Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen

Quels services et cookies sur les sites Web sont techniquement nécessaires et n'exigent donc pas de consentement ?

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI

Introduction@@Einleitung

Dans l'article 6 du RGPD, sont mentionnées les fondements juridiques selon lesquels une traitement de données est autorisé. Pour les sites web, il existe en substance exactement deux raisons pour lesquelles un traitement de données est autorisé.

Le premier motif est une Consent volontairement accordée par le visiteur du site Web. Cette dernière peut être retirée à tout moment par l'octroyant.

Le deuxième motif est l'intérêt légitime du propriétaire d'un site web.

Parce que les consentements sont soumis à des exigences formelles importantes et que leur demande est souvent évitée, beaucoup tentent d'invoquer l'intérêt légitime comme justification. Cette justification est également utilisée comme prétexte lorsque rien d'autre ne vient à l'esprit, par exemple pour répondre à une demande d'un intéressé ou dans un litige juridique.

Pour quelles raisons un consentement est-il réellement nécessaire ?

Les cookies

La situation est clairement définie lorsque des cookies sont utilisés sur une page Web qui ne sont pas techniquement nécessaires. Il s'agit de tous les cookies qui ne sont vraiment pas absolument nécessaires. Comme réellement nécessaire peuvent être considérés par exemple des cookies pour la gestion de session ou l' abonnement avec VG Wort pour le calcul d'une redevance légale due aux auteurs.

Tout ce qui sert à suivre les utilisateurs, donc à compter les utilisateurs, doit d'abord être examiné de près et est, à mon avis, garanti non nécessaire si la durée de vie du cookie dépasse 24 heures.

La base juridique pour la nécessité d'un consentement lors de l'utilisation des cookies est réglementée dans Article 5, paragraphe 3 de la directive ePrivacy ou plus récemment dans l'article 25 du TTDSG. Le TTDSG stipule cependant que les cookies pour suivre les utilisateurs sont techniquement non nécessaires, car les cookies de session pour compter les utilisateurs ne sont pas nécessaires, "afin que le fournisseur d'un service de télécommunication puisse mettre à disposition un service de télécommunication expressément souhaité par l'utilisateur." On trouve également cela dans la directive ePrivacy, car le TTDSG s'inspire très étroitement du texte de cette directive.

Transferts de données inutiles

Dans l'article 5, alinéa 1 c RGPD, on trouve l'obligation de minimisation des données. Il faut donc que la traitements des données soit conforme à son but et limitée au minimum nécessaire pour atteindre les objectifs de traitement. Même l'article 25 RGPD impose une mise en œuvre favorable à la protection des données.

Un exemple de transferts de données inutiles sont les images intégrées à une page web, qui sont chargées depuis un serveur tiers. Bien sûr, il est possible d'abriter l'image sur son propre serveur. Lors du chargement d'une image provenant d'un autre serveur, des données de trafic y compris l'adresse réseau du utilisateur sont transmises à un tiers. Puisque l'adresse réseau est considérée comme un donnée personnelle, un tel transfert de données n'est pas autorisé au départ. Il est donc inversement proportionnel à ce que beaucoup pensent: les transferts de données vers des tiers ne sont pas autorisés en soi et ne le sont qu'éventuellement dans le cas spécifique considéré.

Échanges de données critiques

Je qualifie de critique les transferts de données vers des pays tiers non sécurisés. Un pays tiers non sécurisé est tout pays pour lequel le RGPD ne s'applique pas et pour lequel aucune décision d'adéquation n'a été prise par la Commission européenne. Cela s'applique également, selon mon avis, aux décisions d'adéquation qui ne semblent pas tenables. Par exemple, aucune décision de la Commission européenne ne peut changer le fait que les États-Unis traitent les données des citoyens européens de manière illicite au regard du RGPD.

Avec des fournisseurs provenant de pays tiers non sûrs, il est possible d'établir des clauses contractuelles standard (SCC) ou des règles d'entreprise obligatoires (CBR) pour résoudre le problème. Cela n'est toutefois possible que si la législation nationale tolère de telles conventions. Aux États-Unis, ce n'est pas le cas. Tant que il existe Cloud Act, FISA et EO 12333, la réponse à la question de savoir s'il est autorisé d'effectuer des transferts de données vers des tiers aux États-Unis sans consentement est toujours: Non.

