Cookiegeddon: L'échec de tous les outils de consentement

Un test pratique approfondi des outils de consentement populaires pour les sites web avec les résultats du test. J'ai vérifié les exigences techniques et juridiques de la RGPD. Pour cela, j'ai testé des sites web qui utilisent des outils de consentement.

Toutes les sites web testés, qui utilisent un outil de consentement populaire, présentent des *défauts graves.

Résultat du test, en fonction des sites web testés qui utilisent un outil de consentement. Date: 31.12.2020

Aucune des sites web testés n'a montré un comportement respectueux de la vie privée. Tous les sites web testés ont été incapables d'atteindre la conformité à la RGPD grâce aux outils de consentement utilisés. Même les sites web des fournisseurs de ces outils sont parmi les exemples négatifs.

Les raisons possibles de ce résultat:

• Les outils de consentement sont inadaptés pour mettre en œuvre les prescriptions de la RGPD
• Beaucoup d'anateurs de outils de consentement semblent ignorer les règles de protection des données elles-mêmes*
• L'incorporation simple d'un script de consentement est *objectivement insuffisante
• Les propriétaires des sites web ont trop confiance dans les outils de consentement et s'occupent eux-mêmes peu du règlement sur la protection des données

Faits bruts en résumé:

• Certaines prescriptions sont déjà inscrites dans des lois pertinentes et n'ont pas besoin d'une clarification ultérieure par les jugements. Exemples: avertissement de révocation là où une autorisation est demandée (art. 7, al. 3 DSGVO); mention des risques lors des transferts de données dans des pays tiers non sûrs (art. 44 DSGVO)
• Les arrêts comme celui du CJUE sur les cookies déclarent que les buts et la durée de fonction des cookies doivent être nommés (art. 13 RGPD).
• Une autorisation doit être donnée volontairement. La raison commune dit que la liberté de refuser est aussi simple qu'une autorisation. Cela est régulièrement constaté dans les jugements. La directive ePrivacy le stipule également. Elle est par exemple utilisée à Google Analytics, comme on peut le démontrer clairement.
• Les prestataires de services utilisés doivent être nommés. Cela est prévu par le loi et également dans les jugements. Un fournisseur n'est mentionné que si son inscription, son adresse et le pays du siège social sont mentionnés.
• Les traitements de données effectués, y compris les services utilisés, doivent être expliqués (cf. art. 13 du RGPD).
• L'objet des cookies gérés par des services tiers est connu ad hoc que ces tiers. Souvent, malheureusement, ces tiers ne communiquent pas d'informations sur les objectifs de ces cookies. Par conséquent, une mention ordinaire des objectifs par l'utilisateur d'un outil tiers ne peut pas se faire.
• Pour l'intransparence des informations sur la protection des données, comme celles fournies par le groupe Google, est responsable (d'abord exclusivement) l'hébergeur d'un site Web qui utilise un outil Google.
• Un gestionnaire de cookies juridiquement sûr est en principe impossible*. Mon article de fond cite cinq raisons pour cela.
• Mise à jour juin 2021: Google reconnaît d'ailleurs que toutes les données d'analyse de Google Analytics sont toujours traitées aux États-Unis. Cela n'a pas été pris en compte dans mes tests, mais cela conduit à des constatations encore plus claires.

Si l'exploitant d'une des sites web mentionnés pense avoir corrigé son contenu, il peut me contacter. Je publierai ensuite une mise à jour dans cet article.

Personne ne pouvait donner à Mir le nom d'une page web qui utilise un outil de consentement populaire et plusieurs services obligatoires conformes au RGPD.

Ma mise de 100 euros qui n'a jamais été payée.

Certains affirment que l'on peut régler tout avec les paramètres de certains outils de consentement. C'est soit manifestement faux, soit cela ne se traduit pas en pratique, ce qui revient au même. Quelqu'un qui examine un peu plus attentivement les conditions juridiques et d'utilisation des outils Google, reconnaîtra facilement où est une partie du problème.

Introduction

Les outils de consentement sont des moyens d'aide avec lesquels une autorisation du visiteur d'un site web peut être obtenue pour des opérations de traitement de données avant que des opérations de traitement de données non autorisées ne se produisent. On parle souvent à tort de consents aux cookies, bien qu'il y ait également d'autres traitements de données soumis à l'autorisation.

Des sites web ont été testés qui utilisent les solutions dites de consentement suivantes:

• Borlabs Cookie
• CCM19
• Gestionnaire de consentement
• Cookiebot (voir Décision du tribunal administratif de Wiesbaden, qui a déclaré Cookiebot illégal)
• C'est clair !
• OneTrust / Optanon / Cookie Law
• Usercentrics (depuis le 01.09.2021 en activité avec Cookiebot)

Sites web qui utilisent des outils de consentement (huit autres sites web ne sont pas mentionnés nommément):

Parmi ces 24 sites web plus les sept autres, un total de 20 sites ont été testés. Je dois cependant dire que une brève vérification des sites non officiellement testés n'a pas permis d'éprouver une grande joie en raison d'une excellente mise en œuvre des dispositions relatives à la protection des données. Même après la publication de cet article, les sites web supplémentaires examinés présentent le même tableau. Cela vaut également pour août 2021.

Tous les outils de consentement semblent créer du brouhaha sur les sites web !

Résultat de conclusion à partir de mes résultats d'essai

Les résultats du test montrent que même de grandes entreprises ne parviennent pas à respecter des lois de protection des données *verbindliche Datenschutzgesetze.

Les sites Web suivants qui utilisent un outil de consentement nécessitent au moins un clic supplémentaire, pour refuser des processus soumis à l'obligation d'informer que pour les y donner leur accord (État: 30.12.2020):

• adac.de
• commerzbank.de
• digitalehelden.de
• euronics.de
• ffh.de
• haendlerbund.de
• heise-regioconcept.de
• hertie.de
• kia.com
• springer.com

Il semble que les exploitants de ces sites web donnent la priorité à l'obtention des données des utilisateurs plutôt qu'à offrir une simple possibilité de réclamation contre les collectes d'informations nécessitant le consentement. C'est, selon moi, clairement illégal. Les LG Rostock partagent cette même opinion. Spoiler: La Cour de justice de l'Union européenne et la Cour fédérale allemande rendent régulièrement des arrêts favorables aux consommateurs.

Cet article en ligne est un extrait d'un document PDF encore plus complet, dans lequel sont mentionnés d'autres captures d'écran et des preuves.

Procédure d'essai

Des sites web ont été testés qui utilisent l'un des outils de consentement plus populaires*. Les outils les plus populaires ont été décidés subjectivement. Il a été tenu compte de l'expérience d'une centaine de milliers de sites web vérifiés. De même, Klaro ! a été inclus dans le test car il est open source et que son fournisseur provient d'Allemagne. Certains autres lignes de conduite Open Source** ne sont plus développées depuis un certain temps et n'ont donc pas été prises en compte.

Les tests ont été effectués du 08.12.2020 au 31.12.2020. Comme je peux le constater chaque jour, les résultats n'ont pas perdu de pertinence en août 2021.

Les sites web mentionnés ont été examinés à la fois manuellement et grâce à mes propres outils. L'outil scanne le site web en question et lit uniquement quelques sous-pages pour le test. Dans ce processus, on constate les outils et fichiers chargés sans consentement ainsi que les cookies déposés sans consentement.

Les résultats obtenus de manière automatique ont été vérifiés à la main. En particulier, les critères suivants ont été vérifiés manuellement.

Critères de test

Les critères suivants ont été examinés de manière bienveillante du point de vue d'un citoyen germanophone qui consulte un site web:

• Consentement ou refus volontaires
• Chargement de services sans consentement
• Description des services utilisés
• Classification des services utilisés
• Liste des prestataires de services
• Nom et description des cookies utilisés
• Déclaration de transmission de données dans des pays tiers
• Informations sur la possibilité de rétractation
• Possibilité de révocation après consentement
• Révocation après consentement

Voir également ma liste de contrôle pour les demandes d'approbation sur les sites Web, dans laquelle quelques fondements juridiques sont mentionnés.

Résultats du test

Les sites web testés sont toujours présentés dans un classement alphabétique neutre. Les résultats des sites web testés sont anonymisés sous forme de lettres: Site A, site B, etc.

Parmi les sites web testés, il y a également ceux des fournisseurs de outils de consentement qui utilisent leur propre outil. Puisque les sites web des fournisseurs, tout comme les tiers utilisateurs de l'outil, présentent des lacunes graves concernant la solution d'informatisation, on peut en déduire que quelques fournisseurs ne connaissent pas suffisamment les bases juridiques ou que les outils proposés sont inadaptés pour obtenir une page web conforme à la loi.

Les résultats des tests suivants sont regroupés en fonction de l'outil de consentement.

Centricité de l'utilisateur

Sites web trouvés qui utilisent UserCentrics:

• adac.de
• commerzbank.de
• usercentrics.com
• www-ag.com
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Site Web E

La fenêtre d'accord de la page web ressemble à ceci:

Après un clic sur « Informations & Paramètres », apparaît une fenêtre contextuelle suivante:

