Si les cookies contiennent des données personnelles, cela est pertinent pour plusieurs raisons. La RGPD réglemente (seulement) la portée avec des données personnelles ou liées à une personne, mais pas spécifiquement les cookies. Cela concerne également les autorités de contrôle et éventuellement leur privilège de sanction pécuniaire.
Introduction
L'article a été rédigé avant la connaissance et l'entrée en vigueur du TTDSG. J'ai adapté son contenu. Sa forme d'origine est, en soi, transmissible à l'état actuel. Seules les références au TTDSG plutôt qu'à ePrivacy ou TMG sont à réévaluer.
Nous avons également abordé ce sujet dans l'épisode 18 du podcast privacy Deluxe:
La RGPD est d'abord connue pour ne pas s'appliquer spécifiquement aux cookies, mais aux données personnelles. Le TTDSG stipule en revanche que les cookies ne peuvent être stockés ou consultés sur un appareil utilisateur qu'autant qu'une autorisation de la personne concernée existe (cookies techniques sont exclus). Ce billet a été rédigé avant l'entrée en vigueur du TTDSG et fait référence à des parties encore au TMG. Le TTDSG est une loi spéciale pour la RGPD, également appelée lex specialis.
Les cookies sont-ils des données personnelles ?
Le BGH a décidé en milieu de 2020 dans l'arrêt Planet49, que § 15 Abs. 3 TMG doit être interprété conformément à Art. 5 Abs. 3 ePrivacy Directive. Le législateur allemand a encore une fois été très lent et n'avait pas mis en place la directive ePrivacy, contrairement aux prescriptions européennes. Il ne l'a fait qu'en décembre 2021 avec le TTDSG, qui met en œuvre les exigences européennes. En mai 2024, le TTDSG sera intégré au TDDDG et le TMG au DDG. Les nouveaux textes sont identiques aux anciens et n'ont que de nouvelles désignations (puisqu'on prend maintenant "services" en compte à la place des "médias").
Avant le 01.12.2021, § 15 Abs. 1 TMG était aussi passionnant. Là-bas, au début, il est écrit:
Le prestataire de services autorisé peut collecter et utiliser des données personnelles d'un utilisateur uniquement dans la mesure où cela est nécessaire pour permettre l'accès aux médias audiovisuels et les facturer (données d'utilisation).
Article 15, paragraphe 1 du TMG (Extraits)
Ce passage est particulièrement pertinent lorsqu'il s'agit de savoir si les autorités allemandes chargées du contrôle des données personnelles peuvent infliger des amendes pour cookies utilisés de manière illégale. Il s'agit là d'une question cruciale, qui consiste à savoir si les cookies sont des données personnelles ou non. Je ne considère pas ici les lois nationales spécifiques aux autorités allemandes chargées du contrôle des données personnelles, bien qu'elles puissent rendre obsolète la question de l'appartenance personnelle des cookies dans chaque cas individuel.
Qu'est-ce que les cookies ?
Les cookies sont des stockages de données. Un cookie est géré sur l'appareil du utilisateur. Un utilisateur est un propriétaire d'un appareil. Lorsqu'un utilisateur appelle une page web à l'aide de son navigateur, le navigateur gère les cookies de la page visitée pour le utilisateur. Les cookies sont stockés par le navigateur dans un format arbitraire.
Un cookie est composé d'un couple de données constitué d'un nom et d'une valeur. Ce couple de données est envoyé à la page web lorsqu'elle est appelée. Lorsque une page web intègre des plugins et que ces plugins utilisent des cookies, ils reçoivent les couples de données. Aucun cookie n'est envoyé depuis l'appareil du utilisateur vers les médias téléchargés, mais plutôt le nom et la valeur de chaque cookie.
Les cookies sont "seulement" un type d'accès à l'appareil terminal. Même avec JavaScript, un tel accès peut avoir lieu. Le TTDSG traite même des appareils terminaux tels que les capteurs sans écran qui envoient leurs valeurs de mesure par le biais d'un réseau. Pour ces appareils terminaux, des mises à jour peuvent être insérées. Même ces mises à jour sont des accès analogues aux cookies.