L'article 44 du RGPD et les articles suivants précisent les exigences. Une autorisation pour des transferts de données à risque ne peut être fondée qu'exceptionnellement et pas durablement sur une autorisation, comme le révèle l'article 49 du RGPD. Presque toutes les pages Web qui demandent une autorisation pour les outils d'éditeurs américains, par exemple le pixel Facebook ou Google Analytics, enfreignent cela. ([1]) ([2]) ([3])

Un transfert de données critique a lieu par exemple lors du téléchargement d'un fichier sur un serveur d'un fournisseur américain. Même dans ce cas, il faut toujours transmettre l'adresse réseau du utilisateur comme donnée personnelle.

Sortie: Solutions d'acceptation

Il semble que beaucoup ne veulent pas en prendre connaissance, ou ils ne le savent pas. C'est tout aussi grave: les outils de consentement de OneTrust et UserCentrics transmettent potentiellement des données aux États-Unis, à condition que les scripts chargés pour la mise en place de la demande d'autorisation soient chargés (voir les tests pratiques liés qui montrent que dans la pratique OneTrust et UserCentrics sont à considérer comme contraire à la RGPD).

Selon cela, les demandes d'autorisation de OneTrust et UserCentrics nécessitaient elles-mêmes une autorisation avant que ce dérangeant et souvent fortement déficient appelé "Cookie Popup" soit affiché.

Services techniquement nécessaires

Un service numérique est également appelé outil. Les services dans ce sens sont par exemple Matomo, Google Maps, OpenStreetMap ou polices externes. La désignation de service est ici la plus large et comprend également des images externes. La désignation peut être justifiée par le mot anglais "to serve". Un serveur est donc un serviteur ou un manipulateur. Chaque appel à un serveur externe signifie en quelque sorte l'utilisation d'un service. Cela inclut également la simple transmission de données à un serveur, sans qu'une réponse du serveur soit attendue (exemple: envoyer des données de suivi par Google Analytics à un serveur Google).

Un service numérique est toute communication avec un serveur.

Définition large du terme "service" au sens de la protection des données numériques

La page Web actuellement consultée peut également être considérée comme un service. La fourniture d'une page Web demandée par le navigateur est apparemment techniquement nécessaire si quelqu'un souhaite proposer cette page Web. Cela ne nécessite pas de consentement.

Les demandes de fichiers arbitraires provenant de son propre serveur, qui n'impliquent ni transmission de données à des tiers ni traitement de données supplémentaire au-delà de ce qui est déjà autorisé par la fourniture du site Web, sont non critiques et n'exigent pas de consentement.

Sinon, aucun autre service n'est techniquement nécessaire au départ. Toute page Web peut fonctionner sans autres services. Si une page Web intègre une gestion des rendez-vous d'un autre prestataire, cela peut être considéré comme techniquement nécessaire en raison de l'objectif de la page Web. Cependant, on peut alors s'attendre à ce qu'un accord de traitement de données (DPA) ait été conclu avec le prestataire de la gestion des rendez-vous et que ce dernier se soumette entièrement et garantissent à la RGPD. Les fournisseurs provenant de pays tiers peu sûrs sont donc exclus, sauf si un consentement est obtenu.

Presque aucun service n'est techniquement nécessaire pour un site web

Connaissance tirée d'une analyse approfondie de l'anatomie d'un site web

Si une gestion des rendez-vous est absolument nécessaire, le responsable du site Web doit rechercher un fournisseur conforme à la protection des données. Si aucun tel fournisseur n'est trouvé, le responsable du site Web doit soit renoncer à la gestion des rendez-vous, soit en développer une lui-même. Ce dernier point, je pense, peut être exigé. D'ailleurs, cette estimation n'a finalement aucune importance. Si vous ne trouvez pas de place de parking pour marcher jusqu'au supermarché et faire vos courses, vous ne devez pas vous garer de manière incorrecte. Il n'est pas important que vous ne puissiez pas faire vos courses en raison de l'absence d'une place de parking régulière. Au plus, dans un cas exceptionnel, on pourrait argumenter qu'un stationnement incorrect est acceptable. Cependant, ce cas d'espèce se produit quasiment jamais sur les sites Web, car un site Web s'adresse automatiquement à de nombreux utilisateurs potentiels avec l'ensemble de son offre publique et accessible.

En outre, Cookiebot ne propose pas d'DPA, car l'éditeur Cybot pense que cela n'est pas nécessaire, puisque aucune donnée personnelle ne serait traitée par Cookiebot. C'est évidemment de la bille et témoigne d'une ignorance considérable en matière de protection des données.

