YouTube embed RGPD : règles pour les sites belges

Vous avez intégré une vidéo YouTube sur votre page produit. Vos visiteurs n'ont même pas besoin de cliquer sur lecture, la vidéo est simplement là, parfois avec une miniature en lecture automatique. Ce que vous ignorez peut-être : YouTube collecte des données sur vos visiteurs avant qu'ils ne regardent une seule seconde. Sans consentement, c'est une violation du RGPD. La position du régulateur belge est claire : les vidéos YouTube intégrées exigent un consentement préalable.

Pourquoi les embeds YouTube exigent un consentement

Quand vous intégrez une vidéo YouTube sur votre site, le JavaScript de YouTube s'exécute automatiquement sur votre page. Même si la vidéo n'est pas en lecture, YouTube collecte :

• Les informations sur l'appareil (navigateur, OS, résolution d'écran)
• L'adresse IP
• Des cookies (même si le visiteur n'a jamais visité YouTube)
• Le référent (d'où vient le visiteur)
• Si et quand le visiteur regarde votre vidéo intégrée
• Jusqu'où il regarde la vidéo
• Combien de fois il la revisionne

Cela se produit dès le chargement de votre page. Le visiteur n'a besoin d'interagir avec rien. YouTube le suit de toute façon.

Au sens du RGPD, il s'agit d'un traitement de données à caractère personnel. Votre site web en est responsable parce que c'est vous qui avez intégré YouTube. Vous avez besoin d'une base légale au titre de l'article 6 du RGPD. Le consentement est la base la plus sûre.

La position du régulateur belge : l'APD

L'Autorité de protection des données (APD) applique des règles strictes en matière de consentement. Elle a d'ailleurs adopté une ligne plus stricte que d'autres régulateurs, ayant rejeté le cadre de consentement standard du secteur (IAB TCF) comme non conforme.

La position de l'APD :

• Le suivi intégré (embedded tracking) exige un consentement préalable
• Le consentement doit être granulaire (pas de « tout accepter » global)
• L'intérêt légitime est insuffisant pour le suivi marketing et analytics
• Le bouton de refus doit être aussi visible que le bouton d'acceptation

Pour le détail des exigences de l'APD sur les bannières, voir les exigences pour les bannières cookies en Belgique.

Le mythe de youtube-nocookie.com

Vous avez probablement entendu dire qu'utiliser youtube-nocookie.com au lieu de youtube.com règle le problème du suivi. C'est faux.

Le domaine nocookie fait une seule chose : il ne place pas les cookies publicitaires de YouTube tant que le visiteur n'interagit pas avec la vidéo. Mais il continue à :

• Enregistrer l'adresse IP du visiteur
• Placer des cookies non publicitaires pour la lecture et les analytics
• Envoyer des données aux serveurs de YouTube
• Traiter des données à caractère personnel au sens du RGPD

L'APD n'accepte pas youtube-nocookie comme solution de contournement. Les embeds via youtube.com comme via youtube-nocookie.com exigent un consentement.

Un document d'assistance de YouTube peut affirmer que nocookie est une solution RGPD. C'est du marketing. Les régulateurs ne sont pas d'accord.

Trois approches conformes

Option 1 : Click-to-load (recommandé)

Remplacez l'embed YouTube par une image statique ou un espace réservé. Quand le visiteur clique, vous chargez alors la vraie vidéo, mais seulement après son consentement.

Comment cela fonctionne :

1. Affichez une miniature de la vidéo (ou un bouton de lecture générique)
2. Affichez un message : « Cette vidéo utilise YouTube, qui collecte des données de visionnage. Cliquez pour lire et consentir, ou passez. »
3. Le iframe YouTube ne se charge qu'au moment du clic

C'est conforme parce que :

• Aucun suivi YouTube ne se déclenche automatiquement
• Les visiteurs font un choix actif
• Vous avez séparé le contenu (l'image) du traceur (l'iframe)
• Ils peuvent choisir de ne pas regarder du tout

<div id="video-container" style="position: relative; cursor: pointer;">
  <img src="video-thumbnail.jpg" alt="Watch: How to use our product" 
       style="width: 100%; max-width: 600px;" />
  <div style="position: absolute; top: 50%; left: 50%; transform: translate(-50%, -50%); 
              background: rgba(0,0,0,0.7); color: white; padding: 20px; border-radius: 5px; text-align: center;">
    <p style="margin: 0;">Click to play (YouTube tracking enabled)</p>
    <p style="margin: 10px 0 0 0; font-size: 12px;">See our <a href="/privacy" style="color: #0ff;">privacy policy</a></p>
  </div>
</div>