Résultats

• Aucune décision volontaire possible: refuser pas aussi simple que d'accepter. Cela apparaît illégal (vgl. jugement du LG Rostock).
• Manque d'explication sur les cookies utilisés: C'est très gênant pour un outil qui est appelé "Bannière de cookie" et qui peut être configuré en appelant "Paramètres des cookies", que le bannière de cookie ainsi que les paramètres des cookies et la Déclaration sur la protection des données ne contiennent aucune information sur les cookies utilisés par Google Analytics et d'autres services chargés sur le site E.
• Chargement d'outils sans consentement: Sans consentement chargés sont Google Tag Manager, Vidéo YouTube, DoubleClick, Google Analytics universel, GA Audiences. Lors du chargement de Google Analytics , une demande de consentement est faite. C'est difficilement plus trompeur, pour le dire poliment.
• Le retrait n'est pas effectué: Un retrait d'une autorisation précédemment accordée ne conduit pas à un retrait. Comme on pouvait le constater, des cookies soumis à l'autorisation étaient toujours enregistrés même après le retrait.
• Concepts flous: Un citoyen moyen, et même un informaticien titulaire d'un doctorat, a des difficultés à comprendre la différence exacte entre Tracking, Personalisation et Marketing. Dans la catégorie Tracking, on trouve Google Analytics, qui est également un outil de marketing. Dans la section Personalisation, on trouve Hotjar, un outil de suivi. Cela apparaît lorsque l'on clique sur le nom des catégories dans l'outil de consentement. De même, Google Optimize est mentionné, un outil pour les tests A/B. Il s'agit d'améliorer les contenus pour des groupes ciblés. Cela ne peut pas être compris comme une personnalisation par le seul utilisateur qui visite une page web, mais plutôt comme une optimisation commerciale. Encore plus confus et complètement hors de toute possibilité de suivi est la classification de Google Analytics Statistique dans la catégorie Statistiques et de Google Analytics dans la catégorie Tracking. La différence entre Google Analytics Statistique et Google Analytics n'est pas claire et ne se révèle même pas à un expert. Un appel à l'aide fonction en cliquant sur le point d'interrogation révèle que cet outil est un "service d'analyse web et statistique […]" qui utilise des cookies et des balises de pixel. Pour Google Analytics , on ne mentionne que les cookies comme technologies utilisées, donc moins que pour l'autre (?) Outil qui n'a pas besoin d'un consentement. On explique à Google Analytics qu'il s'agit d'un "service d'analyse web", et non aussi un service statistique, comme l'autre (?) Outil qui n'a pas besoin d'un consentement.
• Rechtswidrige pré-sélection: Dans la rubrique Statistique , on trouve Google Analytics Statistique. Cet outil est pré-sélectionné (prévus). C'est contraire à l'arrêt de la Cour de justice de l'Union européenne sur les cookies, si on prend en compte que des cookies sont déjà déposés par Google Analytics avant une autorisation. On ajoute que le transfert de données dans des pays tiers (comme les États-Unis) sans pré-autorisation et sans garanties appropriées est contraire à la loi (cf. l'arrêt de la Cour de justice de l'Union européenne sur le Privacy Shield, ainsi qu'un catalogue des critères du noyb pour une évaluation cas par cas de la légalité des transferts de données vers les États-Unis).
• Classification erronée: Dans la catégorie Technisch erforderlich , on trouve Google Tag Manager. Outil servant à charger dynamiquement d'autres outils, il n'a donc pas de fonction en soi. Bien sûr, tous les outils chargés indirectement par Google Tag Manager peuvent également être chargés directement.
• Explications contradictoires: Pour Google Analytics Statistique et pour Google Analytics, on explique à égalité que le "lieu de traitement" est la "Union européenne". On ajoute ensuite que "Alphabet Inc." est un des destinataires des données. On sait bien que le siège d' Alphabet Inc. se trouve aux États-Unis, donc pas dans l'Union européenne. Pour Google Analytics Statistique, on indique comme seul destinataire "Alphabet Inc.", tandis qu'on mentionne également "Google LLC" et "Google Ireland Limited" pour Google Analytics. Il est difficile de justifier cela. On ne comprend pas pourquoi le lieu de traitement pour Google Tag Manager est indiqué comme étant les "États-Unis d'Amérique" et celui de Google Analytics comme étant l'Union européenne". Cette affirmation apparaît comme absurde, car Google Analytics n'est chargé que par Google Tag Manager.
• Manque d'information sur le fournisseur: les destinataires des données sont indiqués avec "Google LLC" et similaire. L'adresse manque. Seule l'adresse est mentionnée à la société qui traite les données.
• Explication douteuse des services utilisés: Le Google Tag Manager est décrit comme suit: « C'est un système de gestion de tags pour gérer les balises JavaScript et HTML, qui sont utilisées pour l'implémentation d'outils de suivi et d'analyse. Aucune donnée personnelle n'est traitée. Le manager de tag est une domaine sans cookies et ne traite aucune donnée personnelle. Le Google Tag Manager peut cependant déclencher d'autres tags qui peuvent collecter et traiter des données personnelles. » Cette description est premièrement fausse, car les adresses IP sont déjà collectées lors du lancement du Google Tag Manager. Deuxièmement, la description n'est pas claire. Un citoyen moyen ne sait pas ce que sont les tags JavaScript. En outre, il n'y a pas de tags JavaScript comme terme fixe.
• Insuffisance d'informations sur la transmission de données dans les pays tiers: Une information à ce sujet est présente dans la demande d'autorisation, mais indirectement, en donnant le nom et la forme juridique des entreprises, sans cependant mentionner leur adresse ou le pays du siège social. Exemple: Alphabet Inc.
• Manque d'informations sur les cookies: à presque tous les cookies utilisés manquent des informations de base, tant dans la demande d'autorisation de la page Web E que dans sa déclaration de confidentialité. Une ligne directrice spécifique "cookies" n'est pas trouvée.
• Liens non cliquables: Dans la déclaration de confidentialité du site E, les liens importants, tels que "Datennutzung durch le Google Inc.", ne sont pas cliquables.

Site Web F

La fenêtre d'accord de la page web ressemble à ceci:

Résultats:

• Rétablir la possibilité de refuser: Le bouton de refus est étiqueté "Voir et modifier les paramètres des cookies" et visuellement considérablement en arrière du bouton d'acceptation. Cela contredit l'interprétation juridique du LG Rostock (jugement du 15.09.2020 – 3 O 762/19).
• Demande d'approbation globale à la fois trouble: Lorsque l'on passe par la fenêtre d'approbation, on obtient une approbation non seulement pour le site F mais aussi pour les autres sites du propriétaire. Il est douteux que cela soit autorisé. De plus, il faudrait alors demander les mêmes approbations sur les autres sites ou pouvoir révoquer les approbations des autres sites à tout moment.
• Le chargement illégal d'outils sans consentement: Sans consentement, sont chargés Google Tag Manager, Google Scripts, Google Ads, les vidéos YouTube et DoubleClick. Pour DoubleClick , un consentement est demandé, mais il n'est pas toujours pris en compte, comme l'a montré une analyse du site F. Lors du chargement de les vidéos YouTube sans consentement, des cookies tiers sont déposés, qui ont parfois une durée de vie supérieure à 18 ans.
• Inaccessibilité de la possibilité d'annulation: La possibilité d'annulation peut être appelée en cliquant sur un lien dans le pied de page du site F. Cependant, ce lien ne fonctionne pas si la page actuellement affichée est la déclaration de confidentialité. Ainsi, strictement parlant, la possibilité d'annulation n'est pas disponible.
• Le retrait de consentement n'est pas entièrement effectué: Lorsqu'on donne son accord à tous les processus, le popup de consentement apparaît à nouveau et retire ensuite l'accord à tous les processus, mais la page web ne se recharge pas. Les services déjà retirés restent actifs. Au moins un cookie d'un tiers qui nécessite un consentement, mis en place après avoir donné son accord, est toujours présent. Lorsqu'on recharge manuellement la page web, les services retirés ne sont plus actifs, mais le cookie mentionné reste présent.
• La possibilité de rétractation non fonctionnelle pour Google Analytics: Hors du outil de consentement, il existe dans la politique de confidentialité une apparente possibilité de désactiver la collecte des données par Google Analytics (via un bouton Google Analytics désactiver). Lorsqu'on clique sur le bouton vert, rien ne semble se passer, à l'exception d'un texte de confirmation affiché en popup. Un cookie, comme suggéré dans l'image, n'est pas déposé. En dehors de cela, un Cookie Opt-Out est une possibilité plutôt mauvaise pour empêcher la collecte des données par un service tiers.
• Explication manquante des cookies utilisés: Il est peut-être un hasard que toutes les pages web étudiées qui utilisent UserCentrics n'affichent aucune information sur les cookies, il se pourrait que cela soit dû à UserCentrics lui-même. Le bandeau de cookie ainsi que les Cookie-Einstellungen et la Datenschutzerklärung ne contiennent aucune information sur les cookies utilisés.
• Catégorie de cookie inconnue: Le site F présente dans la catégorie Cookies techniques, fonctionnels ainsi que ceux servant à des fins de commission et d'abonnement également *Tech-Cookies. Ce terme est pour l'auteur, malgré plusieurs années de travail sur le sujet du droit à l'image sur Internet, inconnu jusqu'à présent. Le terme est généralement incompréhensible, inconnu et vise probablement les cookies orientés techniquement.
• Cookies nécessaires mais fragiles: Puisque le site F ne fournit aucune information technique sur les cookies, comme leur nom, leur but, leur description ou leur durée de vie, on peut seulement supposer ce que la suivante explication à propos des cookies nécessaires techniquement pourrait vouloir dire: La société XYZ utilise ces cookies pour simplifier l'utilisation du site web XYZ: Aidez par les cookies, la société XYZ peut reconnaître un utilisateur en fonction de visites précédentes lorsqu'il visite à nouveau le site web XYZ. Un reconnaitre d'utilisateur est autorisé en soi. Mais il est question de savoir comment cela se passe. Le cookie apparent utilisé qui dure plus qu'une session, stocke au moins seulement la configuration de langue. On aurait pu mentionner cela, pour son propre bénéfice, si c'est ce que l'on voulait dire avec cette explication ci-dessus.
• Manque de mentions de protection des données: Dans la déclaration de protection des données du site F manquent les informations sur les services utilisés, notamment pour les vidéos YouTube. Le Google Tag Manager n'est pas explicitement expliqué, mais seulement implicitement mentionné comme outil d'aide qui affiche les services. La raison en est probablement que le site a opté pour une approche de protection des données centrée sur les cookies, ce qui pose manifestement des problèmes.
• Manque d'information sur la transmission de données dans des pays tiers: Une information directe manque à la demande d'autorisation, bien qu'il s'agisse de services qui transmettent des données vers des pays tiers. Au lieu de cela, les informations fournies par l'éditeur sont mentionnées avec le pays. Il est douteux que le siège du prestataire mentionné soit le même que le pays dans lequel (seulement) les données sont transférées par le service utilisé.
• Manque d'information sur les cookies: Il semble que presque toutes les informations relatives aux cookies utilisés soient absentes, tant dans la demande de consentement de la page F que dans sa déclaration de protection des données. Une ligne directrice spécifique "cookies" n'est pas trouvée.

Site Web G

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• La possibilité de refuser a été délibérément moins mise en avant que le bouton "Accepter et Fermer". Les couleurs ainsi que la taille du bouton Refuser sont réduites.
• Nom erroné du délégué à la protection des données: Pour le service Matomo, l'adresse e-mail du délégué à la protection des données est privacy@matomo.org mentionnée. C'est évidemment de la folie, car ce service est hébergé et exploité par l'hébergeur du site G lui-même (comme il le précise). Il faudrait plutôt donner une adresse e-mail propre. Un autre exemple d'un délégué à la protection des données nommé erronément se trouve au service Google Ads Conversion Tracking. Là, l'adresse e-mail est donnée sous forme de lien vers une politique de confidentialité. En cliquant sur le lien, le logiciel de messagerie s'ouvre, car le lien est conçu comme un mailto-link .
• Chargement de outils sans consentement: Lors du chargement de la page G et sans avoir cliqué sur quoi que ce soit, les outils Lead Feeder, Google Schriften et Google reCAPTCHA sont chargés. Pour Google reCAPTCHA, on explique qu'une transmission de données à des destinataires dans le monde entier a lieu. Cela suggère un processus qui nécessite un consentement, mais celui-ci n'est pas reconnu. Il devient encore plus confus car il est donné un lien avec la description "Cliquez ici pour révoquer sur toutes les sous-domaines de l'entreprise traitante". Tout d'abord, le sens de cette phrase est discutable et deuxièmement on se demande pourquoi un retrait est nécessaire pour un service qui prétend ne pas nécessiter un consentement. Lead Feeder est toujours chargé, qu'une acceptation ait été donnée ou non. Cela contredit l'explication dans le popup de consentement de la page G. Pour Google Tag Manager, la page G explique que le lieu du traitement est "États-Unis d'Amérique" et qu'une transmission à des tiers = monde entier a lieu. Ça ressemble beaucoup à un processus qui nécessite un consentement.
• Insuffisance de déclaration des destinataires des données: Pour le Google Tag Manager, le site Web G attribue à Alphabet Inc., Google LLC et Google Ireland Limited comme destinataires des données. Les adresses et les pays doivent être devinés par soi-même.
• Le but des vidéos YouTube n'est pas expliqué de manière suffisante par le popup de consentement du site G (détails omis, ils sont justifiables). Pour le service « StackPath LLC » (il s'agit probablement de StackPath, car StackPath LLC est l'entreprise qui fournit ce service), la description donnée est: « StackPath est une plateforme pour l'infrastructure et les services informatiques ». L'auteur doute que cette description soit suffisamment précise. Il semble complètement inutile de mettre en œuvre un service sur un site Web, qui se concentre sur l'« infrastructure informatique », sans qu'on sache à quoi il est destiné.
• Description générale peu claire: La phrase d'introduction dans le popup de consentement est "Avec cet outil, vous pouvez sélectionner et désactiver différents tags / suiveurs / outils d'analyse utilisés sur ce site web.". Il est évident que cette phrase n'est pas compréhensible par tous. Personne ne sait ce qu'un "tag" est et quel est la différence entre un "suiveur" et un "outil d'analyse". Appeler une fenêtre de consentement un "outil" pour le compte du utilisateur n'est pas non plus la description la plus claire possible.
• Le retrait de consentement n'est pas entièrement effectué: Lorsqu'on donne son accord à tous les processus, le popup de consentement apparaît à nouveau et retire ensuite l'accord à tous les processus, mais la page web ne se recharge pas. Les services déjà retirés restent actifs. Certains cookies obligatoires qui ont été déposés après avoir donné son accord sont toujours présents. Lorsqu'on recharge manuellement la page web, les services retirés ne sont plus actifs, mais les cookies mentionnés précédemment sont toujours présents.
• Manque d'information sur les cookies: Il semble que toutes (les ?) informations relatives aux cookies utilisés soient absentes à la fois dans la demande de consentement du site G et dans sa déclaration de protection des données. Une ligne directrice spécifique "cookies" n'est pas trouvée.

