OneTrust est une solution dite de consentement pour les sites web. Le fournisseur vient des États-Unis, ou du Royaume-Uni, on ne sait pas vraiment. Outre la question de la localisation, l'outil présente d'autres écueils. CookieLaw et Optanon sont des dérivés de OneTrust.
Introduction
Un outil de consentement, souvent appelé Cookie Consent, est intégré à une page web pour respecter les règles de protection des données. Théorie. En pratique, c'est différent. Cela vaut surtout pour OneTrust, car l'éditeur semble avoir un emplacement flexible.
OneTrust a cependant encore beaucoup plus de faiblesses. Pour en finir d'abord avec cela: Utiliser cet outil promet presque une page Web illégale. Je vais expliquer tout de suite ce que j'y veux dire.
OneTrust semble avoir racheté il y a quelque temps les fournisseurs Optanon et Cookie Law. Les trois anciens fournisseurs sont aujourd'hui, selon mon impression, unifiés sous OneTrust. On le reconnaît notamment aux fichiers que l'outil de consentement utilise.
J'ai mené une enquête sur tous les outils de consentement populaires dont je suis au courant il y a quelques semaines et Cookiegeddon ai donné ce nom à l'expérience, car le résultat était catastrophique.
Demande de consentement flexible
De même que pour le groupe Google, on ne sait pas très bien quelles entreprises traitent les données qu'on leur confie. Comme mentionné ci-dessus, OneTrust indique deux emplacements mais n'en nomme pas un responsable principal. L'implantation aux États-Unis est hautement problématique (pays tiers non sûr, cf. Article 44 RGPD). L'implantation au Royaume-Uni ne l'est plus non plus depuis le Brexit, même si une période transitoire a été fixée. On ignore ce qui se passera ensuite. Mise à jour: Le Royaume-Uni a obtenu un accord d'adéquation de la part de l'UE. Cependant
Pas plus flexible que l'emplacement de l'éditeur est cependant la demande d'autorisation elle-même. OneTrust utilise une sorte de Géolocalisation pour déterminer, à partir duquel pays probablement le visiteur actuel du site vient. Pour cela, dans certaines variantes de OneTrust, l'adresse https://geolocation.onetrust.com/cookieconsentpub/v1/geo/location est appelée. Les données qui sont établies et transmises à la page web visitée sont notamment:
Rien que cela semble tout sauf respectueux de la vie privée et n'inspire pas vraiment confiance pour un outil de consentement. Lors de mon test, la localisation était assez précise, même si elle n'était pas très précise. Le lieu déterminé était à environ 12 kilomètres à vol d'oiseau de ma position réelle.
Le 20 janvier 2021 au moins, la Commission européenne a émis une amende de 7,8 millions d'euros en raison des pratiques de Geoblocking illégales.
L'utilisateur est-il allemand ? Il reçoit alors une demande de consentement complète. Complète signifie ici que OneTrust fait tout ce qu'il peut avec l'outil. Et c'est malheureusement peu.
L'utilisateur prétend-il appartenir à certains autres pays ? Il est alors possible que aucune demande d'autorisation ne soit formulée. Cela serait en soi déjà illégal et créerait des problèmes graves de protection des données, comme on peut facilement le démontrer. Je n'ai pas pu reproduire avec précision la mise en œuvre liée au pays, mais je peux seulement l'admettre. En tout cas, la géolocalisation d'un utilisateur est déjà très discutable par elle-même.
Lorsqu'on appelle une page Web modifiée par OneTrust dans le navigateur Tor datenschutzfreundlich, la demande d'autorisation n'apparaît pas. Cela peut ne pas être dû au pays que le navigateur Tor feint de communiquer à l'outil de consentement, mais plutôt à une configuration de sécurité du navigateur:
Une solution d'acceptation doit évidemment être conçue de telle sorte qu'une page Web conforme à la RGPD soit trouvée même en cas de dysfonctionnement de la "solution". Dans le pire des cas, il ne devrait donc pas charger d'outil. Avec OneTrust, cependant dans le pire des cas, l'outil de consentement n'est pas chargé, ce qui entraîne le fait que tous les outils soumis à l'obligation de consentement sont directement chargés. Le surnommé Cookie Blocker est en effet destiné à recharger les outils problématiques et non à réduire les problèmes existants.
La raison est que OneTrust se met "en haut". Au lieu de modifier les instructions de chargement sur le site Web pour les outils intégrés, on essaie d'empêcher artificiellement le chargement des outils. Si ensuite l'Unterdrücker (l'outil de consentement) manque, rien n'est empêché.
Il n'y a pas d'excuse à cela. Chaque site web doit être conçu de manière à exclure d'emblée tout transfert de données non autorisé.
Récupération de données dans un pays tiers non sûr ?