<script>
document.getElementById('video-container').addEventListener('click', function() {
  if (hasUserConsentedToMarketing) {
    this.innerHTML = '<iframe width="100%" height="400" src="https://www.youtube.com/embed/dQw4w9WgXcQ" ' +
                     'title="YouTube video player" frameborder="0" allowfullscreen></iframe>';
  } else {
    alert('Please consent to marketing cookies to watch this video.');
  }
});
</script>

Avantages :

• Pleinement conforme
• Friction minimale (un clic)
• Améliore la vitesse de chargement (pas de chargement automatique de l'iframe)
• Les utilisateurs voient quand même votre contenu

Inconvénients :

• Légèrement moins fluide qu'une vidéo intégrée automatiquement
• Nécessite JavaScript
• Moins d'utilisateurs cliqueront pour regarder

Option 2 : Remplacer YouTube par Vimeo

Vimeo propose une option compatible RGPD. Vous pouvez intégrer des vidéos Vimeo sans cookies de suivi grâce au mode confidentialité de Vimeo.

Avec le mode confidentialité de Vimeo, Vimeo ne place pas de cookies et ne suit pas les spectateurs tant que le spectateur ne clique pas sur lecture. Après le clic, Vimeo utilise des cookies pour la lecture et les analytics.

Code d'intégration :

<iframe src="https://player.vimeo.com/video/123456?dnt=1" 
        width="100%" height="400" 
        frameborder="0" allow="autoplay; fullscreen" allowfullscreen></iframe>

Le paramètre dnt=1 signifie « Do Not Track ». Vimeo ne place pas de cookies tant que le visiteur n'interagit pas.

Attention toutefois : Vimeo traite quand même certaines données (adresse IP, données d'interaction). C'est moins agressif que YouTube, mais vous devez quand même le mentionner. Certains régulateurs considèrent Vimeo avec dnt=1 comme acceptable sans consentement préalable, mais l'approche la plus sûre reste de demander.

Avantages :

• Suivi moins invasif que YouTube
• Intégration directe possible sans click-to-load
• Meilleure qualité vidéo que YouTube
• Supporte un mode confidentialité

Inconvénients :

• Nécessite un compte Vimeo et un upload
• Moins répandu que YouTube
• Les options de personnalisation peuvent nécessiter un abonnement payant Vimeo

Option 3 : Image statique avec un lien

L'option la plus simple : afficher une miniature de la vidéo et un lien vers la vidéo YouTube.

<div style="text-align: center;">
  <img src="thumbnail.jpg" alt="Product demo video" style="max-width: 100%; cursor: pointer;" 
       onclick="window.open('https://www.youtube.com/watch?v=dQw4w9WgXcQ', '_blank')" />
  <p><a href="https://www.youtube.com/watch?v=dQw4w9WgXcQ" target="_blank">
    Watch on YouTube (opens in new tab)</a></p>
</div>

Avantages :

• Aucun suivi sur votre site
• Simple à mettre en place
• La politique de confidentialité de YouTube couvre leur site
• Aucun consentement requis

Inconvénients :

• Les utilisateurs quittent votre site
• Moins d'engagement
• Fonctionne mal avec plusieurs vidéos
• Casse le flux de la page

Comment ajouter YouTube à votre bannière cookies

Si vous choisissez de garder YouTube intégré et d'exiger un consentement :

Étape 1 : Ajouter une catégorie de cookies

Mettez à jour votre bannière cookies pour mentionner explicitement YouTube :

Contenu vidéo : nous intégrons des vidéos YouTube pour présenter 
des démonstrations de produits et du contenu éducatif. YouTube 
place des cookies pour suivre le visionnage des vidéos, mesurer 
l'engagement et diffuser des publicités personnalisées. YouTube 
traite des données aux États-Unis sur la base de clauses 
contractuelles types. Vous pouvez retirer ce consentement à tout 
moment dans nos paramètres cookies.

Soyez explicite : indiquez que YouTube est une société américaine qui traite des données en dehors de l'UE.

