Pour de nombreux outils et cookies, une autorisation est nécessaire, qui s'appelle également le consentement. Des outils appelés "consent tools" devraient ici aider, mais ils ne suffisent pas, comme mon test pratique l'a montré. Quelles sont les exigences qu'une demande d'autorisation doit remplir en réalité ?
Introduction
L'utilisation de plugins et d'outils de traitement des données sur les sites Web est, conformément à Article 6, paragraphe 1 de la RGPD, en substance autorisée uniquement si
Il existe un intérêt légitime du propriétaire de la page web
Une autorisation a été obtenue auprès du visiteur du site Web.
Les sites Web qui ne utilisent pas de cookies et traitent uniquement les données dans la mesure nécessaire (par exemple, formulaire de contact), n'ont pas besoin d'un "popup sur les cookies".
Il est également valable si seuls les cookies nécessaires sont utilisés, comme par exemple pour la gestion du panier d'achat.
La directive ePrivacy stipule en son article 5, paragraphe 3 , que l'accès à des cookies ou leur lecture nécessite une autorisation. Cette directive s'applique également au § 15, alinéa 3 TMG en Allemagne, comme le juge la Cour suprême allemande (Bundesgerichtshof) dans l'affaire Planet49 du 28 mai 2020 (I ZR 7/16). Cette disposition a été officiellement introduite en Allemagne avec § 25 TTDSG en décembre 2021.
L'article 44 et suivants du RGPD prévoient que le transfert de données dans des pays tiers non sûrs (comme les États-Unis) est en soi interdit. Puisque les adresses IP sont déjà des données personnelles, la loi RGPD s'applique principalement à toutes les pages Web.
Selon ces fondements juridiques, les outils suivants sont par exemple obligatoires:
- Google Analytics: Réglement électronique sur la protection des données, transfert de données aux États-Unis. Mehr Details
- Cartes Google: ePrivacy-Richtlinie (et/ou autres). Plus de détails
- Plugin Facebook: Réglementation de l'e-privace (et/ou autres)
- Google Schriften (accès externe): Art 44ff. RGPD ou Art. 5 RGPD (minimisation des données). Plus de détails
- Google reCAPTCHA: directive ePrivacy (et/ou autres). Plus de détails
- Vidéos YouTube avec des cookies: Directive ePrivacy (et/ou autres)
- Vidéos YouTube sans cookies: Art. 44ff. RGPD ou Art. 5 RGPD (minimisation des données)
- Vimeo-Videos: Art. 44ff. RGPD ou Art. 5 RGPD (minimisation des données). Plus de détails
- Joueur SoundCloud: Règlement électronique de la protection des données (et/ou autres). Plus de détails
La liste peut être poursuivie presque à l'infini pour d'autres outils connus. Le l'intérêt légitime peut être exclu pour tous ces services. Cela peut même être prouvé en partie de manière technique et donc sans équivoque.
Ici, vous pouvez vérifier en quelques secondes (gratuitement et sans inscription) si un site Web est conforme à la protection des données ou s'il existe besoin d'action.
Liste de contrôle pour les outils de consentement
Si vous êtes suffisamment conscients des risques, voulez-vous utiliser l'une des solutions d'agrément courantes, la liste de vérification suivante vous aidera à évaluer votre projet. Les solutions courantes ne sont en effet pas des solutions, comme mon test clinique l'a démontré.
Selon mes tests, inadaptés sont les outils de consentement suivants:
- Borlabs Cookie
- CCM19
- Cookiebot
- Gestionnaire de consentement
- C'est clair !
- OneTrust / Optanon / CookieLaw
- Centricité de l'utilisateur
Les exigences relatives aux demandes d'autorisation découlent du texte législatif de la RGPD et des arrêts de la Cour de justice de l'Union européenne (CJUE) et de la Cour fédérale allemande (BGH). Il existe également des arrêts de petits tribunaux, comme celui du LG Rostock (15.09.2020 – 3 O 762/19), qui considère comme illégale la possibilité d'abjurer plus difficilement que de consentir.
