Sur presque toutes les pages Web existent des liens vers d'autres sites Web. Lorsqu'un visiteur clique sur un lien, il est inévitable que des données personnelles soient transmises. Est-ce là un problème de protection des données ? Et qu'en est-il des objectifs de liens dans des pays tiers peu sûrs comme les États-Unis ?
Introduction
Un lien ou une référence est un hyperlien, qui est possible sur des pages HTML. Une page HTML est ce que beaucoup d'entre eux comprennent sous le terme de "page Web". HTML signifie langage de balisage de texte hyper
Dans HTML, il existe des éléments appelés Tags. Un Tag est une instruction. Un Tag contrôle l'apparence ou le comportement d'un texte. Avec le tag <b>, par exemple, on peut activer l'italique pour un passage de texte. Le tag <a> définit en revanche un lien. Exemple de définition d'un lien:
<a href="https://www.ein-linkziel.fr">Cliquez ici pour accéder à l'autre site web</a>
Le tag est défini par un lien ciblé, donc une adresse de destination (URL) et un texte inclus dans le tag a. Lorsque l'utilisateur clique sur le texte, l'adresse de destination est appelée.
Téléchargement de données à la suite d'un clic sur un lien
Seulement lorsque l'utilisateur clique volontairement sur un lien, a lieu un transfert de données. C'est alors que se produit une collecte de données. Une collecte de données est réalisée dès lors qu'en raison d'une offre d'un responsable des données sont reçues par le prestataire ou un tiers et peuvent en fait être portées à la connaissance.
Un responsable est dans le cas d'un lien externe le fournisseur de lien, c'est-à-dire le responsable de la page Web qui contient le lien externe.
Les données transférées lorsqu'on clique sur un lien sont techniquement nécessaires et conditionnées par le protocole Internet TCP. TCP signifie Transmission Control Protocol.
Les données transférées contiennent l'adresse IP de l'utilisateur. L'adresse IP en tant qu'adresse réseau est un valeur personnelle. C'est ce que les juges du Tribunal de Justice de l'Union européenne (CJUE) et des cours suprêmes allemande (Bundesgerichtshof, BGH) ont décidé. Même pour les adresses IP dynamiques, c'est-à-dire celles qui sont attribuées régulièrement, cette règle s'applique. Même si un utilisateur reçoit une nouvelle adresse IP de son fournisseur d'accès internet chaque jour, celle-ci est considérée comme personnelle.
Lorsque l'on clique sur un lien externe, des données personnelles sont transmises à un tiers
Conséquence du protocole Internet TCP
Traitement de données au niveau du lien cible
Le fournisseur de lien n'est pas responsable du traitement des données effectué par le site cible à son initiative propre. Cela serait différent si une directive venait du fournisseur de lien. Même une responsabilité partagée entre le fournisseur de lien et le site cible, qui peut résulter d'un contrat, est un autre cas.
L'objectif du lien est donc lui-même responsable de la gestion des données qu'il reçoit en raison du clic sur le lien externe sur le site Web du donneur de lien.
Objectif dans un pays tiers sûr
Dans un pays tiers sûr, un niveau de protection des données comparable à celui de la RGPD est en tout cas officiellement et formellement assuré.
Si le but de la liaison se trouve dans un pays tiers sûr, c'est seulement le donneur de la liaison qui est responsable du transfert et de l'enregistrement des données qu'il a lui-même initié. Le transfert des données est techniquement nécessaire. Il n'y a rien pour quoi quelqu'un pourrait être responsable. Une responsabilité peut exister. Ne pas être responsable de quelque chose, c'est en fait la même chose que ne pas l'être du tout.
La collecte de données auprès du site lié est autorisée uniquement dans la mesure où cela est permis par le RGPD. Par exemple, le site lié peut prendre des mesures pour sécuriser les systèmes contre les hackers, mais il ne peut pas enregistrer les adresses IP à des fins de marketing. C'est la responsabilité du site lié.