Étape 2 : Ne pas charger avant le consentement

Écrivez un script qui vérifie le consentement avant de charger l'embed :

// Simple example
function loadYouTube(videoId) {
  var hasMarketing = localStorage.getItem('consent_marketing') === 'true';
  var hasFunctional = localStorage.getItem('consent_functional') === 'true';
  
  if (hasMarketing || hasFunctional) {
    document.getElementById('video-' + videoId).innerHTML = 
      '<iframe width="100%" height="400" src="https://www.youtube.com/embed/' + videoId + 
      '" frameborder="0" allowfullscreen></iframe>';
  } else {
    document.getElementById('video-' + videoId).innerHTML = 
      '<p>Please consent to marketing cookies to watch this video. ' +
      '<a href="/cookie-settings">Manage cookie settings</a></p>';
  }
}

Étape 3 : Mettre à jour votre politique de confidentialité

Mentionnez le traitement de données par YouTube :

• YouTube est une filiale de Google
• Les données sont traitées aux États-Unis et dans d'autres pays
• Vous utilisez des clauses contractuelles types
• Les visiteurs peuvent contacter YouTube pour exercer leurs droits (articles 15 à 22 du RGPD)

Étape 4 : Documenter le consentement

Conservez un journal des consentements donnés pour YouTube. Le RGPD ne l'exige pas formellement, mais c'est une bonne pratique si l'APD pose des questions.

Étapes pratiques pour les sites belges

1. Audit : vérifiez tous les embeds YouTube sur votre site
2. Choisissez : click-to-load, Vimeo ou lien simple
3. Mettez à jour la bannière : ajoutez une catégorie « Contenu vidéo » mentionnant YouTube
4. Assurez-vous que le bouton de refus est égal au bouton d'acceptation en taille et en couleur
5. Fournissez la mention YouTube en néerlandais et en français
6. Rendez le centre de préférences accessible pour modifier le consentement vidéo ultérieurement
7. Testez avec les outils de développement pour confirmer qu'aucun pixel YouTube ne se déclenche avant le consentement
8. Documentez le traitement de données aux États-Unis par YouTube dans votre politique de confidentialité

Erreurs courantes à éviter

1. « J'utilise youtube-nocookie, donc je n'ai pas besoin de consentement. » Faux. Le domaine nocookie exige toujours un consentement.
2. Pré-cocher « analytics » en y incluant YouTube. Si YouTube est pré-coché, le consentement n'est pas valide.
3. Lecture automatique sans consentement. Particulièrement grave. Vous imposez un suivi à des utilisateurs qui n'en veulent pas.
4. Croire qu'une mention d'affiliation remplace le consentement. Certains créateurs lient des vidéos YouTube avec des mentions d'affiliation. Ce n'est pas un consentement RGPD.
5. « Le visiteur a cliqué sur lecture, donc il a consenti. » Cliquer sur lecture n'équivaut pas à consentir au traitement de données. Vous avez besoin d'un consentement explicite et préalable.

Sanctions en cas de non-conformité

Belgique : l'APD peut infliger des amendes jusqu'à 1,2 million d'euros ou 2 % du chiffre d'affaires (4 % en cas de récidive).

Plus probable qu'une amende imposée d'office : un visiteur dépose plainte auprès de l'APD. Une enquête s'ouvre. Si votre embed YouTube s'exécute sans consentement, vous êtes en infraction. Le régulateur belge a montré qu'il poursuit ce type de dossiers. Le même problème de transfert de données se pose pour Google Analytics et le RGPD en Belgique.

Résumé et checklist

Avant la mise en ligne de votre vidéo YouTube, vérifiez :

• J'ai choisi l'approche click-to-load, Vimeo ou lien simple
• L'iframe YouTube ne se charge pas automatiquement (si embed conservé)
• La bannière cookies mentionne le suivi YouTube et le traitement de données aux États-Unis
• Le consentement n'est pas pré-coché
• Le bouton de refus est aussi visible que le bouton d'acceptation
• La politique de confidentialité explique le traitement de données par YouTube
• Le centre de préférences permet de retirer le consentement vidéo plus tard
• Le site est testé avec les outils de développement pour vérifier l'absence de suivi avant consentement

Pour les entreprises belges, intégrer YouTube sans consentement est de plus en plus risqué. La voie de conformité la plus simple est le click-to-load : affichez une miniature, laissez les visiteurs choisir de regarder et ne chargez l'iframe de suivi qu'après consentement. Cela satisfait l'APD tout en gardant votre contenu accessible.

Pour des informations officielles : Autorité de protection des données (APD) sur www.autoriteprotectiondonnees.be.

Vous voulez savoir quels scripts se chargent sur votre site avant le consentement ?

Lancer le scan gratuit →

Sources

• Règlement (UE) 2016/679 (RGPD) (eur-lex.europa.eu)
• Directive ePrivacy 2002/58/CE (eur-lex.europa.eu)
• CJUE, affaire Planet49 C-673/17 (curia.europa.eu)
• CJUE, affaire Schrems II C-311/18 (curia.europa.eu)
• APD, checklist cookies (PDF)
• APD, Cookies pour les citoyens
• Comité européen de la protection des données (edpb.europa.eu)
• Loi du 30 juillet 2018 relative à la protection des données (ejustice.just.fgov.be)

---

Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.