En résumé, il existe peu de services techniquement nécessaires. Selon le type de site Web, une ou plusieurs fonctions importantes peuvent être nécessaires, mais elles doivent alors être mises en œuvre de manière conforme à la protection des données. Aucun respect total de la vie privée en raison d'une fonction prétendument importante ne peut être invoqué comme argument.

Cookies techniquement nécessaires

La plupart des cookies ne sont absolument pas nécessaires. Cela commence déjà par le fait que les cookies n'existent pas simplement ainsi, mais sont créés et utilisés par des services. Cependant, comme décrit précédemment, ces services ne sont dans la plupart des cas pas techniquement nécessaires. Ainsi, la grande majorité des cookies ne sont pas techniquement nécessaires.

Les cookies sont presque toujours techniquement non nécessaires

Il existe très peu d'exceptions

Les cookies techniquement nécessaires se comptent sur les doigts d'une main. Il s'agit notamment de:

  • Cookies de gestion de session
  • Cookies VG Wort pour le calcul de la rémunération des auteurs
  • Cookies permettant de stocker les préférences des utilisateurs, comme par exemple la langue
  • Pour la sécurisation, des cookies peuvent être nécessaires, mais pas nécessairement sans motif. Voir Tokens CSRF
  • Pour l'instant, cela ne me vient pas à l'esprit

La gestion des sessions permet aux rédacteurs, administrateurs et même aux utilisateurs d'une boutique en ligne de se connecter. Elle permet également de gérer un panier d'achat.

Les cookies VG Wort sont donc nécessaires afin de pouvoir détecter à la fois la fraude et l'enregistrement double d'accès rapides consécutifs effectués par la même personne (de manière relativement efficace).

Pour une page Web multilingue, un cookie peut également être utile pour enregistrer la langue sélectionnée. Cette gestion de la langue serait également possible sans cookies, mais elle serait alors potentiellement plus complexe et nécessiterait dès le départ un choix d'une structure appropriée du site Web. Par exemple, les chemins d'URL vers les contenus devraient être choisis de manière à coder la langue dans le chemin. D'autre part, il faudrait alors qu'il existe une version pour chaque langue proposée pour chaque page, afin que l'utilisateur sache toujours dans quel espace linguistique il se trouve.

D'autres paramètres que peut modifier un utilisateur sur un site Web sont également envisageables. Il s'agit notamment de la décision concernant les paramètres de protection des données (consentement). Quant aux cookies de désinscription, lus par des tiers, je les considère comme non autorisés. En effet, un service tiers optionnel chargé ensuite de ne rien faire n'a aucun sens et n'est donc pas nécessaire. Il ne devrait pas être chargé du tout si l'utilisateur ne le souhaite pas.

Conclusion

J'affirme jusqu'à nouvel ordre que tous les cookies de tiers nécessitent obligatoirement un consentement. Un DPA est déjà le minimum attendu. En effet, dans ce cas, le tiers n'est plus un tiers, mais un premier. Veuillez m'indiquer si vous constatez un cas où un cookie de tiers serait techniquement nécessaire, c'est-à-dire sans DPA !

Même chose vaut pour les appels de données auprès de tiers. Je ne vois pas d'exemple, à part le Pixel de comptage VG Wort ou des situations similaires régies par des dispositions légales, où un appel de données serait autorisé sans consentement préalable, car il s'agit d'une nécessité inévitable. Veuillez me donner un exemple si vous en connaissez un.

Ce billet vise à stimuler la discussion et n'ambitionne (encore) pas d'avoir couvert toutes les situations possibles. Je suppose cependant que je suis au moins proche de la vérité, voire que je l'ai déjà atteinte.

Points clés de cet article

Les sites Web ne peuvent traiter les données que si cela est techniquement nécessaire ou si l'utilisateur consent, ou s'il existe une autre base légale.

Le transfert de données vers des pays en dehors de l'UE est souvent interdit si ces pays n'ont pas des dispositions de protection des données suffisantes.

La plupart des services numériques sur les sites Web ne sont pas techniquement nécessaires et doivent être mis en œuvre de manière conforme à la protection des données.

La plupart des cookies ne sont pas techniquement nécessaires et nécessitent donc le consentement de l'utilisateur.

Sur ces affirmations de base
About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Website-Cookies: Was darf ohne Zustimmung verwendet werden?