Quels sont les données personnelles ?
Le TMG n'a fourni aucune information suffisante à ce sujet. On trouve peu de chose dans le TTDSG à ce sujet. Au lieu de cela, on peut essayer d'utiliser le BDSG et la RGPD, qui pourraient être pertinents pour le TTDSG (je ne suis pas juriste), au moins la RGPD est pertinente pour les autorités de protection des données. Et au moins le BDSG ou la RGPD sont pertinents pour le TTDSG, c'est mon humble avis. Veuillez me corriger si je me trompe.
In § 46 Nr. 1 BDSG steht: Personenbezogene Daten sind …
… toutes les informations qui se rapportent à une personne physique identifiable (personne concernée) ; on considère qu'une personne physique est identifiable si elle peut être directement ou indirectement identifiée, notamment grâce à l'attribution d'un nom, d'un numéro de référence, de données de localisation, d'une adresse en ligne ou d'un ou plusieurs caractéristiques particulières qui reflètent son identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale
Article 46, n° 1 du BDSG (Extraits)
Les données à caractère personnel sont … (Article 4, n° 1 du RGPD)
toutes les informations qui se rapportent à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; on considère qu'une personne physique est identifiable si elle peut être directement ou indirectement, notamment par attribution d'un code tel que un nom, un numéro de référence, des données de localisation, une adresse en ligne ou un ou plusieurs caractéristiques particulières identifiées, qui expriment l'identité physique, physiologique, génétique, psychologique, économique, culturelle ou sociale de cette personne physique
Art. 4 Nr. 1 RGPD (Auszug)
Les définitions du BDSG et de la RGPD stipulent que la personnalisation d'un document fait en sorte qu'il soit considéré comme personnel. On entend ici par là des personnes physiques uniquement.
La question de savoir si les cookies représentent des données personnelles peut donc se résumer à la question de savoir si les cookies représentent des données susceptibles d'être liées à une personne. Les données susceptibles d'être liées à une personne sont plutôt des données personnelles que des données personnelles. C'est ainsi que cela ressort de la définition.
Les cookies sont-ils des données personnelles ?
La vraie question pertinente (plus simple).
Qu'est-ce que les cookies ?
Les cookies sont des enregistrements de données. Les cookies ne sont pas des fichiers texte, comme le prétendent beaucoup,. Les cookies ne sont pas non plus des fichiers texte parce que personne n'a trouvé un meilleur terme qui soit clair selon la RGPD. Il existe des termes meilleurs que "fichier texte" qui sont toutefois compréhensibles. Par exemple, les miettes d'informations au lieu de données, bien qu'il me semble que le mot "données" est facile à comprendre. C'est encore mieux si on décrit pour quoi les cookies servent, c'est-à-dire pour stocker des informations sur l'ordinateur du utilisateur (ou sur une unité finale comme un appareil de maison intelligente).
Un cookie est composé d'un tuple, c'est-à-dire d'un paire de valeurs. Le couple est formé par un nom et une valeur. Que ce soit un tuple ou non, cela n'a pas d'importance. Une valeur unidimensionnelle est équivalente. On peut l'obtenir en juxtaposant le nom et la valeur, séparés par un signe de séparation défini.
Un Cookie est créé, lorsque un service le génère. Un service peut être une page Web qui peut créer ses propres cookies à la demande. Cela se produit souvent pour la gestion de sessions, afin que l'on puisse déterminer si un utilisateur est connecté ou non. WordPress utilise par exemple des cookies pour permettre la connexion des utilisateurs. Dans ce cas, seuls les cookies First-Party peuvent être créés, qui sont à la fois techniques et juridiquement liés à la partie première. La partie première est l'exploitant de la page Web ou le responsable de la page Web.
En outre, un cookie peut être généré par une logique JavaScript. Dans ce cas également, des cookies techniquement de première partie sont créés. Cependant, dans le cas d'Google Analytics, il s'agit en fait d'un cookie tiers car il est géré par Google.