Borlabs Cookie

Sites web trouvés qui utilisent Borlabs Cookie:

• bondzio.de
• braeutigam-hotel.de
• heise-regioconcept.de
• mediana.de
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Site Web A

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Aucune décision volontaire possible: Un refus direct n'est pas possible. Cela semble illégal.
• Chargement de outils sans consentement: Dès le chargement de la page A et sans avoir cliqué sur quoi que ce soit, les outils Google Analytics et Google+ sont chargés. Chargés sont également encore Google Schriften des serveurs Google
• Les informations manquantes sur les outils utilisés: Les outils mentionnés précédemment, Google Analytics, Google+ et Google Schriften, ne sont pas mentionnés dans le popup de consentement, ni même dans la catégorie Essentiel (les détails des catégories s'affichent après avoir cliqué sur le texte Configurer).
• Manque d'information sur le fournisseur: L'information sur les outils utilisés est insuffisante. Le Facebook Pixel est attribué à Facebook. Manque d'adresse ou de forme juridique. On se demande déjà laquelle des nombreuses entreprises Facebook est concernée.
• La description du but est insuffisante: Pour but au Facebook Pixel est mentionné: “Le pixel Facebook est un outil d'analyse. Vous pouvez ainsi mesurer l'efficacité de votre publicité en analysant les actions que les personnes effectuent sur votre site web.” Ici, le visiteur du site web est abordé comme s'il était lui-même à utiliser Facebook Pixel pour optimiser la publicité. L'indication “Le pixel Facebook est un outil d'analyse.” est insuffisante car non compréhensible par tous et pas complet. Le suivant le paragraphe est faux, car: Le Facebook Pixel est notamment utilisé pour identifier les visiteurs comme des utilisateurs de Facebook afin de leur servir (plus tard) publicité sur Facebook (appelée Retargeting).
• Description insuffisante du cookie: Le nom du cookie est indiqué avec Facebook Pixel. C'est faux. Le nom du cookie est en réalité _fbp. La durée de vie du cookie manque. Cette information est cependant, selon l'arrêt de la Cour de justice de l'Union européenne sur les cookies, obligatoire.

Site Web B

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Rétablir la possibilité de refuser: Le bouton de refus est étiqueté "sauvegarder et fermer" et visuellement considérablement reculé par rapport au bouton d'acceptation. Cela semble illégal, du moins intentionnellement préjudiciable à l'utilisateur
• Chargement de outils sans consentement: Sans consentement chargés sont Google Schriften et Google Maps. Dans la déclaration de protection des données du site B, il est cependant mal expliqué: „Cette page utilise pour une présentation uniforme des polices d'écriture des surnommées Web Fonts, qui sont fournis par Google. Les Google Fonts sont installés localement. Une connexion aux serveurs de Google n'a pas lieu_
• Cookie douteux nécessaire avec identification unique de l'utilisateur: le cookie nommé _cfduid et ayant une valeur composée d'une chaîne à 43 caractères avec une durée de vie de 30 jours est déposé sans consentement. La chaîne est tout au moins appropriée pour identifier un utilisateur de manière unique.
• Explication manquante sur les cookies utilisés: Pour certains cookies, la durée de vie n'est pas indiquée. Par exemple, pour le service "Fonction de chat via tawk.to", une liste de cookies sans indication de durée de vie et sans but est fournie: "cfduid, ss, tawkUUID, TawkConnectionTime, TawkCookie, _cfduid".
• Les informations fournies par l'éditeur sur les outils utilisés sont insuffisantes. Il semble que l'adresse des éditeurs mentionnés n'est pas indiquée. Il est inexpliqué pourquoi Google LLC est mentionné comme éditeur d'un service Facebook, surtout qu'il n'y a pas de service Facebook sur le site web.
• Mauvaise et fausse description de l'objectif: Comme nom pour un service, "Contributions à partir de Facebook représentent" est mentionné, comme objectif "Utilisé pour débloquer du contenu Facebook"*. Ce dont il s'agit reste flou, surtout qu'un service Facebook n'était pas trouvé sur le site web. Pour Matomo , l'objectif est décrit ainsi: “Cookie de Matomo pour les analyses de la website. Crée des données statistiques sur la façon dont le visiteur utilise le site.” Un tel service comme Matomo n'est pas un cookie. Un cookie ne crée aucune donnée. L'exécution est donc fausse en toutes lettres et nomme l'objectif de Matomo , mais pas celui du cookie Matomo , qui n'existe pas (puisqu'il utilise trois cookies sur le site web B, génériquement indiqués comme _pk_*.* dans le popup de consentement, ce qui peut être considéré comme illégal, surtout que la durée d'execution est fixée à 12 mois, ce qui est faux).
• Le retrait de consentement n'est pas entièrement effectué: Lorsqu'on donne son accord à tous les processus, le popup de consentement apparaît à nouveau et retire ensuite l'accord à tous les processus, mais la page web ne se recharge pas. Les services déjà retirés restent actifs. Tous les cookies nécessitant un consentement selon le popup d'acceptation qui ont été déposés après l'acceptation sont toujours présents. Lorsqu'on recharge manuellement la page web, les services retirés ne sont plus actifs, mais tous les cookies déposés après l'acceptation restent présents.
• Information manquante sur la possibilité de rétractation: Dans le popup de consentement, il n'y a aucun renseignement sur une possibilité de rétractation.
• Manque d'information sur la transmission de données dans des pays tiers: Une information manque à la demande d'autorisation concernant la transmission de données vers des pays tiers, bien que des services soient utilisés qui transmettent des données vers ces pays.

Site Web C

Résultats

• Information manquante sur la possibilité de rétractation: Il n'y a aucune indication d'une possibilité de rétractation.
• Réinitialisation de la possibilité d'acceptation: Le bouton d'acceptation est étiqueté "seulement accepter les cookies essentiels" et a la moitié de la hauteur du bouton d'acceptation. De plus, le bouton d'acceptation est affiché avec des flèches en premier plan. Cela semble illégal, même si le site Web C est mieux organisé que beaucoup d'autres.
• Classification erronée des outils: Google Analytics est intégré à la catégorie Statistique. Il serait plus approprié de placer cette catégorie dans Marketing, car l'outil utilise des cookies et attribue une ID client unique par utilisateur.
• Manque d'information sur le fournisseur: Pour le fournisseur Google LLC, qui est indiqué pour Google Analytics, il manque l'indication de la forme juridique. Le but mentionné "Cookie de Google pour les analyses des sites Web. Crée des données statistiques sur la façon dont le visiteur utilise le site" inapproprié, pour décrire le service Google Analytics.
• Manque d'explication sur les cookies utilisés: il manque toute description des trois cookies mentionnés _ga, _gat, _gid. L'objectif mentionné s'applique uniquement à un cookie (lequel?). La "durée de vie du cookie" mentionnée de 2 ans ne s'applique qu'à l'un des trois cookies, les deux autres ont des durées de vie différentes. De plus, un cookie nommé _gat_gtag_UA_xxxx_1 est déposé, sans être expliqué. En revanche, le cookie _gat est expliqué, bien qu'il ne soit pas déposé.
• Manque de mentions de protection des données: La déclaration de confidentialité du site C manque d'une explication sur le Google Tag Manager. La raison en est probablement que un approche de protection des données centrée sur les cookies a été choisie, qui pose manifestement des problèmes.
• Le retrait de consentement n'est pas entièrement effectué: Lorsqu'on donne son accord à tous les processus, le popup de consentement apparaît à nouveau et retire ensuite l'accord à tous les processus, mais la page web ne se recharge pas. Les services déjà retirés restent actifs. Tous les cookies nécessitant un consentement selon le popup d'acceptation qui ont été déposés après l'acceptation sont toujours présents. Lorsqu'on recharge manuellement la page web, les services retirés ne sont plus actifs, mais tous les cookies déposés après l'acceptation restent présents.
• Manque d'information sur la transmission de données dans des pays tiers: Une information manque à la demande d'autorisation concernant la transmission de données vers des pays tiers, bien que des services soient utilisés qui transmettent des données vers ces pays.

Gestionnaire de consentement

Sites web trouvées qui utilisent un consent manager:

• consentmanager.de
• ffh.de
• haendlerbund.de
• mitsubishi-motors.de
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Site Web H

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Beaucoup trop de cookies, prétendument fonctionnels: On compte plus de 10 cookies qui, selon la fenêtre d'acceptation du site Web H, seraient "purement fonctionnels et nécessaires au fonctionnement du site Web ou à certaines fonctions".
• Explication manquante sur les cookies utilisés: Les explications pour les cookies mentionnés ne sont pas fournies. Indiquer une durée de validité avec un trait d'union est hautement suspect et probablement insuffisant. Dans la politique de confidentialité du site Web H, on trouve des descriptions pour certains (pas tous) des cookies. Exemple: “_cmpcpc*”/“_cmppurposes” – Information sur les finalités choisies. Cette description semble incompréhensible et incomplète. Pourquoi le cookie “euconsent_backup” doit être une copie de sauvegarde* du cookie “euconsent”, l'éditeur du site Web H pourra probablement expliquer cela lorsqu'on lui demandera.
• Insuffisance de déclaration des cookies: La déclaration _gat_* pour les cookies Google Analytics ne répond pas aux normes, car le nom est ambigu et les informations fournies, comme la durée de vie pour cette déclaration générique, peuvent être fausses. De plus, un cookie avec le nom _ga est mentionné deux fois, chacune avec une autre domaine, qui n'est inutilement appelée en anglais Domain (pour rappel: il s'agit principalement d'utilisateurs allemands de la page web qui ne doivent pas nécessairement comprendre l'anglais). Lors du test de la page web, seul un cookie nommé _ga a pu être trouvé. De plus, les descriptions manquent pour tous les cookies mentionnés. La déclaration "Type: Mesure"* n'est certainement pas suffisante. Qu'est-ce qui est mesuré, pourquoi et pourquoi avec cinq cookies ?
• Insuffisance de déclaration des services: La déclaration des services utilisés se fait sous forme de catégories et d'éditeurs. Sous "Tous les éditeurs", on a la liste de ce qui serait mieux appelé "services": à savoir Google Ads, Google Analytics, Google General, LinkedIn. Lire comme des services mais pas comme des éditeurs. Ce que Google General est censé être, personne ne le sait probablement.
• Description insuffisante des services utilisés: Pour Google General, il est indiqué que le "but du traitement des données" est de "mesurer". D'autres explications ne sont pas trouvées dans la fenêtre d'acceptation. Même chose pour Google Analytics.
• Une déclaration de protection des données insuffisante: Qui veut savoir ce que l'on entend par Microsoft trouvera comme description " Mesure ". Dans la déclaration de protection des données en allemand de la page Web H, on peut lire à propos de Microsoft: Mesure. Maintenant tout devrait être clair …
• Le retrait de consentement n'est pas entièrement effectué: Lorsqu'on donne son accord à tous les processus, le popup de consentement apparaît à nouveau et retire ensuite l'accord à tous les processus, mais la page web ne se recharge pas. Les services déjà retirés restent actifs. Tous les cookies nécessitant un consentement selon le popup d'acceptation qui ont été déposés après l'acceptation sont toujours présents. Lorsqu'on recharge manuellement la page web, les services retirés ne sont plus actifs, mais tous les cookies déposés après l'acceptation restent présents.
• Le chargement illégal d'outils et de cookies sans consentement: Sans consentement sont chargés les vidéos YouTube, DoubleClick, Calendly, Google Translate, Google Scripts et un script du domaine google.com. De même, sur au moins une page de la page H est chargé le service etracker sans consentement, bien qu'une demande de consentement soit faite. YouTube et DoubleClick déposent des cookies tiers sans consentement.
• Manque de mentions de protection des données: Pour DoubleClick, Calendly et Google Schriften, il manque toute mention dans la déclaration de confidentialité du site Web H.
• Manque d'information sur la transmission de données à des pays tiers: Une information manque dans la demande d'autorisation concernant la transmission de données, bien que des services soient utilisés qui transmettent des données à des pays tiers. Au lieu de cela, les informations fournies par l'éditeur sont mentionnées avec le pays. Il est douteux que le siège de l'éditeur mentionné soit le même que le pays dans lequel (exclusivement) les données sont transmises par le service utilisé. De plus, le nom du pays n'est pas écrit en entier, mais mentionné sous forme d'abréviation ISO.

