Le tribunal administratif de Wiesbaden a décidé, dans un arrêt du 01.12.2021 (n°: 6 L 738/21.WI), que l'utilisation de Cookiebot sur les sites web est illégale. Plus précisément, il s'agissait de la page internet de l'université RheinMain (HSRM).
Mise à jour
La note de presse du tribunal ci-dessous a été révisée. Jusqu'à présent, il était explicitement question de Cookiebot, comme le montre la capture d'écran de l'article original ci-dessous :
Maintenant, le VG Wiesbaden a ouvert l'affaire et parle en général de services de cookies. Il s'agit donc d'autres services que Cookiebot. Je peux également dire avec certitude que Cookiebot est concerné par la décision, en raison de ma connaissance directe de la première communiqué de presse. Même dans le jugement, on peut trouver des références à Cookiebot.
Le tribunal administratif de Hesse s'occupe maintenant également de cette affaire.
Objet du dossier
Avec une communiqué de presse du 06.12.2021, le VG Wiesbaden a constaté que l'outil dit "Cookie" Cookiebot ne peut en fait pas être utilisé. Cela vaut probablement tant que longtemps que Cookiebot se sert du prestataire américain Akamai et ceci de manière indissociable.
Cookiebot vise à aider les exploitants de sites Web à obtenir des consentements des visiteurs avant de procéder à des traitements de données nécessitant un consentement, notamment concernant les cookies, comme le suggère le nom Cookiebot. Cependant, il existe d'autres opérations qui nécessitent également un consentement.
J'avais déjà constaté à plusieurs reprises que Cookiebot était, de mon point de vue, peu adapté en pratique pour recueillir des consentements conformes à la législation. Voici quelques-uns de mes contributions à ce sujet :
- La catastrophe des cookies: l'échec des outils de consentement ([1])
- Test pratique de Cookiebot
Si un service comme Cookiebot a besoin lui-même d'une autorisation pour demander une autorisation, ce service est en fait non utilisable ou, selon mon point de vue, sans intérêt. D'autres possibilités de fondements juridiques Article 49 du RGPD sont régulièrement exclues ici.
Les raisons pour lesquelles le tribunal administratif de Wiesbaden qualifie Cookiebot d'illégal sont notamment les suivantes. Je les écris ici avec mes propres mots, sans prétendre que le tribunal administratif de Wiesbaden les a exprimées ainsi. Il en va de même pour mes déclarations précédentes. Chacun peut lire la communiqué de presse du tribunal ci-dessus s'il le souhaite.
Cookiebot traite des données personnelles et les transmet à un prestataire aux États-Unis. Ce prestataire stocke ces données personnelles. C'est déjà mal (cf. le jugement Schrems II). En effet, cela contrevient ainsi aux principes de la art. 44 ff RGPD. Il manque ici en pratique une autorisation. Comment cette autorisation pourrait-elle être obtenue, alors que Cookiebot devrait d'ailleurs s'en charger ?
La transmission de données de Cookiebot à Akamai, un prestataire de services basé aux États-Unis, semble être inextricablement liée à Cookiebot. À ma connaissance, Cookiebot ne peut être intégré que dans cette configuration et non autrement.
Comme je le vois, il ne peut même pas être obtenu une autorisation pour Cookiebot qui serait conforme à Article 49 du RGPD. De même, les autres fondements juridiques mentionnés dans cet article seront probablement régulièrement exclus.
En outre, Cookiebot traite d'autres données qui me semblent techniquement non nécessaires, par exemple le User-Agent (version exacte du navigateur, système d'exploitation). Je ne peux pas évaluer rapidement si cela a été pertinent pour la décision de justice. En tout cas, selon mes connaissances , Cookiebot n'offre aucune DPA car Cookiebot pense ne pas être un sous-traitant, car Cookiebot pense ne traiter aucune donnée personnelle. Au moins le dernier élément de cette argumentation me semble douteux, et donc peut-être aussi le reste des croyances qui s'attachent à Cookiebot.
Cela montre une fois de plus qu'il n'est pas judicieux de se fier aux affirmations publicitaires des fournisseurs comme Cookiebot.
Cookiebot est en pratique inutilisable.
Ma conclusion tirée de l'arrêté du tribunal administratif de Wiesbaden.
Il ne s'agit pas non plus d'une bonne idée de mettre en place un tel outil miraculeux et d'espérer que tout ira bien. C'est du bluff. Presque toutes les pages Web qui utilisent un outil dit "cookies" sont illégales et mériteraient une mise en garde. Mon analyse constante le montre. D'ailleurs, certaines des sites Web que j'ai visités mériteraient une mise en garde. Au revoir !
Veuillez utiliser des services respectueux de la vie privée. Cela rendra l'obtention du consentement superflu. Je décris et nomme les possibilités et les solutions en détail sur Dr. RGPD.
Qui envoie des données à Google, Akamai et d'autres devrait se constituer un fonds pour les procédures judiciaires. Ou mieux encore, ne pas traiter de données sans base juridique. S'acquitter des lois serait aussi une approche.
L'appel contre le décision du tribunal administratif de Wiesbaden peut être formé par l'intimée dans un délai de deux semaines. Quoi qu'il en soit, c'est déjà un pas important pour la protection des données.
J'ai participé à cette procédure en tant que perito.
En outre, Cookiebot et UserCentrics s'associent .
Soweit ich weiß, nutzt UserCentrics le Google Cloud. Google is ein Anbieter mit Hauptsitz in den USA, soweit mir bekannt is. Aus den Nutzungsbedingungen le Google Cloud Platform geht hervor: „ALLE ANSPRÜCHE, DIE SICH AUS ODER IM ZUSAMMENHANG MIT DIESER VEREINBARUNG ODER DEN DIENSTEN ERGEBEN, UNTERLIEGEN DEM KALIFORNISCHEN RECHT“ und „Alle Ansprüche … werden AUSSCHLIESSLICH VOR DEN BUNDESGERICHTEN ODER DEN GERICHTEN DES VERWALTUNGSBEZIRKS SANTA CLARA, KALIFORNIEN, USA, VERHANDELT; DIE PARTEIEN STIMMEN DER PERSÖNLICHEN GERICHTSBARKEIT IN DIESEN GERICHTEN ZU.“
Qui réfléchit à l'utilisation d'un nouveau outil de consentement, utilise peut-être plutôt un qui est maîtrisable est.
Points clés de cet article
Le tribunal administratif de Wiesbaden a qualifié Cookiebot d'illégal.
Cookiebot traite des données et les transmet à un prestataire de services aux États-Unis, ce qui viole les dispositions sur la protection des données.
La étroite liaison de Cookiebot avec un prestataire américain rend un consentement légal impossible.
Cookiebot pourrait ne pas respecter les prescriptions du RGPD.
Cookiebot pourrait traiter des données inutiles.
Il ne faut pas se fier aux déclarations promotionnelles des fournisseurs comme Cookiebot.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.