Dans ce cas, le fournisseur de lien est en fait responsable ni du transfert de données, ni de la collecte de données.
En fait, il n'y a pas de responsabilité pour un diffuseur d'un lien vers des cibles en pays tiers sûrs.
Objectif dans un pays tiers instable
La considération est plus complexe lorsqu'il s'agit de cibles liées dans des pays tiers non sûrs. Les États-Unis sont et resteront un pays tiers non sûr, tant que le Cloud Act américain en vigueur actuellement conserve sa validité. Même les déclarations de l'UE ne peuvent rien y changer. Malheureusement, l'UE a vendu nos droits fondamentaux en concluant un accord de protection des données politiquement motivé nommé Data Privacy Framework (DPF) avec les États-Unis. Le DPF repose sur une ordonnance exécutive du président américain, qui peut être révoquée à tout moment. Indépendamment de cela, les citoyens de l'UE ne sont pas suffisamment protégés contre la surveillance américaine. La pointe est mise sur tout cela parce qu'un organisme aux États-Unis est qualifié de tribunal, mais ce n'est pas un véritable tribunal, c'est une scène de théâtre. Indépendamment de cela, il faut vérifier quelles autres pays tiers entrent en jeu lorsque le fournisseur de services est équipé avec des données. En particulier, Google implique souvent d'autres tiers venus d'autres pays tiers, pour lesquels il n'y a souvent pas de décision appropriée.
L'article 44 du RGPD définit des principes généraux de transmission de données. Ces principes stipulent que la transmission de données à caractère personnel_, „_qui ont déjà été traitées ou qui doivent être traitées après leur transmission dans un pays tiers ou une organisation internationale“ est only autorisée sous certaines conditions.
La transmission des données aux États-Unis est autorisée uniquement après une précédente autorisation par une personne concernée. Une traitement des données transmises par la source de lien n'a pas encore eu lieu.
De là découlent plusieurs questions pour les liens externes.
Lorsqu'un utilisateur clique sur un tel lien, a-t-il alors donné son consentement ? Un consentement est selon Article 4, paragraphe 11 de la DSGVO «toute déclaration volontaire pour le cas spécifique, donnée de manière informée et sans équivoque, sous forme d'une déclaration ou d'une autre action confirmative claire, par laquelle la personne concernée indique qu'elle est d'accord avec la mise en œuvre des données à caractère personnel qui la concernent».
Une autorisation classique, comme on la connaît des surnommés pop-up de cookies, est conçue différemment. Là, on clique sur accepter ou refuser. Un refus est là idéalement aussi facile à faire que l'acceptation. Une autorisation en cliquant sur un lien existe selon moi lorsque l'utilisateur a été préalablement informé. Car une autorisation nécessite ici un clic, un refus d'autre part nul besoin de clic, donc pas plus d'effort mais même moins.
Une information à l'utilisateur ne peut en réalité se produire que si un lien externe est reconnaissable comme tel. De nombreuses pages Web présentent les liens internes et externes de la même manière. Cela suffit, selon mon estimation, pour informer l'utilisateur. Puisque l'utilisateur pourrait avoir peur d'appuyer sur un lien externe, il ne cliquerait peut-être plus sur aucun lien du tout. Cela pourrait être résolu au mieux par des textes de lien clairs ou par une mention générale selon laquelle aucune liaison n'est utilisée ou qu'aucun lien ne signifie transfert de données dans des pays tiers non sûrs.
Lorsqu'un utilisateur clique sur un lien pointant vers les États-Unis, doivent-ils alors selon l'article 44 du RGPD les données être traitées après leur transmission aux États-Unis ? Oui, car un traitement est déjà intervenu avec la collecte de données. Une collecte de données se produit d'ailleurs presque toujours lorsqu'une page Web est consultée (à l'exception du cas où le chargement de la page Web est bloqué ou ne se produit pas pour d'autres raisons rares, par exemple en raison d'un débranchement).
À qui appartiennent les données lorsqu'on clique sur un lien ?