Site Web J

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Aucune décision volontaire possible: une réjection directe n'est pas possible. Cela apparaît illégal.
• Le chargement illégal d'outils et de cookies sans consentement: Sans consentement sont chargés Google Tag Manager, YouTube Video, DoubleClick, Twitter Widget, Google Schriften, Google reCAPTCHA, une bibliothèque JavaScript du domaine googleapis.com, plusieurs fichiers de cloudflare.com et un service nommé Giosg. De même, le service etracker est chargé sans consentement sur au moins une page du site Web H, bien qu'un consentement soit demandé. YouTube et DoubleClick déposent des cookies tiers sans consentement.
• Classification erronée de services: Dans la fenêtre d'acceptation du site Web J, les catégories sont nommées: « Essentiel »: « Objectif: essentiel », « Fonction »: « Objectif: fonction. Services nécessaires à l'utilisation des fonctions du site. », « Mesure »: « Objectif mesure », « Marketing »: « Objectif: marketing ». Les descriptions mentionnées ici sont la description originale du site Web J. Il est évident que ces descriptions sont partiellement fausses. Les « fonctions » nécessaires au site, selon lui, sont désactivables. Les descriptions de « mesure » et « marketing » ne sont pas disponibles ; le nom de catégorie est répété pour expliquer l'objectif.
• Explication manquante sur les services utilisés: Il semble qu'il n'y ait aucune description de ce que "Facebook" est censé être en tant que service.
• Manque de description des cookies utilisés: il manque la description du but des cookies utilisés. Au lieu de cela, le lecteur apprend avec précision que par exemple, le cookie nommé ATN a une durée de validité de 729 jours, 23 heures et 50 minutes. Le type pour le cookie fr est indiqué comme étant [inconnu].
• Explication manquante sur les cookies utilisés: Pour Google Analytics, deux cookies sont mentionnés sans explication du but: _ga et _gid. En réalité, deux autres cookies sont déposés, à savoir _gcl_au et _gat_UI-xxxxx-1. Pour le service Facebook, on explique que, outre le cookie _fbp, qui est réellement déposé, les cookies ATN et fr sont également déposés, ce qui n'a pas été constaté lors du test effectué par l'auteur avec analyse automatique. Le cookie ATN en particulier semble être inconnu de la sphère publique. Puisque le but n'est pas décrit, une autre investigation est impossible. Pour YouTube, aucun cookie n'est mentionné dans la fenêtre d'acceptation, bien qu'en réalité deux soient déposés: YSC et VISITOR_INFO1-LIVE.
• Identification erronée du fournisseur: L'adresse d'un fournisseur de "Facebook" (qui désigne en réalité Facebook Connect et Facebook Audiences, comme l'indique une analyse) est indiquée comme étant espagnole. Une telle entreprise semble n'exister pas (et si elle existait, on se demande pourquoi une page web allemande aurait un partenaire contractuel espagnol chez Facebook). En réalité, cette adresse semble avoir été trouvée sur Internet et provenir d'une page de fans de services de taxi en Espagne, comme mes recherches l'ont montré. Dans la politique de confidentialité du site J est mentionné le pixel Facebook et il est attribué au fournisseur Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA. Cela contredit l'information précédemment mentionnée sur le fournisseur, qui était erronée, trompeuse et fausse.
• Manque de mention des services utilisés: Comme décrit précédemment, les services Facebook Connect et Facebook Audiences sont réunis sous un service unique appelé Facebook.
• Déclaration de confidentialité contradictoire: Dans la déclaration de confidentialité du site J, il est mentionné que Google Tag Manager est utilisé: Nous utilisons sur notre site le Google Tag Manager de Google LLC. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; „Google“). S'il vous plaît, notez que vous avez votre résidence habituelle dans l'Espace économique européen ou en Suisse, c'est Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) qui est responsable de vos données. Google Ireland Limited est donc le groupe affilié à Google qui est responsable du traitement de vos données et de la conformité aux lois de protection des données applicables. Les parties en gras sont ajoutées par l'auteur pour montrer le contraste. Il semble qu'il y ait deux fournisseurs de service (USA et Irlande), dont – pour une raison inconnue – l'un (Irlande) a été sélectionné comme pertinent.
• Manque de possibilité de rétractation: il n'est pas possible d'annuler toutes les autorisations accordées avec un clic. Au lieu de cela, il faut cliquer successivement sur toutes les catégories pour que puisse se produire une désactivation manuelle par catégorie. Il est nécessaire de 8 clics.
• Le retrait de consentement n'est pas entièrement effectué: Lorsqu'on donne son accord à tous les processus, le popup de consentement apparaît à nouveau et retire ensuite l'accord à tous les processus, mais la page web ne se recharge pas. Les services déjà rétractés restent actifs. Tous les cookies nécessitant un consentement en vertu du popup de consentement qui ont été déposés après le consentement sont toujours présents. Lorsqu'on recharge manuellement la page web, les services rétractés ne sont plus actifs, mais tous les cookies déposés après le consentement – y compris ceux des tiers et des sous-domaines – restent présents.
• Manque d'information sur la transmission de données à des pays tiers: Une information manque dans la demande d'autorisation concernant la transmission de données, bien que des services soient utilisés qui transmettent des données à des pays tiers. Au lieu de cela, les informations fournies par l'éditeur sont mentionnées avec le pays. Il est douteux que le siège de l'éditeur mentionné soit le même que le pays dans lequel (exclusivement) les données sont transmises par le service utilisé. De plus, le nom du pays n'est pas écrit en entier, mais mentionné sous forme d'abréviation ISO.

Site Web K

La fenêtre d'accord de la page web ressemble à ceci:

Cookiebot

Sites web trouvés utilisant Cookiebot:

• cookiebot.de
• werdewelt.info
• techem.de
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Une brève analyse de l'adresse IP (72.246.29.131), qui a été appelée lors du chargement du script Cookiebot de consentcdn.cookiebot.com, a montré:

Selon Traceroute, l'adresse réseau mentionnée est hébergée aux États-Unis. Cela peut être le cas, mais ce n'est pas nécessairement vrai, car les adresses IP sont parfois réattribuées et réaffectées. La probabilité qu'une adresse américaine soit détectée lors d'un appel sur mille à un script Cookiebot semble cependant très élevée. C'est la raison pour laquelle je recommanderais de chercher une autre solution uniquement en fonction de cela.

Site Web

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Information manquante sur la possibilité de rétractation. Il n'y a aucun renseignement sur une possibilité de rétractation.
• Chargement de outils sans consentement: Dès le chargement de la page X et sans avoir cliqué sur quoi que ce soit, les services Gravatar, Google Analytics et Google Tag Manager sont chargés. Pour les deux services Google mentionnés, une autorisation est demandée. Gravatar n'est jamais mentionné.
• Fausse affectation de services à des fournisseurs: Par exemple, un cookie Google Analytics est attribué au Google Tag Manager, un service et non une entreprise, tout comme Google est considéré comme fournisseur, qu'il s'agisse de qui ou quoi que ce soit.
• Manque d'identification de l'éditeur: les marques d'éditeur incluant les informations sur la société manquent pour tous les services !
• Les informations sur les cookies sont insuffisantes: pour certains cookies, la durée de vie est indiquée par un terme inintelligible et trop vague, à savoir . Persistent. Le terme "persistent" n'est pas compréhensible pour l'utilisateur moyen. Il ne dit rien non plus quant à la durée réelle, car elle ne peut pas être infinie. L'indication "HTML" comme type de cookie est absurde. Il n'existe pas de cookies de ce type. On pense probablement à HTML Web Storage et dans ce contexte Local Storage (un terme que l'utilisateur moyen ne doit pas comprendre).
• Manque de mentions de protection des données: Pour les services Google Analytics, Google Tag Manager, YouTube Videos, DoubleClick, Google Dynamic Remarketing, Gravatar et Zendesk , il manque toute description dans la déclaration de protection des données. En général, aucun service utilisé n'est mentionné dans la déclaration de protection des données. Dans une déclaration spécifique sur les cookies, qui ne peut être accédée que depuis certaines pages et qui ne peut pas être liée à partir d'autres sites, on indique les services utilisés, mais seulement si l'on est prêt à considérer comme service chaque fournisseur de cookie.
• Les cookies nécessaires contestés: On compte 28 cookies comme nécessaires et donc non réglables. Il est douteux que tant de cookies soient nécessaires au fonctionnement minimal du site web.
• Faculté de révocation difficile à trouver: La possibilité de révocation n'est pas mentionnée dans le popup d'accord. De plus, il faut d'abord appeler la page avec l'explication des cookies et là, au milieu du texte, trouver et cliquer sur le lien Rétractez votre consentement.
• Le retrait de consentement n'est pas entièrement effectué: lorsqu'on recharge la page web manuellement, certains des cookies déposés avant le retrait de consentement sont toujours présents. Cela est manifestement illégal, car le retrait de consentement a été partiellement ignoré. Seuls les services dont on n'a plus donné son accord ne sont plus chargés, à l'exception des services Google Analytics, Google Tag Manager et Gravatar, qui continuent d'être chargés. Lorsqu'on recharge la page web X et que l'on donne à nouveau son consentement pour un service comme Google Analytics à un moment donné, ce service peut se référer aux cookies existants d'une session précédente. Il est ainsi possible de suivre encore mieux l'utilisateur. Sinon, le même utilisateur serait officiellement (selon Google) considéré comme deux utilisateurs différents dans ces deux sessions.
• Description de cookie inintelligible: Pour le cookie _gat [x4] , on mentionne comme but: “Est utilisé par Google Analytics pour limiter la fréquence des requêtes”. Cette déclaration est même incompréhensible pour un expert en informatique. Ce qui signifie l'indication [x4] derrière le nom du cookie reste flou. Pour le cookie ads/ga-audiences , on mentionne comme but: “Utilisé par Google AdWords pour réengager les visiteurs susceptibles de se convertir en clients sur la base du comportement en ligne des visiteurs à travers les sites Web.”. Un utilisateur allemand n'a pas besoin de comprendre l'anglais.
• Classification douteuse des services/cookies: Dans la catégorie Marketing , on trouve notamment YouTube.
• L'accent est mis sur les cookies plutôt que sur les services: On remarque que le site X semble considérer uniquement les cookies comme relevant de la protection des données: Dans la demande d'autorisation, on ne trouve aucune information sur les services utilisés ; dans la déclaration de confidentialité, on ne trouve aucune mention des services utilisés ; Les services qui ne posent pas d'abord problème en termes de cookies ne sont même pas évoqués.
• Présentation confuse: Si l'utilisateur souhaite consulter toutes les informations dans la fenêtre d'acceptation, il doit parcourir un espace de présentation minuscule qui reste petit même avec des résolutions d'écran élevées. Cela semble inacceptable et est probablement illégal.
• Manque d'information sur la transmission de données dans des pays tiers: Une information manque à la demande d'autorisation concernant la transmission de données vers des pays tiers, bien que des services soient utilisés qui transmettent des données vers ces pays.

