De nombreux outils ne peuvent être utilisés qu'après l'obtention du consentement de l'utilisateur. L'aperçu suivant montre quels sont les outils les plus connus pour lesquels un consentement est nécessaire.
Toujours, on se pose la question de savoir si un outil particulier, comme par exemple Google Maps, peut être utilisé simplement sur une page web.
Il existe essentiellement trois bases juridiques qui permettent de décider si un consentement doit être demandé:
- Les données à caractère personnel sont-elles traitées sans intérêt légitime ?
- Les données personnelles sont-elles transférées vers des pays tiers non sûrs comme les États-Unis ?
- Les cookies qui ne sont pas nécessaires sont-ils utilisés par le service ou le service n'est-il pas fonctionnellement nécessaire ?
Le traitement mentionné au point 1 est, dans la plupart des cas, assimilable à un transfert de données. Un intérêt légitime ne peut notamment pas être supposé lorsque le transfert de données pouvait être évité. Un transfert de données est clairement évitable, par exemple lors de la consultation de polices de caractères externes.
Depuis que l'adresse IP est un donnée personnelle, chaque appel d'un fichier (image, script, vidéo, police de caractères etc.) depuis une adresse externe constitue un événement relevant du droit à la protection des données.
Pays tiers non sûrs dans le jeu, on ne peut même pas répondre avec certitude à une requête WHOIS. Puisque cependant, celui qui est responsable d'un site web doit prouver qu'il n'entre pas en communication avec des pays tiers non sûrs, il faut faire de la pire hypothèse.
Dès que des cookies non fonctionnels (ou leurs valeurs) pourraient être transmis, la directive ePrivacy s'applique. Elle impose un consentement, quels que soient les données personnelles stockées dans le cookie ou non. La directive ePrivacy s'applique également à l'Allemagne, comme l'a décidé le Cour fédérale. C'est-à-dire que la nature des données est sans importance pour l'exigence de consentement, ce qui a été décidé par le Jugement dans l'affaire Planet49. ([1])
L'aperçu montre quels outils nécessitent un consentement pour une utilisation conforme à la loi et de quoi on peut notamment déduire ce consentement. Pour certains outils, il existe des articles spécifiques qui fournissent encore plus d'informations. Ces outils sont accompagnés d'un lien dans le tableau.
| Outil | Consentement nécessaire ? |
|---|---|
| Google Analytics | Oui, voir Configurations de Google Analytics (ePrivacy et art. 5 et 6 RGPD) |
| Google Maps | Oui, parce que des cookies sont en jeu (ePrivacy) |
| Google Schriften | Oui, parce que le transfert de données peut être évité et parce que les données sont potentiellement réparties dans le monde entier (articles 5 et 6 du RGPD et autres) |
| Google reCAPTCHA | Oui, parce que des cookies sont en jeu (ePrivacy) |
| Fast Fonts (Fonts.com) | Oui, parce qu'un pixel de suivi doit être intégré et parce que le fournisseur est situé aux États-Unis (art. 6 et 44 et suivants du RGPD) |
| Google Tag Manager | Oui, parce que des cookies sont en jeu (même si beaucoup ne veulent pas le croire. Ma contribution au Tag Manager le prouve) et parce que le transfert de données avant le consentement peut être évité (ePrivacy et art. 5 et 6 RGPD) |
| Images externes | Oui, parce que le transfert de données peut être facilement évité (art. 5 RGPD) |
| SoundCloud Audio Player | Oui, parce que des cookies sont en jeu (ePrivacy) |
| YouTube Video | Oui, parce qu'il y a soit des cookies en jeu, soit un tracking extensif sans cookies (ePrivacy et art. 6 RGPD) |
| Vimeo Videos | Oui, parce que des transferts de données évitables ont lieu et parce que le fournisseur se trouve aux États-Unis (art. 6 et 44 et suivants du RGPD) |
| OneTrust | Oui, car le fournisseur de cet outil de consentement est basé aux États-Unis (art. 44 et suivants du RGPD). |
| Cloudflare Dateien | Oui, parce que l'exploitant de ce réseau de diffusion de contenu ne prend pas la protection des données au sérieux et parce que le transfert de données peut être évité ou parce qu'il existe des centres informatiques respectueux de la protection des données (art. 6 et 44 et suivants du RGPD) |
| Font Awesome | Oui, parce qu'il y a un transfert de données qui peut être évité et parce que le fournisseur se trouve aux États-Unis (art. 5 et 6 ainsi que 44 et suivants du RGPD) |
| Facebook Pixel | Oui, parce que … tout s'y oppose du point de vue de la protection des données. Il en va de même pour les plugins Facebook, les plugins Twitter. Plugins Pinterest, etc. Concrètement: pour le tracking, c'est le principe du consentement qui s'applique (art. 5 et 6 RGPD). En cas d'utilisation de cookies, la directive ePrivacy continue de s'appliquer. |
Qui réfléchit à une solution d'agrément devrait lire ma vaste étude sur les outils de consentement. D'après laquelle, ils sont tous inutilisables en pratique, car ils laissent des sites Web illégaux. Tout cela j'ai appelé Cookiegeddon, parce que le résultat est si honteux.
Qui que ce soit qui devrait encore utiliser un outil de consentement, aura beaucoup de travail. Ma liste de contrôle pour les demandes d'approbation révèle pourquoi.
Il vaut mieux procéder comme suit:
- Enlever les outils inutiles. C'est parfois aussi simple que ça (qui se met en colère maintenant devrait sérieusement réfléchir à l'utilité de certains outils, par exemple Google Maps ou Google Analytics)
- utiliser des alternatives, voir aussi mes articles sur les outils dans le tableau (exemple: les polices Google peuvent être intégrées localement, les vidéos peuvent être remplacées par une copie locale ou une image d'aperçu avec un lien externe)
Chez tous les abonnés de mes newsletters, je fais parfois des dons de vérifications gratuites de sites web. Si vous souhaitez une première évaluation, écrivez-moi brièvement. Je vous donnerai un retour rapide et utile sur votre site web.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.