dans la définition de l’article 4 qui considère les identifiants en ligne (ici les Cookies persistants, associés uniquement au terminal) en tant que références directes ou indirectes à la personne physique.
Le document actuel de la commission européenne fait une réelle distinction entre les Cookies « utiles », non intrusifs vis-à-vis de la vie privée, et les Cookies liés à la publicité. Le document explique que les Cookies techniques, ou de mesure d’audience et d’analytics seront tolérés sans besoin de consentement. Ce ne sera pas le cas des Cookies tierce-parties, clairement visés par les nouvelles règles, et dont le fonctionnement devra se faire avec le consentement explicite de l’internaute pour chaque traitement effectué.
Les Cookies sont cités une seule fois dans le RGPD, le règlement se voulant le plus généraliste possible. Néanmoins, ils le sont également dans la proposition d’évolution de la directive ePrivacy, qui doit être mise à jour et devrait être appliquée en association avec le règlement européen (dans un délai de 6 mois à 2 ans au-delà du 25 mai 2018).