Veracly
Multi-jurisdiction

Conformité web en Finlande : cookies, RGPD et accessibilité

La Finlande répartit la surveillance des cookies entre deux régulateurs et a mis fin au consentement par paramètres du navigateur dès 2021. Voici comment la règle cookies, le RGPD et l’European Accessibility Act s’appliquent à un site finlandais.

Par Veracly Compliance Team7 min de lecture

La Finlande applique les mêmes règles européennes que le reste de l’union — RGPD pour les données personnelles, ePrivacy pour les cookies et le stockage, et l’European Accessibility Act pour l’accessibilité — mais sa mise en œuvre a deux particularités : la surveillance des cookies est répartie entre deux régulateurs, et la Finlande a mis fin tôt au « consentement » par paramètres du navigateur. Ce guide cartographie les trois cadres tels qu’ils s’appliquent à un site finlandais en 2026.

Les trois cadres applicables

  • RGPD + Tietosuojalaki. Le RGPD s’applique directement, complété par la loi finlandaise sur la protection des données (Tietosuojalaki, 1050/2018). Le régulateur est l’Office of the Data Protection Ombudsman (Tietosuojavaltuutettu).
  • ePrivacy via l’Act on Electronic Communications Services. La règle de stockage des cookies est le §205 de la loi 917/2014, supervisée par Traficom.
  • EAA via l’Act on the Provision of Digital Services. L’European Accessibility Act a été transposé par des modifications de lois existantes, dont la loi 306/2019, applicable à partir du 28 juin 2025.

Cookies : §205 et consentement actif

Selon le §205 de l’Act on Electronic Communications Services, stocker ou lire des informations sur l’équipement terminal de l’utilisateur requiert le consentement, sauf si le stockage est strictement nécessaire à la fourniture du service demandé. Les cookies analytiques tels que _ga ou _pk_id ne sont pas strictement nécessaires : ils requièrent donc un consentement opt-in préalable.

Le tournant décisif est venu en 2021. Après que le médiateur adjoint a jugé en mai 2020 que renvoyer les utilisateurs vers les paramètres de confidentialité du navigateur n’est pas un consentement suffisamment actif et explicite, Traficom et l’Office of the Data Protection Ombudsman ont publié conjointement des lignes directrices révisées pour les fournisseurs de services. Les points clés :

  • Le consentement doit être un acte positif et actif — pas de cases pré-cochées, pas de consentement implicite.
  • Les cookies non essentiels ne peuvent être déposés avant ce consentement.
  • Refuser doit être aussi simple qu’accepter.
  • Le « consentement » par paramètres du navigateur n’est plus acceptable.

Les tribunaux finlandais ont depuis renforcé l’application de la législation cookies : ces lignes directrices ne peuvent donc être ignorées sans risque. Elles rejoignent le consensus européen sur la parité du refus et sur le cadre qui régit les cookies.

Deux régulateurs, deux questions

Le modèle réparti finlandais est important car il change votre interlocuteur :

  • Traficom (via son Cyber Security Centre) supervise la règle de stockage — la question §205 de savoir si des informations peuvent être déposées ou lues sur l’appareil.
  • L’Office of the Data Protection Ombudsman supervise le traitement — la question RGPD de savoir si les données personnelles collectées par les cookies sont traitées licitement, avec un consentement valable et les informations requises.

Un site finlandais a besoin des deux : un consentement de stockage valable au titre du §205, et une base et une information RGPD valables pour la suite.

Accessibilité : la loi 306/2019 et l’EAA

L’Act on the Provision of Digital Services (306/2019) impose l’accessibilité au secteur public et à certains services financés par des fonds publics ou essentiels depuis 2019, mesurée selon EN 301 549 — en pratique WCAG 2.1 niveaux A et AA. L’European Accessibility Act a ensuite étendu les obligations à de nombreux produits et services privés grand public à partir du 28 juin 2025. Notamment, la Finlande a transposé l’EAA en grande partie en modifiant la législation existante (dont la loi 306/2019) plutôt qu’en adoptant une loi unique nouvelle.

L’autorité de surveillance de l’accessibilité numérique est la Regional State Administrative Agency for Southern Finland (Etelä-Suomen aluehallintovirasto), qui peut faire appliquer les exigences notamment par des astreintes au titre du Threatened Fines Act (1113/1990).

Une checklist pratique pour un site finlandais

  1. Aucun cookie, pixel ou écriture de stockage non essentiel ne se déclenche avant le consentement actif.
  2. Le consentement résulte d’un acte positif — pas des paramètres du navigateur, pas de cases pré-cochées.
  3. Refuser est aussi simple et visible qu’Accepter.
  4. Une politique de confidentialité nomme les traceurs et la base légale RGPD du traitement.
  5. Le site respecte WCAG 2.1 AA (EN 301 549) pour le contenu grand public.

Comment Veracly contrôle un site finlandais

Veracly évalue une URL finlandaise au regard des trois cadres en un seul scan. Le module cookies capture chaque requête, cookie et écriture de stockage avant l’interaction avec le bandeau et signale les défauts de consentement au stockage (déclenchement avant consentement, recours aux paramètres du navigateur, absence de voie de refus équivalente). Le module accessibilité exécute axe-core sur le DOM rendu pour WCAG 2.1 AA. Chaque constat est reproductible par vous dans les DevTools et rattaché au cadre concerné.

À lire aussi : Conformité web aux Pays-Bas · Auditer un site sur plusieurs juridictions · L’EAA pour les PME

Questions fréquentes

Puis-je me fier aux paramètres du navigateur pour le consentement cookies en Finlande ?+

Non. La Finlande a fermé cette porte en 2021. À la suite d’une décision de mai 2020 du médiateur adjoint à la protection des données, Traficom et l’Office of the Data Protection Ombudsman ont mis à jour conjointement les lignes directrices : le consentement doit résulter d’un acte positif et actif, et renvoyer les utilisateurs vers les paramètres de leur navigateur n’est pas un consentement valable. Les cookies non essentiels ne peuvent être déposés avant le consentement actif, et refuser doit être aussi simple qu’accepter.

Qui applique les règles cookies en Finlande ?+

Deux autorités. Traficom (l’agence finlandaise des transports et des communications, via son Cyber Security Centre) supervise la règle technique de stockage au titre du §205 de l’Act on Electronic Communications Services. L’Office of the Data Protection Ombudsman (Tietosuojavaltuutettu) supervise le consentement RGPD et le traitement des données déclenché par les cookies. Les tribunaux finlandais ont confirmé l’application de ces règles.

L’European Accessibility Act s’applique-t-il à mon site finlandais ?+

Pour les produits et services de consommation visés à partir du 28 juin 2025 : oui. Plutôt qu’une nouvelle loi unique, la Finlande a transposé l’EAA en grande partie par des modifications de lois existantes, dont l’Act on the Provision of Digital Services (306/2019). Les services numériques sont mesurés selon EN 301 549, soit en pratique WCAG 2.1 niveaux A et AA. L’autorité de surveillance de l’accessibilité numérique est la Regional State Administrative Agency for Southern Finland.

Voyez où en est votre site.

Lancez un scan Veracly gratuit et obtenez un rapport multi-juridictions — EAA, RGPD, ADA, UK Equality Act, AODA — avec des correctifs prêts à coller pour les développeurs.

Lancer un scan gratuit

À lire aussi