La RGPD est une réglementation de l'Union européenne, qui s'applique à tous les États membres depuis le 25 mai 2018. Elle règle la gestion des données personnelles.
La RGPD est technologiquement neutre. En raison des particularités du Internet, des règles supplémentaires ont été édictées. Cela inclut par exemple la directive ePrivacy. Dans sa deuxième version, elle a également été qualifiée de directive sur les cookies.
Pour l'internet et les sites web, la RGPD est particulièrement pertinente en raison de les adresses IP sont des données personnelles (voir jugements du TJUE et du BGH). Une traitement de données a lieu dès lors qu'une collecte de données est effectuée, ainsi que la simple connaissance d'un destinataire mentionné par un éditeur d'offre.
Ainsi, chaque appel d'une page Web est un processus qui relève de la compétence de la RGPD. Chaque exploitant d'un site Web doit se soumettre à la RGPD. Beaucoup le font avec répugnance ou pas du tout, comme on peut le constater par exemple au recours à des outils de consentement illégaux.
Cependant, il convient de noter que les adresses IP étaient déjà des données personnelles avant l'entrée en vigueur du RGPD. Le BDSG (Loi fédérale sur la protection des données) n'a été appliqué qu'à titre purement formel. Dans ce contexte, il a été mentionné que certaines autorités de contrôle de la protection des données en Allemagne ne sont pas particulièrement actives (salutations notamment à Hesse).
Pour les sites web, il en résulte donc quelques conséquences, notamment:
- Obtention d'un consentement avant exécution de certains traitements de données
- Explication des traitements de données effectués dans la déclaration sur la protection des données et lors des demandes d'autorisation
- Déclaration des droits des personnes concernées dans la politique de confidentialité
- Mention d'une personne responsable dans la déclaration de confidentialité
- L'accès à la politique de confidentialité depuis chaque sous-page (en deux clics au maximum)
- Contrôle permanent possible par les autorités de contrôle de la protection des données
- En cas de violations du droit à l'information, des amendes sont prévues
Qu'est-ce que la traitement de données ?
La réponse se trouve Article 4 du RGPD. Résumé de ma part: Presque toute forme de fourniture d'informations personnelles à des tiers est considérée comme une traitement de données, qu'une véritable traitement ait lieu ou non. Cette définition est sensée, car aucun tiers ne peut prouver le processus suivant:
- Le site W fournit un lien (URL) sur les données d'un utilisateur par Tracking (enregistrement du URL par un tracker) au prestataire de services D
- Fournisseur de services D demande l'URL reçue
- Fournisseur de services D valorise les contenus extraites
L'article 4 du RGPD stipule dans le point 2:
Dans le cadre de cette ordonnance, l'expression désigne:
« Traitement » de tout ou partie automatisé ou non d'un ensemble de données à caractère personnel comme le recueil, la collecte, l'organisation, la classification, la conservation, la modification ou la transformation, le retrait du dossier, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, la comparaison ou la mise en relation, la limitation, la suppression ou la destruction;
Article 4, point 2 du RGPD
Qui transmet une URL par Tracking à des tiers qui représentent un lien vers les données personnelles d'un tiers, permet ainsi la traitement de ces données et viole probablement l'article 32 du RGPD (Sécurité de la traitement), notamment:
… prendre des mesures techniques et organisationnelles appropriées par les responsables et les sous-traitants, pour… assurer la capacité, la confidentialité, l'intégrité, la disponibilité et la résistance aux attaques des systèmes et services liés à la traitements à long terme
Extrait de l'article 32, alinéa 1 du RGPD
La traitement des données commence dès leur collecte. J'ai étudié plus en détail la collecte de données. Dès que serveur reçoit une demande (comme un site web) et ne l'empêche pas, il y a un traitement de données ! Dès que vous avez un courrier dans votre boîte aux lettres, envoyé à vous en raison de votre offre, collectez les données du courrier (à moins que votre boîte aux lettres ne fasse une petite panne après réception du courrier)
Les articles les plus importants de la RGPD
Lors de l'évaluation des questions relatives à la protection des données sur les sites web, les articles suivants reviennent souvent en jeu:
- Article 4 du RGPD: Définitions générales, notamment ce qu'entendent par données à caractère personnel
- Article 5 du RGPD: Principes de traitement des données à caractère personnel. En particulier, il convient de citer la minimisation des données. Dans la pratique, cela signifie un interdit d'utilisation de Google Fonts, qui sont chargés sur le serveur Google (demander une autorisation pour les polices fait peu de sens). Solution: intégrer les polices localement
- Article 6 du RGPD: Motifs juridiques. En particulier important: Y a-t-il un intérêt légitime ?
- L'article 7 du RGPD: Conditions pour une autorisation donnée par un utilisateur
- Article 12 RGPD: Information transparente, simple et compréhensible. Beaucoup de chance pour décrire les traitements des données par le groupe Google. Il vaut mieux ne pas utiliser d'outils Google ou donner une description complète des dangers possibles
- Article 13 du RGPD: Obligations d'information. Cela implique également la nécessité d'une Déclaration de protection des données et l' Explication des finalités des cookies
- Article 15 RGPD Droit à l'information des personnes concernées incluant droit de recours auprès d'une autorité de contrôle
- Article 26 du RGPD: Responsabilité partagée entre deux responsables de traitement des données qui travaillent ensemble
- Article 30 du RGPD: Registre des traitements de données
- Article 32 du RGPD: Sécurité de la traitement
- Article 44ff RGPD: Principes de transmission des données. Notamment important pour les transferts de données vers les États-Unis (outils Google etc.)
Thèmes sélectionnés sur des sites web
Pour les sites web, c'est surtout l'utilisation de services appelés outils qui constitue un processus relevant du droit à la protection des données. J'ai rédigé une série d'articles à ce sujet et je recommande en particulier:
- Les Cookies: Fondamentaux
- Les Popups de Cookies: Cinq raisons pour lesquelles ils sont irresponsables et le seront toujours
- Outils de consentement: Test pratique
- Le Gestionnaire de balises Google est obligatoire en matière d'autorisation
- Les Google Analytics dans ses différentes configurations sont soumis à l'obtention d'un consentement
Messages clés
Le RGPD impose de respecter la vie privée des utilisateurs sur internet en exigeant un consentement clair pour la collecte et l'utilisation de leurs données personnelles.
Transmettre des URL contenant des données personnelles à des tiers sans consentement explicite est une violation du RGPD.
L'utilisation d'outils en ligne, comme Google, nécessite de respecter les règles de protection des données, notamment en obtenant le consentement des utilisateurs.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