Site Web Y

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Sélection non autorisée: Comme le montre l'image, toutes les options sont activées. Un clic direct sur les boutons "Autoriser la sélection" et "Accepter les cookies" est donc équivalent et non conforme aux règles de protection des données.
• Manque d'informations sur la possibilité de rétractation: Comme l'illustration le montre, il n'y a pas la moindre indication sur une possibilité de rétractation.
• Fausse déclaration de cookies: La vue détaillée présente une explication sur les cookies, qui est fausse. Les cookies avec les prétendus noms /fileadmin/razor/Dist et /typo3temp/ neexistent selon l'avis du site web Y. Les buts ne sont pas mentionnés, mais décrits comme En attente. Cela suggère que le outil utilisé, Cookiebot, n'a pas connaissance des buts. Un autre cookie est indiqué avec le nom lang[x2]. Il faut deux cookies, dont seul un a été mentionné par Cookiebot, l'autre (selon le protocole de Cookiebot , il s'agit de ads.linkedin.com) a été omis.
• Informations manquantes sur les cookies: Comme mentionné précédemment, il manque des descriptions de finalités pour les cookies.
• Manque de mention des cookies: Pas du tout mentionné, mais selon le test de la page Y, ils sont clairement utilisés, les cookies portant les noms be_typo_user et be_lastLoginProvider.
• Chargement de outils sans consentement: Dès le chargement de la page Y et sans avoir cliqué sur quoi que ce soit, les services Google Maps, Facebook Connect, Calendly, Google Scripts, Podigee Podcast Player et Google Tag Manager sont chargés. Facebook Connect installe un cookie nommé fr avec une durée de vie de 3 mois pour le domaine facebook.com. Calendly installe un cookie nommé _calendly_session avec une durée de vie de 21 semaines pour le domaine calendly.com.
• Présentation confuse: Si l'utilisateur souhaite consulter toutes les informations dans la fenêtre d'acceptation, il doit parcourir un espace de présentation minuscule qui reste petit même avec des résolutions d'écran élevées. Cela semble inacceptable et est probablement illégal.
• Manque de mentions légales sur la protection des données: Sur le site Y, il manque toute mention dans la déclaration de confidentialité concernant les outils Cookiebot, Calendly ainsi que Podigy.
• Faux informations sur la protection des données: Sur le site Y, il est déclaré que l'outil consentmanager est utilisé pour les demandes d'autorisation. C'est faux. Au lieu de cela, on utilise Cookiebot.
• Manque de possibilité de rétractation: Aucune possibilité n'a pu être trouvée sur le site Y pour faire retraiter l'accord donné.
• La déclaration de protection des données n'est pas directement accessible: Lorsque l'on appelle la déclaration de protection des données du site Y, le popup d'approbation s'affiche, à condition qu'il n'ait pas été confirmé auparavant. La lecture directe de la déclaration de protection des données est donc impossible.
• Fausse classification de outils/cookies : Les cookies appartenant à Google Analytics sont mal attribués au Google Tag Manager. Cette fausse attribution vient probablement du fait que le Google Tag Manager est utilisé pour recharger dynamiquement Google Analytics. Le Tag Manager n'est donc qu'initiateur du processus de chargement de l'outil, qui en réalité installe et lit les cookies _ga, _gat et _gid.
• Insuffisance de déclaration d'origine: Les fournisseurs des outils (ici mentionnés sous forme de cookies) ne sont pas identifiés. Cela concerne tous les 29 cookies mentionnés sur le site Y.
• Manque de mention des services utilisés: Les services utilisés ne sont pas mentionnés dans la demande d'autorisation sur le site Web Y (et si, alors seulement partiellement et indirectement dans l'objectif supposé d'un cookie, voir Figure 68). Au contraire, l'outil Cookiebot se concentre sur le site Web Y sur les cookies.
• Fausse mention de l'éditeur: Pour un cookie, DrawBridge est mentionné comme éditeur. Drawbridge ont été achetés en 2019 par LinkedIn, mais continue à être mentionné comme éditeur dans la demande d'autorisation sur le site Z. La page web de DrawBridge redirige vers la page web de LinkedIn (ou était censé le faire jusqu'à mi-2023, ce qui n'est plus le cas). Lorsque l'on clique sur le lien à Drawbridge, visible dans l'image, on ne se retrouve pas sur la politique de confidentialité comme prévu, mais plutôt sur la page https://business.linkedin.com/de-de/marketing-solutions-b, qui contient uniquement des informations publicitaires et non des indications de protection des données.
• Description incompréhensible des cookies: Les descriptions des cookies sont souvent incompréhensibles pour le citoyen moyen. Exemple du cookie bcookie de l'éditeur LinkedIn: “Utilisé par le service de réseautage social LinkedIn pour suivre l'utilisation des services intégrés.” Nulle part il n'est mentionné ce que l'on entend exactement par LinkedIn ou qui est l'éditeur.
• Manque d'information sur la transmission de données dans des pays tiers: Une information manque à la demande d'autorisation concernant la transmission de données vers des pays tiers, bien que des services soient utilisés qui transmettent des données vers ces pays.

Site Web Z

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Chargement de outils et cookies sans consentement: Dès le chargement de la page Z et sans avoir cliqué sur quoi que ce soit, les services Google Ads, LinkedIn Analytics, YouTube Video, etracker ainsi que des fichiers de cloudflare.com sont chargés. Le service etracker installe deux cookies sans consentement avec une durée de vie de 2 ans, l'un d'eux sur le domaine etracker.com. Le service LinkedIn Analytics installe six cookies sans consentement avec une durée de vie comprise entre un jour et 2 ans, tous sur le domaine linkedin.com.
• Rétablir la possibilité de refuser: Le bouton Refuser est visuellement considérablement en retrait par rapport au bouton Accepter. Cela semble illégal.
• Faculté de trouver la possibilité de rétractation: Dans le pied de page du site Z se trouve un point de menu nommé Widerruf. Cela ne mène pas à la possibilité de rétractation pour les paramètres de cookies accordés. Au contraire, l'appel à la possibilité de rétractation dans la déclaration sur la protection des données est caché sous forme d'un lien textuel au milieu du texte.
• Le retrait n'est pas complètement effectué: lorsqu'on recharge manuellement la page web, le cookie et_coid est rétabli, bien qu'une autorisation soit demandée à cet effet. Dans un test, le retrait (à l'exception du point précisé ci-dessus) a été effectué. Dans un autre test, le retrait n'a pas été effectué après que le retrait avait été effectué et que tous les cookies avaient été autorisés.
• Présentation confuse: Si l'utilisateur souhaite consulter toutes les informations dans la fenêtre d'acceptation, il doit parcourir un espace de présentation minuscule qui reste petit même avec des résolutions d'écran élevées. Cela semble inacceptable et est probablement illégal.
• Manque d'information sur les fournisseurs: pour tous les 16 cookies mentionnés sur la page Z, le fournisseur n'a pas été correctement identifié. Une déclaration de société manquait chaque fois.
• Description incompréhensible des cookies: Les descriptions des cookies sont souvent incompréhensibles pour le citoyen moyen. Exemple: “Contient des données Base64 codées de l'historique des visiteurs (est client, destinataire du newsletter, ID visiteur, messages intelligents affichés) à la personnalisation (seulement lors de l'activation du cookie).” Dans cet exemple concret, la description comporte en outre une mention selon laquelle elle ne s'applique qu' (ou est utilisée uniquement pour la personnalisation?) _lorsqu'une _activation du cookie est donnée. Ce que signifie activation du cookie et pourquoi cette affirmation conditionnelle existe, est inconnu.
• Erreur d'identification de l'émetteur: Pour un cookie, DrawBridge est identifié comme émetteur (cf. site Web X).
• Manque de mentions de protection des données: Pour Drawbridge, Google Tag Manager et Calendly, il manque les informations obligatoires dans la déclaration de confidentialité du site Z.
• Fausse déclaration de cookies: Un cookie est mentionné avec le nom et_coid[x2]. Il s'agit en réalité de deux cookies, dont seul un a été mentionné par Cookiebot, tandis que l'autre (selon le protocole Cookiebot de la page Z) a été omis.
• La déclaration de protection des données n'est pas directement accessible: Lorsque l'on appelle la déclaration de protection des données du site Z, le popup d'acceptation s'affiche, à condition qu'il ne soit pas déjà été confirmé. Il est donc impossible de lire directement la déclaration de protection des données.
• Manque d'information sur la transmission de données dans des pays tiers: Une information manque à la demande d'autorisation concernant la transmission de données vers des pays tiers, bien que des services soient utilisés qui transmettent des données vers ces pays.

CCM19

Sites web trouvés utilisant CCM19:

• ccm19.de
• crifbuergel.de
• hertie.de
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Site Web L

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Rétablir la possibilité de refuser: Le bouton Refuser est visuellement considérablement en arrière par rapport au bouton Accepter. Cela apparaît illégal. Ce qui distingue Refuser et Enregistrer n'est pas visible et est donc trompeur.
• Manque d'information sur les catégories: La page L classe les outils et les cookies utilisés en Technique nécessaire / Essentiel, Analyse ainsi que Personnalisation. Une description de ces catégories manque complètement dans la demande d'autorisation.
• Erreur dans la déclaration des services: Pour Matomo, il est notamment expliqué: “Récupération de statistiques pour l'analyse web, les données sont complètement anonymisées. Aucune donnée susceptible d'être suivie n'est stockée, l'adresse IP est raccourcie sur ses 3 derniers chiffres.”. L'adresse IP est probablement raccourcie de telle sorte que seuls les trois derniers chiffres sont supprimés. Sinon, il y aurait en fin de compte seulement 256 valeurs possibles (alors qu'on pourrait alors laisser tomber l'enregistrement). De plus, il peut être discuté si les données sont réellement anonymisées lors de leur collecte avec Matomo. Un test a montré que même les paramètres URL sur le site L sont collectés avec Matomo. Dans les paramètres URL peuvent se trouver des données personnelles. Exemple: https://www.anonyme-webseite-m.de/aus-versehen-eingefuegte-information_
• Chargement d'outils sans consentement: Sans consentement, sont chargés Google Schriften. Après le Brexit et sans déclaration d'adéquation, viendrait également OpenStreetMap. OpenStreetMap est proposé par une entreprise du Royaume-Uni (UK).
• Manque de mentions légales sur la protection des données: Le service Google Schriften ne dispose pas d'une déclaration de confidentialité complète.
• Informations contradictoires sur la protection des données: Même si une autorisation est demandée pour le service Matomo, l'affirmation de protection des données précise ceci:*„Basis juridique: intérêt légitime, art. 6 alinéa 1 lit. f RGPD“._
• Lien manquant vers la déclaration de confidentialité: Un lien vers la déclaration de confidentialité est absent sur au moins une page du site Web L.
• Il existe moins de données pour le site web que pour d'autres sites web. La principale raison est qu'il ne utilise que quelques services.