La question de savoir quand un transfert de données se produit dans un pays tiers non sûr est liée à qui reçoit les données. Sur internet, il n'est pas si simple de répondre à cette question.
Le chemin des données est caractérisé par un point de départ et un point d'arrivée. Le point de départ est le navigateur du visiteur d'un site web. Le point d'arrivée est le serveur vers lequel s'adresse la requête de l'utilisateur, dans notre cas le serveur qui représente l'objectif du lien.
Généralement, il y a un seul serveur qui héberge une page web, c'est-à-dire un lien de destination. Il arrive souvent que le trafic soit réparti. En particulier, les grandes entreprises comme Google utilisent cela. Mais aussi les sites Web des magasins en ligne allemands utilisent souvent une répartition du trafic pour se protéger contre les pannes, par exemple via un Réseau de distribution de contenu (CDN) comme Cloudflare.
Quel est l'objectif ?
Lors d'une répartition de charge, le Service de Nom de Domaine (DNS) peut être responsable du serveur qui est effectivement appelé. Le DNS peut même être défini par l'utilisateur lui-même. Des DNS différents peuvent théoriquement retourner des serveurs cibles différents pour une requête à la même adresse au même moment.
En outre, ce n'est pas seulement le pays d'accueil où se trouve un serveur qui est pertinent pour savoir si par exemple l'agence de renseignement américaine y a accès. Au contraire, il faut considérer toute la structure organisationnelle. Une filiale d'une centrale américaine installée en Allemagne et dont la centrale donne les instructions peut, selon ma compréhension, être invitée par les autorités américaines à remettre des données. Soit la centrale viole alors soit le droit américain, soit celui européen. Je parierais que les entreprises locales préfèrent respecter les lois nationales plutôt que de satisfaire des instances ou des personnes étrangères.
Kurzum: On ne sait souvent pas où les données atterrissent qui sont envoyées à partir d'un lien. Si le responsable du site en a connaissance, il se pose alors la question de savoir s'il n'est pas responsable du redirigeant vers l'adresse du lien.
Déformer un objectif
Mais cela n'est pas encore suffisant pour éliminer l'incertitude: imaginez que vous référez à une page Web X. Le serveur qui s'y trouve est en Allemagne, et la société qui le gère est allemande. C'est tout bien. Mais alors, le propriétaire de la page peut décider d'abandonner l'adresse (le domaine) qu'il a choisie, ce qui permet à un tiers de se saisir de cette adresse. Ou encore, le propriétaire peut décider de rediriger l'adresse X vers une autre adresse Y, qui peut être hébergée sur n'importe quel serveur.
Dès que le donneur de lien prend connaissance d'un nouveau but, il peut en résulter une responsabilité pour lui.
La voie vers la cible
En outre, il faut se demander quel chemin emprunteront les données du point de départ au point d'arrivée. Si les données passent par un nœud américain, l'accès est possible pour un service secret américain. Mais cette question se pose également pour les liens qui mènent à une page de la même site web visité. Dans ce sens, cette question peut être considérée comme irrelevante (pour le moment) car trop large.
Dans ce cas également, selon mon estimation, la connaissance du chemin de la source vers le but par l'intermédiaire du donneur de lien pourrait signifier pour lui une responsabilité concernant le chemin des données.
Quel niveau de responsabilité peut surgir ?
Tout d'abord, il faut noter que le fournisseur de lien ne collecte aucune donnée à partir du clic sur un lien. Le cas où cela pourrait se produire n'est pas examiné plus en détail ici, car il s'agirait alors d'un processus qu'il aurait également à assumer.
La traitement des données au niveau du lien ne relève pas de la responsabilité du donneur de lien. Il serait seulement alors peut-être seul ou conjointement responsable, si le traitement des données au niveau du lien était également motivé par un intérêt personnel du donneur de lien ou s'il existait une relation contractuelle entre le donneur de lien et le lien cible.
Les liens externes devraient être reconnaissables et leurs risques doivent être signalés sur les sites web.