Exigences relatives aux demandes de consentement:
- Le droit de rétractation doit être directement visible → Art. 7, alinéa 3 du RGPD
- Le refus devrait être aussi simple que le consentement → Décision du tribunal régional de Rostock
- Une préférenciation contraire à la protection des données n'est pas autorisée → Arrêt de la Cour de justice de l'Union européenne Planet49
- Faculté de trouver une simple possibilité de rétractation → Art. 7, alinéa 3 du RGPD
- Le retrait doit être simplement possible (nombre de clics !) → Art. 7 Abs. 3 RGPD
- Le retrait doit être entièrement possible (effacement de tous les cookies, déchargement de tous les services) → Art. 7 Abs. 3 RGPD
- Après le retrait, la page Web devrait se réactualiser automatiquement pour désactiver les services actifs jusqu'alors en rechargeant la page Web
- Déclaration des services auxquels on consent. Possibilité de consentir à chaque service ou en catégorie de services→ Art. 12 RGPD, Art. 7 Abs. 4 RGPD
- Pour le service → Art. 13 RGPD
- Déclaration du fournisseur (mention complète de l'entreprise, adresse et pays)
- Déclaration des finalités → Article 5, alinéa 1 du RGPD
- Déclaration des destinataires de données (mention complète du nom de la société, de l'adresse et du pays)
- Liste des pays de collecte des données
- Déclaration des risques lors de la transmission dans des pays tiers non sûrs → Art. 49, alinéa 1 RGPD
- Liste de tous les cookies du service. Par cookie:
- Nom de cookie
- Déclaration des finalités → Arrêt du TJUE Planet49
- Déclaration de la durée de vie → Arrêt du Tribunal européen des droits de l'homme Planet49
- Enregistrement de la consentement donné comme preuve en cas de réclamation → Art. 7 al. 1 du RGPD
- Seulement après accord, les scripts pour les vidéos de Vimeo ou YouTube, des polices externes ainsi que la plupart des outils Google, y compris Google Tag Manager peuvent être chargés. Les États-Unis sont un pays tiers peu sûr. Même les clauses contractuelles standard n'y changent rien.
- Explication complète de tous les traitements des données effectués par les services utilisés dans la politique de confidentialité.
- L'affichage de la politique de confidentialité doit être accessible directement malgré l'interface d'accord, le lien vers elle ne doit pas être masqué par un popup.
- La déclaration de protection des données doit être lisible sans avoir à cliquer sur une demande d'autorisation pour passer outre.
Il peut être bien que des exigences supplémentaires soient nécessaires. Je serais ravi d'en recevoir une notification si quelque chose manque.
Il est important de savoir:
- Services sont également appelés outils ou plugins. Presque tous les outils connus nécessitent un consentement.
- Cookies ne sont qu'un motif d'une autorisation. Voir les adresses IP et la minimisation des données ainsi que mon article de spécialité.
- Les adresses IP sont des données personnelles. Chaque accès à un site Web ou à un service implique un échange de données personnelles.
- Réduction des données: Les transferts de données inutiles sont à éviter → Art. 5 Abs. 3 RGPD.
- Les Consent Tools s'appellent en pratique un test inadaptés pour respecter toutes les règles de protection des données. Il existe même des raisons objectives pour lesquelles les outils de consentement ne peuvent pas fonctionner avec fiabilité.
Dans un article séparé, on décrit des alternatives pour différents outils de Google.
Messages clés
Pour utiliser des outils et cookies sur un site web, il faut obtenir le consentement des visiteurs.
Les outils de consentement pour les sites web sont souvent inadaptés et ne respectent pas le RGPD.
Il est important de respecter les règles de protection des données en ligne, notamment en rendant la politique de confidentialité facilement accessible et en minimisant les données collectées.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