L'aggravation vient de ce que pour construire la fenêtre d'accord, le domaine onetrust.com est interrogé. Cela semble varier en fonction de l'édition ou de la version installée de OneTrust et a probablement trait à l'ambiguïté du outil (voir ci-dessus: Optanon, Cookie Law).
Selon une recherche WHOIS, le domaine onetrust.com est enregistré par une entreprise basée à Panama:
Pour la domaine, un surnommé WhoisGuard a été utilisé, qui cache l'identité réelle du propriétaire de la domaine. Pour cela, le responsable de la page web, qui utilise OneTrust, est tenu responsable. Voir Article 12 RGPD (information transparente). Beaucoup d'amusement à trouver, qui est le propriétaire de la domaine onetrust.com, si quelqu'un demande et une information demande.
En tout cas, selon https://www.onetrust.com/, le domaine est attribué à l'entreprise OneTrust, LLC (voir la ligne de pied de page du site). La forme juridique indique qu'il s'agit d'une entreprise américaine.
Les transferts de données vers les États-Unis sont illégaux sans consentement. Voir l'article 44 du RGPD ainsi que la décision du TJUE sur le Privacy Shield.
Lors de l'ouverture du site onetrust.de, le Google Tag Manager est chargé sans consentement (état: mars 2022). Cela me semble inapproprié au vu de la dérive du traitement des données par Google.
Loi sur les cookies
Un sous-produit d'Onetrust est Cookie Law. L'outil a été apparemment repris par OneTrust et est techniquement en grande partie identique à OneTrust. À l'occasion de mon appel test d'une page Web qui utilise Cookie Law, pour charger Cookie Law Script, l'adresse IP 104.16.148.64 est récupérée. Un service de localisation d'IP situe cette adresse réseau comme suit:
Il semble qu'une consultation de données ait lieu, qui est liée aux États-Unis, un pays tiers peu fiable. C'est selon l'article 44 du RGPD sans consentement problématique.
Si l'on a besoin d'un consentement pour une demande de consentement, l'utilité du service pour la demande de consentement avec consentement est proche de zéro.
La fenêtre de consentement de OneTrust
Il est certainement possible de personnaliser l'apparence et le contenu de OneTrust. J'ai choisi un exemple arbitraire qui ressemble à ceci:
Dans mon test pratique des outils de consentement populaires, il y a deux autres exemples à OneTrust.
Avis de rétractation
Comme on peut le voir, la taille de la police est assez petite et le volume du texte est déjà assez important sur la première image. Cela pourrait être critiqué (si l'on se retrouve un jour devant un tribunal ou si l'on a une autorité de surveillance sur le dos). En tout cas, il est écrit:
A l'aide des boutons ci-dessous, vous pouvez définir vos préférences en matière de cookies, que vous pouvez modifier à tout moment lors de votre visite sur notre site Web.“ .
Il ne s'agit pas d'un avis de rétractation juridiquement valable:
- Les "boutons ci-contre" ne sont plus là une fois que l'on a donné son accord, car la fenêtre se ferme tout de même
- Modifier et révoquer sont deux choses différentes pour moi
- Lorsque le retraitement est appelé, il n'est pas mentionné, mais selon l'article 7 du RGPD, c'est obligatoire.
Refuser au lieu de consentir
Comme on peut le voir dans le popup de consentement, il n'est pas possible d'exprimer un refus direct. Je trouve cela déjà contraire à la loi. Voir Article 4, alinéa 11 de la RGPD et l'Argumentation 42: „On peut considérer qu'elle a donné son consentement de manière volontaire uniquement si elle a une vraie ou libre élection et est donc en mesure de refuser ou retirer son consentement sans subir d'inconvénients“.
Données insuffisantes
Il y a tellement de fausses déclarations et d'indications erronées que seule une sélection peut suivre ici. Exemple 1:
Qui est bien sûr le fournisseur de __cfduid ? D'après ce que je sais, onetrust.com n'est pas une indication d'entreprise.
Est-ce que __cfduid est un cookie, un service ou un Dings ? Faisant preuve de justice, il faut dire que l'information ne vient qu'après avoir cliqué sur Cookies afficher. On entend donc bien par là des cookies. Mais quel est alors le service (l'outil) auquel ce cookie appartient probablement ?
Qu'est-ce que cela signifie: "4 ans"? Je comprends, mais un citoyen francophone n'a pas besoin de parler anglais.
La description est également en anglais et n'est donc pas disponible.
Seul quelqu'un qui s'occupe de protection des données le sait. ([1])
Exemple numéro deux:
Je ne suis pas sûr que le nom S soit correct. J'ai encore jamais vu un cookie de Google avec ce nom. Je vous prie de me contacter si ce cookie existe officiellement.
Les fournisseurs et les indications de buts manquent à nouveau. Au lieu d'écrire Sitzung, on utilise le terme anglais Session.
Il n'y a pas non plus d'information sur le transfert de données vers des pays tiers non sûrs, ni d'indication sur le service correspondant.