Ma recommandation
Le transfert de données vers un pays tiers non sûr en raison du clic sur un lien externe est d'abord imputable à l'auteur du lien. La responsabilité peut être réduite ou éliminée, selon moi, que le lecteur sache les risques associés au clic sur un lien externe avant de cliquer dessus.
Si le donneur de lien est en connaissance de circonstances critiques, des questions supplémentaires de responsabilité s'imposent à mon avis.
Si le responsable ne marque pas correctement les liens externes ou n'informe pas suffisamment l'utilisateur sur les risques potentiels, il est responsable des problèmes de protection des données qui peuvent résulter du transfert de données dans des pays tiers non sûrs.
Responsabilités diverses
Les questions de protection des données se posent également en termes de contenu et de droits d'auteur lorsqu'on fait référence à des tiers.
Un fournisseur de lien est responsable de supprimer un lien dès qu'il a connaissance de contenus illégaux sur la cible du lien. Cela n'a rien à voir avec la protection des données et ne sera donc pas examiné plus en détail ici.
Les cas ne sont pas non plus examinés ici dans lesquels le fournisseur de lien est en relation avec la cible du lien, par exemple via un contrat.
Conclusion
Une responsabilité pour les liens externes qui pointent vers des sites situés dans des pays sûrs peut à peu près être exclue. Cependant, il existe un petit risque résiduel en raison de la possibilité permanente que le site cible redirige vers un nouveau site. On peut également considérer une filiale d'une société américaine comme étant responsable, ce qui signifie que l'emplacement du véritable site cible n'est plus le seul facteur déterminant.
Outre les questions soulevées par la RGPD, une disposition du loi sur les médias audiovisuels numériques m'a frappé. Cette dernière a un certain impact.
L'article 13, paragraphe 5 du TMG dispose:
La retransmission vers un autre prestataire de services doit être signalée à l'utilisateur.
Article 13, paragraphe 5 du TMG
Dans quelle mesure le TMG est-il remplacé par la RGPD, il faut vérifier avec précision. Le législateur a-t-il omis d'appliquer les exigences européennes, on peut alors supposer qu'une interprétation conforme au droit de l'Union doit être effectuée. C'est ainsi que le juge a décidé dans l'arrêt du BGH sur Planet 49 pour l'article 15, paragraphe 3 TMG. Cette disposition du TMG doit donc être interprétée conformément à l'article 5, paragraphe 3 de la directive ePrivacy. Cela entraîne une exigence d'autorisation conforme à la directive qui n'est pas mentionnée dans le TMG.
Je suppose que l'article 13 du TMG sera au moins en partie supplanté par la DGSV. Par conséquent, la transmission à un autre fournisseur de services n'est pas nécessairement obligatoire d'être explicitement signalée. En raison des raisons mentionnées ci-dessus, il est toutefois très recommandé ou peut même se produire indirectement. Il est également possible que seul une partie de l'article 13 du TMG soit remplacée par la DGSV et non l'alinéa 5. Cela me semble réaliste car une réglementation allemande plus stricte ne s'oppose pas à la DGSV européenne.
Messages clés
Cliquer sur un lien externe transmet toujours des données personnelles, notamment l'adresse IP de l'utilisateur, qui est considérée comme une donnée personnelle.
Le responsable du traitement des données dépend de l'endroit où se trouve le site web auquel on fait un lien.
Il est important d'informer clairement les utilisateurs lorsqu'ils cliquent sur un lien externe, car cela peut entraîner un transfert de données.
Il est difficile de savoir où les données finissent lorsqu'on clique sur un lien, car le serveur et le propriétaire du site peuvent changer. Le donneur de lien pourrait donc être responsable du cheminement des données et des risques liés.
Le créateur d'un lien vers un site web situé dans un pays non sûr peut être responsable des problèmes de protection des données qui en résultent, à moins que l'utilisateur ne soit suffisamment informé des risques.
Bien que la transmission de données à un autre fournisseur ne soit pas toujours obligatoire, il est fortement recommandé de le faire, car cela se produit souvent indirectement.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
