Le pixel de Facebook est probablement l'outil de remarketing le plus populaire et en même temps hautement sensible au point de vue du droit à la protection des données. L'article montre comment utiliser le pixel de Facebook d'une manière relativement légale.
Pixel Facebook et protection des données
Il est bien connu que la société américaine Facebook collecte de très nombreuses données de ses utilisateurs. La plateforme elle-même est gratuite, l'utilisateur paie avec ses données. Ce qui était déjà relativement problématique dans le passé, pour être poli, est devenu hautement explosif depuis le 25 mai 2018 avec la réglementation générale sur la protection des données.
Le cœur de la proposition de solution est une possibilité d'opt-out pour le pixel Facebook, développée en interne, qui, combinée à d'autres mesures, aide à se conformer autant que possible à la réglementation générale sur la protection des données. Mais personne ne sait exactement quelles données Facebook ou Meta traitent et à quoi elles servent. D'ailleurs, il y a un jugement concernant le plugin Facebook (arrêt du 29 juillet 2019 – C-40/17 – "Fashion ID"), selon lequel une responsabilité commune existe. Lorsque des problèmes se posent, donc, le propriétaire du site Web qui a intégré le pixel FB et Meta sont dans la même barque. Mais on peut raisonnablement supposer que Meta ne participera pas à l'effort.
Conditions de base
Pour que les outils d'analyse sur des sites web aient une chance de sécurité juridique, il faut satisfaire un certain nombre de conditions dont font partie:
- Demande de consentement : le pixel ne peut être chargé qu'après que l'utilisateur (= visiteur du site web) a donné son consentement. Cela découle entre autres de l'article 25 de la TTDSG, de l'article 49 du RGPD, de l'arrêt Schrems II de la CJUE (arrêt du 16.07.2020 – C-311/18) ainsi que de l'article 5, paragraphe 1, point c du RGPD (« minimisation des données »).
- Text ordinaire pour la déclaration de confidentialité: mention de la composante, de son but, de l'entreprise qui la fournit (adresse), du lien vers la déclaration de confidentialité de l'entreprise vers la composante, des données personnelles collectées, autres indications (comme le lien avec un compte Facebook si l'utilisateur est connecté)
- Possibilité d'abstention de la collecte de données personnelles par l'outil d'analyse (Opt-Out)
- Anonymisation des adresses IP (voir par exemple Google Analytics)
- Réduction des données à collecter à un niveau justifiable (je ne sais pas pourquoi il faut connaître l'âge exact de ses visiteurs Web, ce droit n'appartient à personne en tant que tel)
- Contrat de traitement de données en vue d'une prestation avec le fournisseur du outil d'analyse
- Garantie que le fournisseur de l'outil d'analyse respecte les dispositions en matière de protection des données applicables dans ce pays
Qui pense que cela est possible avec le pixel Facebook peut continuer. Certaines points ne concernent pas nécessairement ce pixel, car il n'est pas obligatoirement à considérer comme un outil d'analyse.
Demande de consentement
Étape 1: Ne charger pas les pixels
N'activez jamais le code du pixel FB et espérez que un outil de consentement l'efface efficacement jusqu'à ce que l'utilisateur ait donné son accord. Voir mes recherches sur les outils de cookies.
Utilisez plutôt l'une des deux possibilités suivantes:
- Charger le code du pixel de Facebook après que l'utilisateur ait donné son accord.
- Lancer le code en mode inactif et l'activer uniquement après que l'utilisateur ait donné son accord.
La possibilité un peut être réalisée avec mon outil de consentement gratuit.
Possibilité deux utilise la directive data-src (au lieu de src) dans les instructions script, qui est désormais assez répandue. Le code pour le pixel FB ressemblerait alors à ceci:
<script data-src="/script/to/pixel-code"></script>
La condition est que le code pour charger le pixel Facebook soit dans un fichier script. Qui cherche des suggestions techniques à cet effet trouvera celles-ci dans l'article sur l'outil de consentement qui m'a été lié. Peut-être sera également utile l'exemple de code suivant.
Informations sur la protection des données dans la demande d'autorisation
Dans ma liste de contrôle pour les demandes d'approbation, vous trouverez les informations qui doivent être fournies dans le souvent appelé "popup d'approbation des cookies" ou popup d'approbation. Cela inclut notamment:
- Nom du service, ici: Pixel Facebook (ou autre, selon le type de service FB chargé)
- Description de but succincte
- Fournisseurs nommer: Meta avec indication de pays (l'adresse complète également ou au plus tard dans la politique de confidentialité)
- Faire remarquer que les risques, conformément à l'article 44 du RGPD, existent en raison du transfert de données aux États-Unis
- Tous les cookies sont nommés. Par cookie
- Name
- Description de l'objet
- Durée de vie
Veillez à ce que la possibilité de consentir sur le "Cookie Popup" ne soit pas visuellement mise en avant par rapport à la possibilité de refuser. Refuser doit être au moins aussi facile que donner son accord.