Enfin, des cookies peuvent être créés lorsqu'on appelle des fichiers d'un (autre) serveur. Par exemple, des cookies sont créés lorsque Google reCAPTCHA appelle des fichiers d'une page web. Ces cookies sont techniquement et juridiquement des cookies tiers de troisième partie.
| Procédure | L'art du cookie technique | L'art de la Cookie |
|---|---|---|
| Site web gère ses propres cookies | First-Party | First-Party |
| Logique JavaScript de troisième partie | First-Party | Third-Party |
| Appel de fichier d'un serveur tiers | Third-Party | Third-Party |
Les cookies sont gérés séparément par chaque navigateur d'utilisateur. Chaque utilisateur a donc potentiellement des cookies différents sur son appareil que les autres utilisateurs. Les cookies sont la seule (information courante) selon § 25 TTDSG, qui est stockée dans l'appareil de l'utilisateur lorsqu'il s'agit de sites web. Sur les smartphones, par exemple, s'ajoute l'ID publicitaire d'Apple et Google. Avec Google FloC, un essai avorté d'avance pour vouloir être plus respectueux des données, des IDs de cohortes sont stockées dans l'appareil de l'utilisateur. Même Google Topics accède à l'appareil de l'utilisateur.
Les cookies stockés dans un appareil terminal dépendent des sites web que le utilisateur a visité auparavant. Seul cela montre déjà qu'il est impossible pour les sogenannten Cookie Scanner de fonctionner avec fiabilité.
Quels données stockent les cookies ?
Cette question ne peut pas être répondu de manière générale. Toutes les données potentielles peuvent être stockées dans un ou plusieurs cookies. Voici quelques exemples de valeurs de cookies. Seuls les valeurs sont indiquées, car les noms dépendent de l'interprétation des valeurs et la signification des valeurs est donnée dans le récapitulatif.
| Valeur | Significatif à l'égard de |
|---|---|
| X | Le popup de cookie a été confirmé (information « Yes/No ») |
| ab6729cc92027fd165442 | Identifiant unique d'un utilisateur |
| 2021-12-07 12:51:22 | Heure de temps, environ dernière visite du site web |
| UA-4711-4712 | Compte Google Analytics du propriétaire du site web |
| 7777-8888-9999-aaaa-2222 | ID Google de l'utilisateur qui est connecté à son compte Google |
| 8,56829, 50,223355557 | Emplacement de l'utilisateur |
Les valeurs en gras sont directement liées à une personne. Si donc un valeur stockée dans un cookie est liée à une personne, alors logiquement le cookie comme conteneur de données est également lié à une personne. D'ailleurs, la mise en forme des valeurs du cookie est transmise et peut être lue avec chaque appel de données, et elle correspond à la zone du cookie.
Un cookie contenant une valeur liée à une personne est lié à une personne et doit donc être considéré comme des informations personnelles uniquement en raison de cela.
Ma conclusion sur les cookies.
Les cookies sont en réalité lus, ce qui est relativement sans importance pour déterminer si une traitement de données a eu lieu dans deux des trois catégories Les cookies mentionnées ci-dessus. Une collecte de données se produit déjà lorsque les données sont potentiellement connues (de manière objective) lorsqu'elles ont été collectées en raison d'une offre. Un offre est toujours présente sur une page Web. Au moins une traitement de données implicite a lieu dans Third Party Cookies à tout moment. Même chose pour les First Party Cookies de la page Web visitée, qui sont transmises lors des appels de fichiers. Le lien avec la personne se produit ici uniquement en raison du canal de communication, en plus d'autres raisons.
Il est tout à fait clair que les cookies comme ceux de Google Analytics. Les valeurs de ces derniers sont Explicite lues par une logique JavaScript, puis envoyées à un serveur Google qui se trouve d'ailleurs toujours aux États-Unis.
Passons à la question de savoir ce qui se passe avec les cookies qui n'ont pas d'attributs liés à une personne. Sont donc les cookies comme conteneurs de données stockés sur un appareil utilisé par une personne, des cookies personnels ?
D'abord, il est techniquement prouvé que les cookies présentent un Référence à une personne. En effet, ils sont gérés dans l'appareil d'un utilisateur, c'est-à-dire une personne.