Site Web M

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Aucune décision volontaire possible: Comme on peut le voir dans l'image, il n'est pas possible de refuser directement. Cela me semble clairement illégal.
• Manque d'informations sur la possibilité de rétractation: Comme l'illustration le montre, il manque un signe visible indiquant une possibilité de rétractation. L'information relative à la rétractation n'est possible qu'après avoir déplacé le petit curseur du côté droit de la fenêtre. De plus, comme l'illustration le montre, la représentation est suboptimale sur les smartphones.
• Insuffisance de déclaration d'offre: Pour le consentement mis en œuvre, la page Web M indique comme éditeur "XYZ AG" (le nom réel de l'entreprise a été remplacé par XYZ pour rendre anonyme le propriétaire du site). L'adresse de la société n'est pas mentionnée.
• Informations insuffisantes sur les cookies:* Pour certains cookies, une durée de vie est indiquée en anglais. Exemples: 30 minutes, Session. Pour un cookie nommé sid , la durée de vie est indiquée par le chiffre 1 (sans unité), mais aucune description du but de ce cookie n'est fournie. Pour certains cookies, une désignation générale est faite. Exemple: ev_sync_* Puisque différents cookies ont des objectifs différents (sinon il suffirait d'avoir un seul cookie et non plusieurs), les descriptions précises manquent pour les cookies désignés de manière générique. Au lieu de cela, la désignation générale est décrite comme suit: “Un cookie tiers spécifique aux bourses d'annonces, qui synchronise l'ID du navigateur dans Advertising Cloud avec la bourse d'annonces partenaire. Le cookie est créé pour les nouveaux navigateurs et envoie une demande de synchronisation lorsque il expire.” Le sens profond de cette explication sera incompris pour la plupart des utilisateurs._.
• Chargement de outils et cookies sans consentement: Sans consentement chargés sont Google Tag Manager, Bing Ads, DoubleClick Ad Exchange ainsi que YouTube Video.
• Manque de mention des cookies: Certains des cookies utilisés ne sont pas mentionnés sur le site M, par exemple plusieurs cookies First-Party avec une durée de vie allant de quelques semaines à plusieurs années. De plus, le cookie _uetvid n'est pas expliqué, qui est probablement déposé par Microsoft Bing Ads (puisqu'on trouve l'explication du cookie _uetsid, dont le nom est presque identique).
• Classification insuffisante des services/cookies: La page M mentionne trois catégories: Techniquement nécessaire, Analyse ainsi que Publicité / Annonces. Aucune description n'est fournie pour aucune de ces catégories. Google Analytics est affecté à la catégorie Publicité / Annonces. Certains auraient souhaité le rattacher à la catégorie Analyse. La catégorie Analyse est quant à elle associée à Microsoft Bing Ads, qui s'apparente mieux au nom à la catégorie Publicité / Annonces.
• Informations sur la protection des données insuffisantes concernant les outils utilisés: Dans la demande d'autorisation, le lien vers la politique de confidentialité du Microsoft Bing Ads est donné. Le lien s'appelle https://about.ads.microsoft.com/en-us/resources/policies/remarketing-in-paid-search-policies et renvoie vers une page en anglais qui semble inadaptée pour l'utilisateur allemand.
• Manque de possibilité de rétractation: il n'est pas possible d'annuler toutes les autorisations accordées avec un clic. Au lieu de cela, il faut cliquer successivement sur toutes les catégories et enfin sur le bouton Enregistrer. Trois clics sont nécessaires après l'ouverture de la fenêtre d'autorisation.
• Une description insuffisante des outils utilisés: Pour Microsoft Bing Ads , le but est ainsi expliqué: “Ceci est un cookie utilisé par Microsoft Bing Ads et c'est un cookie de suivi. Il permet de prendre contact avec un utilisateur qui a visité précédemment le site Web.” Apparemment, on confond un service avec un cookie. Ce que cette explication veut dire, cela devrait probablement être clair pour la plupart des utilisateurs.
• L'annulation n'est pas exécutée: L'annulation ne supprime aucun des cookies obligatoires de consentement du dispositif de l'utilisateur, même après un rechargement manuel de la page web. De plus, la page web n'est pas rechargée, ce qui signifie que les outils déjà chargés peuvent continuer à collecter des données.
• La déclaration de protection des données n'est pas directement accessible: Lorsque l'on appelle la déclaration de protection des données du site M, le popup d'acceptation s'affiche, à condition qu'il ne soit pas déjà été confirmé. Il est donc impossible de lire directement la déclaration de protection des données.
• Manque de mentions relatives à la protection des données: Pour Google Tag Manager et etracker, il n'y a aucune mention dans la déclaration de confidentialité du site M. Pour certains services, la mention est insuffisante, par exemple pour Google Analytics: “Cette page web utilise Google (Universal) Analytics, un service d'analyse web de Google LLC (www.google.de). Cela sert à sauvegarder nos intérêts prépondérants dans une optimisation de la présentation de notre offre en fonction d'une pondération des intérêts conformément à l'article 6, paragraphe 1, point f) du RGPD. Google (Universal) Analytics utilise des méthodes permettant d'analyser l'utilisation de la page web par vous, comme les cookies.” Manque de mention de l'adresse de Google LLC. De plus, on indique que la base juridique pour l'utilisation de cet outil est le droit à un intérêt. Cela contredit le fait qu'une autorisation a été demandée pour cet outil.
• Informations inutilisables pour la transmission de données dans des pays tiers: Une information utile manque à la demande d'autorisation pour le Facebook Pixel. Citation: „Lieu du traitement: Facebook ne fournit pas d'informations sur l'emplacement du traitement des données. Probablement l'Europe, Irlande.“ L'information est obligatoire.

Site Web N

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Manque d'informations sur la possibilité de rétractation: Comme l'illustration le montre, il n'y a aucune indication sur la possibilité de rétractation. Même dans le texte visible après avoir scrollé, on ne trouve pas cette information.
• Insuffisance de représentation des informations: Comme l'illustration le montre, les explications sur la demande d'autorisation ne sont accessibles qu'après un défilement. Le défilement du bord droit de l'image est cependant si mal visible qu'il peut être considéré comme non disponible.
• Laden de tools et des cookies sans consentement: Sans consentement sont chargés: Video YouTube, etracker, DoubleClick Remarketing, Widget Twitter, Google Schriften, Google reCAPTCHA, Widget LinkedIn ainsi qu'un IFRAME d'une troisième domaine. Sans consentement sont toujours déposés des cookies des domaines youtube.com et doubleclick.net, qui ont une durée de vie (le plus souvent) bien au-delà d'une session.
• Retour en arrière injustifié de la possibilité de refuser: Le bouton Refuser est visuellement placé en retrait par rapport au bouton Accepter. Cela apparaît (encore) comme injustifié.
• Lien manquant vers la déclaration de confidentialité: Un lien vers la déclaration de confidentialité est absent sur au moins une page du site Web N.
• La déclaration de confidentialité n'est pas directement accessible: Lorsque l'on appelle la déclaration de confidentialité du site Web N, le popup d'acceptation s'affiche, à condition qu'il n'ait pas été confirmé auparavant. La lecture directe de la déclaration de confidentialité est donc impossible.
• Manque de mentions de protection des données: Pour Google Schriften, DoubleClick Remarketing et Google reCAPTCHA , il n'y a aucune mention dans la déclaration de confidentialité du site N.
• Manque de possibilité de rétractation: même après une recherche prolongée, aucune possibilité n'a pu être trouvée sur le site N pour retirer l'accord donné précédemment.
• Insuffisance de déclaration d'offre: Pour le consentement du outil, la page N indique comme éditeur "Papoo Software & Media Gmbh – CCM19 Cookie Consent Manager". Une adresse n'est pas mentionnée, au lieu de cela une désignation de produit ( "CCM19 Cookie Consent Manager" ) est utilisé à la place d'une dénomination commerciale.
• Manque de mention des cookies: Certains des cookies utilisés ne sont pas mentionnés sur le site N, par exemple plusieurs cookies qui sont déposés par les scripts de vidéos YouTube.
• Manque d'informations sur les cookies: Certains cookies sont déclarés sans information, mais avec la pseudo-information N.A. pour tous les critères (éditeur, description etc.).
• Informations insuffisantes sur les cookies:* Pour un cookie, la durée de vie n'est pas indiquée du tout, ainsi que son but. Pour un cookie appelé ASP.NET_SessionId , la durée de vie est indiquée avec le chiffre 0 (sans unité), mais la description du but manque complètement. Pour certains cookies, une désignation apparemment générique est effectuée. Exemple: _gat_gtag_UA_*. Puisqu'il faut différents cookies pour des buts différents (sinon on n'aurait besoin que d'un cookie et non plusieurs), les descriptions précises manquent pour les cookies désignés de manière générique. Au lieu de cela, la description du but de ces cookies est: “Utilisé pour ralentir le taux de requêtes. Si Google Analytics est fourni via le Google Tag Manager, ce cookie prendra le nom _dc_gtm_ .”. Cette description est manifestement tout à fait inappropriée pour expliquer au citoyen moyen le but du cookie (ou de l'outil, qui sait-on quand on utilise CCM19 sur une page N)_.
• Classification insuffisante des services/cookies: La page N mentionne trois catégories: Techniquement nécessaire, Analyse, Marketing ainsi que Publicité / Annonces. Aucune description n'est fournie pour aucune de ces catégories. Le citoyen moyen trouvera difficile d'appréhender la différence entre Marketing et Publicité / Annonces. Google Analytics est affecté à la catégorie Publicité / Annonces. Quelqu'un pourrait vouloir affecter l'outil à la catégorie Analyse.
• Manque d'information sur la transmission de données dans des pays tiers: Il manque une information à ce sujet pour certains outils dans la demande d'autorisation. Cette information est obligatoire.
• Manque d'information sur l'impression: Sur la fenêtre de consentement, il y a un lien nommé Impressum. Lorsqu'on clique sur ce lien, apparaît une boîte à dialogue vide intitulée Impressum.

C'est clair !

Sites web trouvés qui utilisent Klaro!:

• www.dillinger.de
• kiprotect.com
• digitale-helden.de
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Klaro! semble être utilisé principalement par des sites Web qui mettent déjà un grand accent sur la protection des données, où seuls quelques outils sont utilisés. La diffusion de Klaro! n'est pas particulièrement élevée. Par conséquent, les résultats suivants ne concernent que deux sites Web. Apparemment, une mise à jour du noyau de Klaro! ne fonctionne pas ou n'est pas prévue, car les formulaires d'acceptation de Klaro! sur différents sites Web avaient des aspects très différents et présentaient dans des formes apparemment plus récentes une meilleure mise en forme.