Option d'exclusion (Opt-Out)
Le pixel de Facebook ne propose pas d'option d'abonnement par défaut. Je suggère la solution suivante:
Insérer le code JavaScript
Ajoutez le code suivant à chaque page de votre site Web, ajustez l'ID Facebook dans le code et insérez-le dans la section BODY, par exemple tout en haut:
<!-- Facebook Pixel privacy protection (C) dr-dsgvo.de -->
<script>
var fpProperty = 'mde-service';
var fpdisableStr = 'fp-disable-' + fpProperty;
// Opt-out function
function fpOptout() {
document.cookie = fpdisableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';
window\[fpdisableStr\] = true;
alert("The Facebook Pixel is deactivated and will no longer be loaded. Please refresh the page");
}
function activatePixelMDE() {
document.cookie = fpdisableStr+'=true; Max-Age=-99999999;path=/';
window\[fpdisableStr\] = false;
alert("Facebook Pixel will be activated at next page load");
window.location=window.location;//Reload of page
}
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
// FB-Pixel is deactivated by user, do nothing
console.log(atob("RmFjZWJvb2sgUGl4ZWwgaXN0IGRlYWt0aXZpZXJ0LiBEYXRlbnNjaHV0ei1NZWNoYW5pc211cyB2b24gaHR0cDovL3d3dy5tZWluZS1kYXRlbnNjaHV0emVya2xhZXJ1bmcuZGU="));
}else {
!function(f,b,e,v,n,t,s)
{if(f.fbq)return;n=f.fbq=function(){n.callMethod?
n.callMethod.apply(n,arguments):n.queue.push(arguments)};
if(!f.\_fbq)f.\_fbq=n;n.push=n;n.loaded=!0;n.version='2.0';
n.queue=\[\];t=b.createElement(e);t.async=!0;
t.src=v;s=b.getElementsByTagName(e)\[0\];
s.parentNode.insertBefore(t,s)}(window, document,'script',
'https://connect.facebook.net/en\_US/fbevents.js');
fbq('init', '2051522461760028');//Put your ID in here
fbq('track', 'PageView');
console.log(atob("RGF0ZW5zY2h1dHotTWVjaGFuaXNtdXMgdm9uIGh0dHA6Ly93d3cubWVpbmUtZGF0ZW5zY2h1dHplcmtsYWVydW5nLmRl"));
}
</script>
Vérifiez que la recharge de la page fonctionne après une annulation effectuée.
Étape 2: Compléter votre politique de confidentialité
Les utilisateurs doivent avoir la possibilité de s'abonner (Opt-Out) au pixel Facebook. Cela peut être réalisé à l'aide du code JavaScript. Copiez le code suivant dans votre politique de confidentialité, où l'utilisateur devrait avoir la possibilité d'opter-out du pixel Facebook.
<script>
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
document.write('<div class="text-center" style="margin-top:24px"><a onclick="activatePixelMDE()">Activate FB Pixel</a></div>');
}else {
document.write('<div class="text-center" style="margin-top:24px;margin-bottom:96px"><a onclick="fpOptout()">Deactivate the pixel</a></div>');
}
</script>
Copiez ce code à la fin du texte sur la protection des données pour le pixel Facebook.
Contrôle étendu
Facebook offre la possibilité de faire un rapprochement des données étendu. Cette option doit être désactivée avec urgence pour éviter les problèmes liés à la protection des données. Si vous souhaitez quand même utiliser le rapprochement étendu, vous devez obtenir une autorisation préalable de vos utilisateurs. Comment procéder vous en laissez libre – à ma connaissance, il n'existe pas d'autres solutions appropriées.
Avis juridiques
Cet article ne constitue pas un conseil juridique. Si vous voulez être tout à fait sûr, il est recommandé de suivre la procédure suivante, qui n'est cependant pas très pratique:
- Demandez à votre utilisateur l'autorisation pour le pixel Facebook et la collecte de données associée
- N'ajoutez le code du pixel Facebook qu'après avoir obtenu l'accord
- Si l'utilisateur révoque son consentement, par exemple via un mécanisme d'opt-out comme décrit ci-dessus, empêchez à nouveau le chargement du code Facebook
La demande de consentement mentionné à l'article 1 peut être combinée avec un pop-up cookie pour demander le consentement à l'utilisation des cookies. Cela peut paraître compliqué et non utilisateur-friendly, ce qui est aussi le cas. La réglementation générale sur la protection des données s'occupe de la protection des données et non de la convivialité ou de la proximité avec les pratiques. Amusez-vous bien !
Vérification de protection des données pour les sites web
Un texte de protection des données complet pour le pixel Facebook ainsi que du soutien à de nombreux outils d'analyse, scripts et composants offre le check de protection des données. Ce que personne ne peut faire, ma logiciel le fait: une analyse automatique de la protection des données d'un site web avec des propositions de solutions pour les problèmes trouvés.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