Nous avons des cookies spécifiques qui sont toujours attribués à une personne sur son appareil. D'après moi, ils sont donc toujours personnels. Selon mon avis, la directive ePrivacy prend en compte cet esprit, qui a été finalement mis en œuvre explicitement en Allemagne depuis décembre 2021 § 25 TTDSG. Cela vaut selon moi même si la directive ePrivacy donne la priorité au protection des terminaux d'extrémités.
Il en va de même avec les "Données de trafic" (méta-données), qui peuvent être attribuées à une personne avec plus de 90 % de probabilité. Voir les références ci-dessous.
Les données de trafic sont ici comprises dans un sens technique. Il y a probablement une signification juridique du terme que je ne développe pas ici !
Avec les données de trafic, je veux dire ici le empreinte digitale d'un utilisateur qui utilise un navigateur. Cela inclut la résolution de l'écran, la version du système d'exploitation, la zone horaire et d'autres données, même l'adresse IP. Avec une adresse IP, la probabilité est encore beaucoup plus élevée pour pouvoir remonter jusqu'à un individu. Même sans cette adresse réseau, il est possible de faire correspondre n'importe quelles données de trafic à une personne avec une probabilité d'environ 90 % au moins.
Il n'est pas sans raison que le juge de l'Union européenne a décidé dans sa décision sur les adresses IP que même les adresses IP dynamiques sont des données personnelles. Les adresses dynamiques peuvent changer quotidiennement ou encore plus fréquemment (pour un mot-clé, on peut citer le Reconnect, c'est-à-dire la reconnexion).
Lorsque les cookies sont lus, il est nécessairement présent l'adresse IP de l'utilisateur lors du lancement. Ainsi, les cookies, même s'ils ne sont pas personnels seuls (ce qui ils sont cependant selon mes explications et mon avis), sont toujours liés à la date personnelle de l'adresse réseau. Même si l'adresse réseau a été anonymisée, elle a été forcément collectée. C'est d'ailleurs le motif pour lequel, conformément à l'article 12 du RGPD , chaque site Web doit contenir des informations sur la protection des données (tant que le site n'est pas vide, c'est-à-dire qu'il présente une offre). L'anonymisation comme opération de traitement devrait être possible, mais ce n'est pas aussi simple à justifier , comme on pourrait le penser spontanément.
Les cookies et l'adresse de réseau personnalisée d'une personne sont toujours accessibles ensemble. C'est la raison pour laquelle les cookies apparaissent comme des données personnelles.
Conséquence logique d'une donnée technique
Conclusion
Après tout cela, j'en conclus que: les cookies en tant que stockeurs de données sont par nature présents dans l'appareil d'une personne, ils sont personnels et donc des données personnelles car l'accès aux cookies ne peut se faire qu'avec l'adresse réseau personnelle.
| Situation de fait | Argument d'intérêt personnel |
|---|---|
| Valeur de cookie personnalisée | Référence à la personne du cookie |
| Emplacement de stockage de tous les cookies | L'appareil du utilisateur peut être associé à une personne grâce au signal de localisation/GPS, à un identifiant (ID publicitaire etc.), à l'adresse réseau, etc |
| L'adresse réseau est toujours associée aux cookies | L'adresse du réseau contient un lien avec une personne |
| Analogie entre les cookies et les données de trafic et les adresses IP | Les données de trafic sont personnelles, les adresses IP sont même personnelles |
Lorsque les cookies ont un lien avec des personnes en fonction de la valeur attribuée, à mon avis, la question du lien avec des personnes ne se pose plus.
La réalité que Cookies sont déposés sur l'appareil d'un utilisateur, qui est associé à une personne, montre en outre le lien avec la personne des cookies.
La réalité que l'adresse réseau personnelle potentiellement toujours personne est également accessible lorsqu'un cookie est déposé ou lu, montre encore une fois le lien avec la personne des cookies.