Site Web P

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Affirmation trompeuse sur la collecte de données: Comme le montre l'image, on fait croire que seule la page visitée récemment collecte des informations sur l'utilisateur ( « … les informations que nous collectons à votre sujet ») et non d'autres tiers.
• Manque d'informations sur la possibilité de rétractation: Comme l'illustration le montre, il n'y a aucune indication sur la possibilité de rétractation.
• Manque d'identification de l'éditeur: les marques d'éditeur incluant les informations sur la société manquent pour tous les services dans la demande d'autorisation.
• Manque de mention des services et cookies utilisés: Comme l'illustration le montre, il manque toute mention des services et cookies utilisés. Une vue détaillée n'est manifestement pas accessible.
• Manque de description des services utilisés: Comme l'illustration le montre, il manque toutes les descriptions des services utilisés.
• Fragilité de l'activation préalable d'un outil: Avant que la demande d'autorisation soit confirmée, les services d'analyse etracker sont déjà actifs. Cela ressort de la déclaration de protection des données, dans laquelle ce service est marqué comme actif avec un curseur. Dans l'interface de consentement elle-même, cette configuration ne peut pas être modifiée.
• Manque de mentions de protection des données: Pour le service DoubleClick il manque toute description dans la déclaration de confidentialité (même pour Google Ads, un synonyme possible de DoubleClick , aucune mention n'est faite). Pour le service Eloqua , l'éditeur est nommé de manière insuffisante dans la déclaration de confidentialité sous le nom d 'Oracle Marketing Cloud '. Aucun renseignement concret sur les cookies ne se trouve là, au lieu desquels on y trouve des placeholders.
• Laden de tools sans consentement: Dès l'appel à la page P et sans avoir cliqué sur quoi que ce soit, les outils Google Maps, YouTube Video, Eloqua et DoubleClick sont chargés. Pour Google Maps et YouTube Video, des autorisations (probablement) sont demandées dans les catégories Maps et Video – exactement cela ne peut pas être dit, car toutes les descriptions des services manquent sur la fenêtre de consentement. Google Maps est même chargé sans consentement et fonctionnellement visible, tandis que les vidéos intégrées YouTube ne sont pas visibles mais chargées en arrière-plan sous forme d'un script YouTube Video. etracker est également chargé de cette manière. Dans ce contexte, un cookie nommé _et_coid avec une valeur appropriée pour l'identification du utilisateur et une durée de vie de deux ans ainsi que la domaine etracker.com sont définis. C'est également obligatoire en matière d'autorisation, au moins aucune mention n'est faite d'un DPA o.
• La déclaration de protection des données n'est pas directement accessible: Lorsque l'on appelle la déclaration de protection des données du site Web P, le popup d'approbation apparaît, à condition qu'il ne soit pas déjà été confirmé. La lecture directe de la déclaration de protection des données est donc impossible.
• Déclaration de confidentialité non disponible: Lors du premier appel à la page P, le fenêtre d'acceptation cache toutes les liens, y compris ceux vers la déclaration de confidentialité. Cela signifie probablement que cette dernière n'est pas disponible, car après avoir cliqué sur "je ne suis pas d'accord", deux autres clics sont nécessaires pour accéder à la déclaration de confidentialité, soit un total de trois clics. Seuls deux clics sont autorisés.
• Rétablir la possibilité de refuser: Le bouton "Refuser" est étiqueté comme tel et visuellement légèrement reculé par rapport au bouton d'acceptation. C'est probablement illégal.
• Avertissement suspect concernant un vidéo obligatoire: Si l'on ne donne pas son accord dans "Videos" et qu'on appelle une page avec un vidéo intégrée, il apparaît à la place où le vidéo devrait apparaitre, l'avertissement Veuillez activer les cookies pour afficher le vidéo. Ici, on donne un avertissement sur les cookies. Mais le vidéo utilise pas de vidéos (youtube-nocookie.com). Nulle part sur le site P, il n'y a des informations précises sur les cookies utilisés. En dehors de cela, un vidéo peut être affiché ou jouée sans problème sans les cookies.
• Fonctionnalité erronée dans la fenêtre d'accord: Dans la fenêtre d'accord, il existe une fonction pour activer simultanément toutes les accords. Cette fonction est correctement désactivée par défaut, car les catégories Analytics, Video et Maps sont également désactivées par défaut. Lorsque l'on active uniquement Analytics, Activer tous devient automatiquement actif. Cela peut être soit contraire à la loi (lorsqu'il s'agit réellement de tous les processus soumis à accord), soit trompeur et non conforme aux attentes.
• Manque d'information sur la transmission de données dans des pays tiers: Il manque une information à cette question de consentement, bien qu'il y ait des services qui transmettent des données vers des pays tiers. Cette information est obligatoire.

Site Web Q

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Manque d'informations sur la possibilité de rétractation: Comme l'illustration le montre, il n'y a aucune indication sur la possibilité de rétractation.
• Aucune décision volontaire possible: Comme on peut le voir dans l'illustration, il n'est pas possible d'une refus direct. Cela apparaît comme illégal.
• Le chargement illégal d'outils et de cookies sans consentement: Sans consentement, sont chargés Google Maps, Google Scripts, Google reCAPTCHA, Google AdWords Conversion Tracking, KlickTipp, un service de paiement Paypal ainsi qu'un script de betterplace.org et un autre de app.acuityscheduling.com.
• Manque de mentions de protection des données: Pour Google reCAPTCHA et Betterplace, il manque les indications obligatoires dans la déclaration de confidentialité du site Q.
• La déclaration de protection des données n'est pas directement accessible: Lorsque l'on appelle la déclaration de protection des données du site Q, une fenêtre d'acceptation s'affiche, à condition qu'elle n'ait pas été confirmée auparavant. Il est donc impossible de lire directement la déclaration de protection des données.
• Manque d'information sur le fournisseur: Lorsqu'on clique dans la fenêtre de consentement de l'image 49 sur Configurer…, apparaît une liste avec mention des applications. Dans la vue initiale, les applications affichées ne sont pas visibles. Pour tous les services (ici applications désignés) manque l'information du fournisseur.
• Fragwürdige mention des données nécessaires à la collecte: Dans l'interface de consentement, il est question de "stockage des paramètres de cette application". Appeler une page web "application" n'est peut-être pas faux, mais probablement peu compréhensible pour le citoyen moyen.
• Manque de mention des cookies: Ni dans la fenêtre d'accord ni dans la déclaration sur la protection des données du site Q, il n'y a pas d'informations précises concernant les cookies comme leur nom ou leur durée de fonctionnement.
• Déclaration de confidentialité non complète: Lors du premier appel à la page Q, le fenêtre d'acceptation cache les liens vers la déclaration de confidentialité sur la plupart des smartphones, y compris ceux qui y mènent. Par conséquent, cette dernière peut être considérée comme non disponible.
• Manque d'information sur la transmission de données dans des pays tiers: Il manque une information à cette question de consentement, bien qu'il y ait des services qui transmettent des données vers des pays tiers. Cette information est obligatoire.

OneTrust / Optanon / Cookie Law

Optanon a été repris par OneTrust, il convient donc de considérer les deux outils comme un seul. Le produit est également connu sous le nom de Cookie Law, ce qui signifie que cette version sera également prise en compte.

Sites web trouvés qui utilisent _OneTrust:

• euronics.de
• éditeur.com/de
• Kia.com/Allemagne
• et une autre (qui sera peut-être mentionnée ci-dessous)

Une partie de ces sites web a été testée et évaluée à la suite.

Résultat général

Onetrust est un outil de consentement qui utilise des ressources provenant d'un pays tiers non sûr.

OneTrust charge des ressources depuis le domaine onetrust.com. Cette domaine semble être exploité par une entreprise américaine et fournir du contenu à partir d'un serveur aux États-Unis. Selon la déclaration de confidentialité du domaine onetrust.com, l'éditeur est situé tant aux États-Unis qu'au Royaume-Uni (Royaume-Uni). Si le siège américain est exact, alors OneTrust n'est pas une solution de consentement conforme à la RGPD. En effet, avant d'utiliser OneTrust, il faudrait obtenir un consentement pour l'outil de consentement lui-même, ce qui semble absurde. Selon la déclaration de confidentialité du site W, l'éditeur de OneTrust est situé au Royaume-Uni et n'est donc plus soumis à la RGPD depuis le 01/01/2021. Le 21/12/2020, il n'y avait pas encore d'accord sur les conditions appropriées pour le Royaume-Uni, ce qui signifie que le Royaume-Uni est considéré comme un pays tiers non sûr (au 28/12/2020, une période transitoire de quatre ou six mois semble être applicable à partir de l'année 2021, après laquelle le Royaume-Uni sans accord sur les conditions appropriées serait considéré comme un pays tiers non sûr).

Puisque le site web onetrust.com ne comporte pas d'information sur la déclaration de responsabilité et l'utilisation des données, cela disqualifie l'éditeur lui-même.

Selon WHOIS-Information, le domaine onetrust.com est enregistré chez Namecheap Inc. (avec mention de la page web namecheap.com). Selon la page web namecheap.com, Namecheap Inc. est une entreprise américaine. Dans les informations WHOIS, on trouve également un autre entreprise au Panama, pour cacher l'identité du propriétaire réel:

---

Une raison de plus pour ne pas utiliser OneTrust.

Site Web U

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Chargement de outils sans consentement: Dès le chargement de la page U et sans avoir cliqué sur quoi que ce soit, l'outil de consentement OneTrust est chargé (cf. ci-dessus). Là, un appel est effectué à l'adresse geolocation.onetrust.com, qui localise géographiquement l'utilisateur actuel et retourne des données de positionnement en résultat. Une localisation géographique dans le contexte d'une demande de consentement pourrait être justifiée si la demande de consentement ne concernait que les personnes dont l'adresse IP indiquait qu'elles se trouvaient dans le périmètre de la DSGVO. Cependant, c'est faux*, car le principe du marché s'applique, selon lequel une page Web doit respecter les lignes directrices de la DSGVO dès lors qu'elle s'adresse à un marché soumis à la DSGVO. De plus, il est impossible de localiser géographiquement quelqu'un avec précision en fonction de son adresse IP, etc. Un utilisateur pourrait également utiliser une passerelle pour cacher son emplacement (de manière autorisée). Après avoir effectué la localisation géographique, un cookie est stocké pendant 30 jours, dans lequel les résultats de la localisation sont conservés. Cette information peut être utilisée pour identifier et suivre les utilisateurs (en combinaison avec l'adresse IP et/ou le Device Fingerprints) très précisément.
• Aucune décision volontaire possible: Comme on peut le voir dans l'illustration, il n'est pas possible d'une refus direct. Cela apparaît comme illégal.
• Description insuffisante des outils: Dans la demande d'autorisation de la page Web U, il y a plusieurs informations qui sont obscures, incomplètes ou en anglais. Les termes suivants sont obscurs, sous-optimés ou inintelligibles: « Hôte »: Qu'est-ce que cela signifie ? ; « Durée: 4 ans »: Qu'est-ce que cela signifie ? ; « Type: 3ème partie »: Qu'est-ce que cela signifie ? ; Description en anglais: Incompréhensible pour un lecteur allemand sans connaissances en anglais.
• Classification erronée des cookies: les cookies ne sont pas à distinguer en fonction de critères techniques, mais en fonction de critères professionnels, décisifs pour l'utilisateur. Ici, OneTrust échoue: Le cookie nommé OptanonConsent, qui est déposé par OneTrust, est techniquement un cookie First-Party . Professionnellement, il s'agit clairement d'un cookie tiers. Motif: Le cookie est déposé et lu par le script OneTrust , qui est chargé à partir d'un serveur tiers.
• Description floue des catégories de cookies: Une catégorie attribuée par OneTrust est Cookie de performance. Ce terme n'est pas généralement répandu, du moins pas dans l'usage courant. La demande d'autorisation de la page Web U fournit un long texte plutôt incompréhensible comme description à ce sujet.
• Manque d'information sur le fournisseur: il n'y a aucune information sur les services utilisés. Un fournisseur de service est appelé Awin. La mention duquel fournisseur et quelle société se cache probablement derrière ce sigle, on la chercherait en vain dans le popup de consentement. Même l'affichage des règles de confidentialité de la page U ne révèle rien à ce sujet. Autant que l'auteur en sait, Awin est une plateforme publicitaire. Et elle n'a absolument rien à voir avec la catégorie associée Cookies de performance.
• Manque d'informations sur les cookies: Pour de nombreux cookies, aucune description n'est fournie dans la demande d'autorisation de la page Web U.
• Manque de mention des cookies: Au moins un cookie (Facebook-Pixel, Nom: _fbp) est déposé, mais pas mentionné dans le consentement aux cookies du site U.
• Manque de mentions de protection des données: La déclaration de protection des données du site U manque de nombreuses mentions relatives aux services utilisés. Il semble que les descriptions de tous les services aient été "oubliées" ou supposément transférées dans le popup d'accord sur les cookies, qui est accessible depuis la déclaration de protection des données via un lien. Malheureusement, il manque nombre d'informations dans ce popup d'accord sur les cookies, de sorte qu'il en manque complètement, bien que cela soit prescrit. La raison en est manifestement le fait qu'un approche centrée sur les cookies pour la protection des données a été choisie, qui pose clairement des problèmes.
• Insuffisance de possibilité de rétractation: Outre le fait que la possibilité de rétractation est difficile à trouver, elle comporte des défauts structurels qui ne sont pas acceptables pour l'utilisateur. Il n'est pas possible d'annuler toutes les autorisations accordées avec un clic. Au lieu de cela, il faut cliquer successivement sur toutes les "catégories de cookies", ce qui permet ensuite la désactivation manuelle de chaque catégorie. Pour cela, 8 clics sont nécessaires. Lorsqu'on désactive une catégorie, le bouton "Tout accepter" apparaît directement. Il semble que l'on ait accordé plus d'importance à obtenir une autorisation qu'à annuler ou refuser.
• Le retrait n'est pas immédiatement effectué: Après le retrait de toutes les autorisations, tous les cookies déposés avant le retrait sont toujours présents. La page web ne se recharge pas. Il faut donc considérer que les services déjà chargés comme Google Analytics sont encore actifs.
• Le retrait de consentement n'est pas entièrement effectué: lorsqu'on recharge la page web manuellement, les cookies mis en place avant le retrait de consentement sont toujours présents. Cela est manifestement illégal, car le retrait de consentement a été partiellement ignoré. Seuls les services dont on n'a pas donné d'accord ne sont plus chargés. Lorsqu'on recharge la page web U et que l'on donne à nouveau son accord, par exemple pour Google Analytics, ce service peut se référer aux cookies existants d'une session précédente. Un suivi du utilisateur est ainsi encore possible. Sinon, le même utilisateur serait officiellement (selon Google) considéré comme deux utilisateurs différents dans ces deux sessions.
• Manque d'information sur la transmission de données dans des pays tiers: Il manque une information à cette question de consentement, bien qu'il y ait des services qui transmettent des données vers des pays tiers. Cette information est obligatoire.
• La déclaration sur la protection des données ne peut pas être appelée directement: Lors de l'appel à la déclaration sur la protection des données de la page U, le popup d'approbation apparaît, tant que cela n'a pas été confirmé auparavant. La lecture directe de la déclaration sur la protection des données est possible uniquement limitée sur les écrans plus grands, impossible sur les petits.