En ce sens, presque toute explication de OneTrust peut être critiquée. Je suis à ce point là aussi sévère que je le serais selon moi en justice.
Chargement d'outils sans consentement
La couronne pour un outil de consentement: La page Web prétendument protégée charge un outil sans consentement, qui nécessite un consentement. C'est encore plus grave si l'outil de consentement demande même un consentement pour un autre outil et que cet outil est chargé malgré tout sans consentement. Un exemple en est un script YouTube Video, avec des cookies encore. Ce qui se passait avec les cookies aurait pu être facilement évité…
Résumé
OneTrust s'abîme et fait plus de mal que de bien, c'est mon avis. Je me permets d'écrire cela parce que même l'éditeur lui-même ne parvient pas à faire fonctionner son propre outil. Voici la preuve pour le site web onetrust.de, qui après avoir sélectionné la langue allemande est appelé onetrust.com:
La capture d'écran montre au moins les défauts suivants:
- Le cookie _ga est classifié comme un cookie d'éditeur . C'est seulement à partir du point de vue technique qui est correct et personne ne s'intéresse à cela, sauf moi et quelques autres. En matière de protection des données, le cookie est utilisé par Google Analytics.
- Nous sommes sur le site web en allemand. Cependant, les descriptions sont principalement en anglais.
- L'appellation des vendeurs manque à nouveau
- La description manque, car elle est en anglais et il s'agit donc comme inintelligible pour un lecteur allemand
- Les informations sont floues: 1 an, Première partie
On ne peut guère se tromper davantage dans une demande de consentement.
Dérivé de OneTrust
L'Optanon et la Loi sur les Cookies semblent avoir été repris par OneTrust et sont presque identiques techniques à OneTrust.
D'après mes observations, la différence réside uniquement dans les détails techniques pour l'appel initial de l'outil de consentement. Chacun des trois dérivés utilise son propre numéro d'identification et son propre type d'implémentation technique pour définir cette identification.
Voici deux exemples. Tout d'abord, la définition de l'ID du cookie par Cookie Law, comme on dit souvent:
consent2.setAttribute('data-domain-script', 'xxxxxxxxx-xxxx-xb97-xxxxxxxxxxxx') ;
Au lieu des x-caractères, les nombres hexadécimaux sont codés dans la vraie identification.
Pour Optanon, la mise en œuvre technique de l'ID ressemble à ceci:
<script type="text/javascript" src="[https://cdn.cookielaw.org/consent/xxxxxxxx-xxxx-xxxx-x752-](view-source:https://cdn.cookielaw.org/consent/d5bb5995-9e5d-4971-a752-c49709ede890-test/OtAutoBlock.js)xxxxxxxxxxxx\-test/OtAutoBlock.js"></script>
Il y a d'ailleurs une certaine ressemblance avec Cookie First, même si les données principales semblent avoir une structure différente de celle de OneTrust. L'ID a en tout cas la même structure.
<script src="[https://consent.cookiefirst.com/banner.js](view-source:https://consent.cookiefirst.com/banner.js)" data-cookiefirst-key="xxxxxxxx-xxxx-xxxx-x225-xxxxxxxxxxxx"></script>
Après avoir défini l'ID, qu'elle soit quelle que soit la manière, des données sont récupérées pour afficher le pop-up d'accord. Cela semble se produire toujours de la même façon. Les contenus de retour et la structure du résultat étaient identiques dans mes tests pour les sous-domaines de OneTrust.
Tout ce qui vaut pour OneTrust, est valable selon mon expérience également pour Optanon et Cookie Law. La logique de mon outil, capable d'extraire automatiquement les demandes de consentement sur une page Web, est en tout cas la même pour ces deux variantes, dès que l'ID du cookie a été établie.
Conclusion
Qui utilise OneTrust sur son site web, a été mal conseillé ou a eu de la chance en cherchant. Heureusement, presque tous les erreurs peuvent être corrigées. La meilleure chose à faire est d'adapter le site web et de supprimer OneTrust.
Après cela, il est utile de réfléchir à quels outils sont vraiment encore nécessaires.
Voulez-vous vous-même vérifier si votre outil de consentement est conforme au droit ? Alors regardez bien ma liste de contrôle pour les demandes d'agrément sur des sites web.
Si vous voulez éviter de faire du travail, lisez d'abord l'article cinq raisons pour lesquelles les pop-up cookies ne peuvent pas être fiables. Là, vous trouverez des faits et des preuves à l'appui de cette affirmation.
Prochainement, un outil permettra de générer une demande d'intervention pour les sites web dotés d'outils de consentement. Cette demande contiendra les défauts constatés ainsi que les textes douteux. Pour les solutions de consentement populaires, l'outil fournit, quasiment sur simple pression d'un bouton, une demande d'intervention fondée, y compris les bases juridiques nécessaires.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.