La circonstance que la directive ePrivacy déclare les cookies, quel que soit leur contenu, comme nécessitant une autorisation (cf. également arrêt du Tribunal de l'Union européenne sur Planet49), pourrait être un indicateur du lien avec une personne des cookies. J'ai cependant été mis en garde contre le fait que la directive ePrivacy se concentre principalement sur la protection d'un terminal utilisé par un utilisateur. Le terminal d'un utilisateur est manifestement lié à une personne, car il lui appartient. La directive ePrivacy protège notamment la vie privée. La vie privée est directement liée à une personnalisation, je pense. Cela ressort clairement de Rn. 24 de la directive. Dans Rn. 25, on fait cependant référence à l'utilisation d'un terminal par plusieurs utilisateurs.
Même la connaissance des données de trafic d'un utilisateur sans connaissance de son adresse IP suffit à identifier avec plus de 90 % de probabilité une personne unique.
L'arrêt du TJUE selon lequel même les adresses IP dynamiques sont des données personnelles est un indicateur de la personnalité des cookies. Car l'arrêt établit le lien avec une personne très tôt. Presque personne ne parvient à identifier une personne en fonction d'une adresse IP. Cependant, selon le TJUE, cela n'a pas d'importance. Le BGH a récemment clarifié (arrêt du 15 juin 2021, Az. VI ZR 576/19), que le terme de données personnelles ou liées à une personne est “très large”. Le BGH écrit: le terme des données personnelles “… comprend potentiellement toutes les formes d'informations, tant objectives que subjectives en forme de déclarations ou d'évaluations, sous la condition qu'il s'agit d'informations sur la personne en question. La dernière condition est remplie si l'information est liée à une personne en raison de son contenu, de sa finalité ou de ses effets …”.
Les cookies sont des données personnelles.
Ma conclusion, que je souhaiterais discuter.
Je suis donc d'avis que les cookies doivent toujours être considérés comme des données personnelles. Évidemment, je suis ouvert à des arguments contraires et prêt à réviser mon opinion ou la corriger en partie si des raisons objectives s'y opposent.
Avant l'entrée en vigueur du TTDSG, les autorités de contrôle allemandes pouvaient selon § 15 Abs. 1 TMG infliger des amendes pour cookies illégalement utilisés, et cela dans le pire des cas juridiquement clarifier.
Malheureusement, les autorités allemandes semblent ne pas être prêtes à cela sur une large échelle. Qu'est-ce qui se cache probablement derrière ? Ce n'est plus la complexité du sujet. Beaucoup de choses devraient maintenant enfin être connues et claires ou, si nécessaire, soumises à un examen judiciaire.
Références à l'empreintage
Fingerprinting est une possibilité de relier les données de trafic à un système d'un utilisateur pour le distinguer avec précision des autres utilisateurs. Lors du Fingerprinting, il n'est même pas nécessaire qu'il y ait un véritable donnée personnelle. En effet, la somme des caractéristiques connues d'un système utilisateur fournit une excellente possibilité de reconstitution d'un individu. Ainsi, le (numérique) empreinte digitale d'un utilisateur est un donnée personnelle, donc personnelle.
Comparez avec les sources suivantes:
- aepd (Spanische Datenschutzbehörde): Survey on Device Fingerprinting (ohne Datum, spätestens Jahr 2018): https://www.aepd.es/sites/default/files/2019-09/estudio-fingerprinting-huella-digital-EN.pdf
- Henning Tillmann: Diplomarbeit: Browser Fingerprinting: Tracking ohne Spuren zu hinterlassen (20.10.2013): http://bfp.henning-tillmann.de/downloads/Henning%20Tillmann%20-%20Browser%20Fingerprinting.pdf ; siehe auch online Demo: https://www.henning-tillmann.de/2013/10/browser-fingerprinting-93-der-nutzer-hinterlassen-eindeutige-spuren/
- Electronic Frontier Foundation, Peter Eckersley: How Unique Is Your Web Browser: https://panopticlick.eff.org/static/browser-uniqueness.pdf . Online Test: https://panopticlick.eff.org/
- Brevet Google sur le dispositif de fingerprinting
- Un autre brevet Google sur le dispositif de fingerprinting
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