Site Web V

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Les textes en anglais sont affichés comme le montre l'image, bien que le site Web V soit présenté dans une autre langue.
• Manque d'informations sur la possibilité de rétractation: Comme le montre l'image, il n'y a pas d'indications sur la possibilité de rétractation (la version anglaise "You can manage your preferences…" est considérée comme inexistante pour un lecteur allemand).
• Aucune décision volontaire possible: Comme on peut le voir dans l'illustration, il n'est pas possible d'une refus direct. Cela apparaît comme illégal.
• Chargement d'outils sans consentement: Dès le chargement de la page V et sans avoir cliqué sur quoi que ce soit, l'outil de consentement OneTrust est chargé. De plus, autant d'outils sont chargés sans consentement qu'il n'est pas possible de les lister tous ; parmi ceux-ci: Google Tag Manager, Facebook Connect, Google Analytics, Hotjar, Twitter Analytics, DoubleClick, Outbrain, Adscale, ShareThrough. En outre, quelques cookies sont chargés sans consentement, notamment des cookies de Google Analytics, Facebook Connect et Hotjar
• Manque d'information sur les fournisseurs: Pour tous les outils et cookies utilisés, le site V n'inclut pas l'information des fournisseurs dans la demande de consentement. Au lieu de cela, il mentionne les noms des cookies en liste.
• Description manquante des cookies: il n'est fait aucune mention des cookies (sauf leur nom).
• Utilisation abusive de la pré-remplissage: Même si le site Web V a été appelé sans cliquer sur rien et même si la demande d'autorisation est encore visible à l'écran, des pré-remplissements ont déjà été effectués dans la fenêtre d'autorisation pour les opérations à autoriser.
• Manque de possibilité d'annulation:
• Au lieu d'une possibilité de rétractation, le site Web V déclare dans la politique des cookies en anglais: “Le centre de préférence pour la vie privée peut être accédé soit via l'annonce affichée lors de votre première visite du site ou après avoir supprimé les cookies. Il vous permet de consulter les groupes de cookies que nous stockons (tel qu'indiqué ci-dessus dans Comment Nous Utilisons Les Cookies), et gérer si les cookies pour ces groupes sont actifs.”
• Manque de mentions de protection des données: Pour certains services, comme WebTrekk , il manque tout simplement toute mention dans la déclaration sur la protection des données du site V. En raison de la multitude d'outils utilisés sur le site et du fait que la déclaration sur la protection des données n'est disponible qu'en anglais, on a renoncé à une vérification plus approfondie.
• Manque de mention des cookies: Au moins un cookie (Google Analytics, nom: \gcl_au) est déposé, mais pas mentionné dans le consentement aux cookies du site V.
• Manque d'information sur la transmission de données dans des pays tiers: Il manque une information à cette question de consentement, bien qu'il y ait des services qui transmettent des données vers des pays tiers. Cette information est obligatoire.

Site Web

La fenêtre d'accord de la page web ressemble à ceci:

Résultats

• Aucune décision volontaire possible: Comme on peut le voir dans l'image, il n'est pas possible d'une refus direct. La possibilité de refuser ( "Changer" ) est en outre optiquement décalée vers l'arrière. Cela apparaît comme illégal.
• Fragilité de la focalisation sur les cookies: Comme on peut le voir dans l'image, il est fait référence aux avertissements des cookies pour les processus qui nécessitent une approbation. C'est en soi incorrect, car les traitements de données peuvent être obligatoires sans cookies. De plus, dans l'image, il n'est pas visible que le texte Mehr erfahren (en français: "En savoir plus") fait référence à la politique de confidentialité qui est liée à la page d'accueil, qui est en revanche incorrectement intitulé Datenschutz- und Cookie-Richtlinie. Dans la politique de confidentialité, on fait mention des "cookies et technologies similaires", ce qui montre que la focalisation sur les cookies est même considérée comme incomplète par le propriétaire du site web.
• Laden de tools sans consentement: Dès le chargement de la page W et sans avoir cliqué sur quoi que ce soit, est chargé l'outil d'autorisation OneTrust. De plus, sont chargés au moins les outils suivants sans autorisation: Google Maps, Facebook Connect, Google AdWords Conversion Tracking, YouTube Video. En outre, sont chargées certaines cookies sans autorisation, notamment ceux de Google AdWords Conversion Tracking et YouTube Video. À YouTube Video, par exemple, la politique de confidentialité du site W mentionne un fournisseur américain.
• La déclaration de protection des données n'est pas directement accessible: Lorsque l'on appelle la déclaration de protection des données du site W, une fenêtre d'acceptation s'affiche, à condition qu'elle n'ait pas été confirmée auparavant. Il est donc impossible de lire directement la déclaration de protection des données.
• L'annonceur n'est pas suffisamment identifié: trop de cookies – peut-être tous, ce qui ne pouvait être vérifié en raison du grand nombre de cookies et du manque de temps – l'annonceur n'est pas suffisamment identifié. Une dénomination d'annonceur n'est pas donnée. On pourrait bien vouloir considérer la Host-déclaration comme une dénomination incomplète d'annonceur.
• Les informations sur les cookies: Le cookie VISTOR_INFO1_LIVE est décrit en anglais. C'est inacceptable pour le marché allemand. Comme Art, on a indiqué 3rd Party, ce qui n'est pas compréhensible non plus. On a indiqué une durée de 7985,5 ans. Outre la langue anglaise ici inadmissible, on a également utilisé un point décimal contraire à la norme allemande.
• Description suspecte des cookies: Pour le cookie NID , une description sans portée est donnée (extrait): "Cette domaine appartient à Google Inc. Bien que Google soit principalement connu comme un moteur de recherche, la société fournit une gamme diversifiée de produits et services.". Pour le cookie ga, on indique son but: "Ce cookie sert à distinguer les visiteurs.". Pour le cookie utma , on indique son but: "A l'aide de ce cookie, nous pouvons déterminer si quelqu'un est déjà venu sur notre site ou non." Les deux cookies sont rattachés à la politique de confidentialité Google Analytics. Il reste inexpliqué pourquoi deux cookies sont nécessaires pour reconnaître un visiteur.
• Manque de mentions de protection des données: au moins pour le service DoubleClick manquent toutes les mentions dans la déclaration de protection des données du site W et dans l'interface d'accord.
• Manque de possibilité d'annulation: même après une recherche prolongée, aucune possibilité d'annulation n'a pu être trouvée sur le site W. Au lieu de cela, dans les déclarations de protection des données pour certains services, des liens vers les sites des fournisseurs sont donnés, avec lesquels on peut supposément s'opposer à la collecte de données (par service et par fournisseur).
• Manque d'information sur la transmission de données dans des pays tiers: Il manque une information à cette question de consentement, bien qu'il y ait des services qui transmettent des données vers des pays tiers. Cette information est obligatoire.

Conclusion

Les nombreux défauts mentionnés devraient parler d'eux-mêmes. Ma vérification n'a été qu'à moitié intensive. Une vérification plus précise aurait probablement révélé encore plus de problèmes, par exemple en analysant avec plus de détails les politiques de confidentialité des données pour chaque outil donné sur les pages web testées.

Tous les outils de consentement présentent lors de leur mise en pratique des faiblesses très importantes, à mon avis honteuses. Même les principaux fournisseurs d'outils de consentement ne parviennent pas avec leur propre outil à présenter une page Web DSGVO-conforme relativement correcte.

Il vaut mieux ne pas utiliser un outil de consentement courant, mais plutôt mettre en œuvre uniquement les outils qui n'en ont pas besoin ou dont il est clair quelles données sont collectées.

Les grandes entreprises devraient créer leur propre solution d'acceptation. Celle-ci peut alors être juridiquement sûre, contrairement au matériel que je considère comme inapproprié et qui est vendu à la centaine de fois.

La Mise de 100 Euros

Je vais prendre un peu de courage et je propose à l'éditeur du premier site Web qui me contacte 100 euros de mon patrimoine privé, s'il utilise sur son site l'un des outils de consentement testés et respecte en grande partie les règles (pas exactement mais en grande partie !). La condition est que plusieurs outils populaires soumis à l'autorisation soient utilisés sur le site. Si c'est exactement trois, je vais regarder ces sites et prendre la mise si nécessaire. Le site doit exister depuis quelques mois dans sa forme fondamentale. Il ne faut pas essayer de créer rapidement un site pour gagner.

Je parie que personne ne peut produire une solution d'approbation conforme au droit pour ce type de site web. Il ne s'agit pas ici d'un simple manque de virgule, mais de problèmes plus importants. J'ai également publié ma mise en jeu dans les médias sociaux et attends des courageux qui peuvent apporter n'importe quel site web, même si ce n'est pas le leur. Veuillez me contacter par email pour plus d'informations.

Cette cote est valable jusqu'au 30.06.2021

Propositions de solutions

Grâce aux outils gratuits de Google et d'autres, nous avons tous été mis sur la voie de dérive. Fonctionne super, mauvais protection des données, je dirais.

Ma proposition pour des sites web conformes à la DSGVO avec moins d'effort que de tenter l'impossible (voir test pratique outils de consentement):

• Inventaire des outils utilisés
• Supprimer tous les outils qui ne sont plus nécessaires
• Intégrer des polices et des bibliothèques JavaScript ainsi que des images externes localement
• Utiliser des alternatives pour les outils critiques
• Qui réfléchit à une demande d'autorisation devrait mieux dormir dessus (voir ma liste de contrôle)