AccueilActualités informatiqueLes autorités de surveillance de la protection des données donnent des conseils...

Les autorités de surveillance de la protection des données donnent des conseils pratiques sur les bannières de cookies

Trois semaines seulement après l’entrée en vigueur de la « loi[es] sur la réglementation de la protection des données et de la vie privée dans les télécommunications et les télémédias (TTDSG), la « Conférence des autorités indépendantes de surveillance de la protection des données de l’État fédéral et des Länder », en abrégé Conférence sur la protection des données (CPD), a publié un « guide d’orientation » de 33 pages. […] pour les fournisseurs de télémédias à partir du 1er décembre 2021″. Elle remplace une version antérieure d’une orientation sur les télémédias datant de 2019.

Le terme d’aide à l’orientation doit être pris au pied de la lettre. Pour tous les exploitants d' »équipements terminaux au sens de l’article 25 de la TTDSG », elle constitue un guide précieux sur la manière dont les nouvelles dispositions de la TTDSG doivent être mises en œuvre dans la pratique. Avec elles, les autorités allemandes de protection des données définissent également les critères qu’elles appliquent lorsqu’elles vérifient le respect des dispositions légales. Toutefois, en fin de compte, seuls les tribunaux sont chargés d’interpréter les dispositions du TTDSG. Ils devraient toutefois s’inspirer des recommandations de la DSK.

Sommaire

Les plus hauts responsables de la protection des données émettent eux-mêmes une réserve dans leur introduction : « Les présentes orientations sont expressément soumises à la réserve d’une compréhension future – éventuellement divergente – des dispositions pertinentes par le Comité européen de la protection des données (CEPD), par la jurisprudence européenne pertinente ainsi que par des modifications du cadre juridique européen ». Le thème des « bannières de cookies Co. » reste donc au centre de l’attention et, dans le détail, des modifications de l’avis des autorités de protection des données peuvent également survenir à l’avenir.

L’orientation se concentre sur la protection de la vie privée dans les équipements terminaux conformément au § 25 de la TTDSG. Selon l’article 2, paragraphe 2, n° 6 de la TTDSG, on entend par « équipement terminal » tout dispositif connecté directement ou indirectement à l’interface d’un réseau public de télécommunications et destiné à l’émission, au traitement ou à la réception de messages.

Cette disposition est considérée à juste titre comme « la norme centrale de la TTDSG ». « La disposition est formulée de manière techniquement neutre à cet égard, de sorte qu’elle couvre toutes les techniques et procédures au moyen desquelles le stockage et la lecture d’informations peuvent être effectués ». Cela signifie d’une part qu’il ne s’agit pas exclusivement de données à caractère personnel et donc de la protection des données au sens strict, mais que toutes les informations qui sont stockées sur un terminal ou auxquelles on accède à partir de celui-ci sont plutôt concernées par la réglementation.

D’autre part, cela précise que l’article 25 de la TTDSG ne s’applique pas uniquement aux cookies. Il couvre également les objets de stockage web, les fonctions de mise à jour automatique, « l’accès aux identifiants des appareils matériels, aux numéros d’identification des publicités, aux numéros de téléphone, aux numéros de série des cartes SIM (IMSI), aux contacts, aux listes d’appels, aux balises Bluetooth ou à la communication par SMS » ainsi que la lecture des adresses MAC, etc.

Selon la note d’orientation, le consentement de l’utilisateur n’est pas requis lors de l’utilisation de navigateurs Internet pour l’adresse IP publique de l’équipement terminal, l’adresse du site web consulté (URL), la chaîne de l’agent utilisateur avec la version du navigateur et du système d’exploitation et la langue choisie. Or, la lecture des caractéristiques d’un équipement terminal ou la création d’une empreinte digitale nécessitent déjà un consentement.

La CCPD précise en outre que les bannières de cookies ne sont appropriées pour combiner plusieurs consentements que si des informations sont fournies sur toutes les finalités du traitement des données. Si les informations recueillies par exemple par le biais de cookies doivent être traitées ultérieurement, le consentement doit impérativement couvrir ces « traitements ultérieurs ».

La CCPD énumère comme suit les exigences auxquelles doit répondre le consentement au traitement des informations conformément à l’article 25 de la TTDSG : « consentement de l’utilisateur final de l’équipement terminal, moment du consentement, caractère informé du consentement, acte de confirmation non équivoque et sans équivoque se rapportant à un cas précis, caractère volontaire de la manifestation de volonté, possibilité de retirer le consentement, qui doit être aussi simple que son octroi ». La CPD met particulièrement l’accent sur les détails concernant la manière dont l’utilisateur doit donner son consentement de manière effective. Il doit y avoir une action active, le silence ne suffit pas. Cela vaut également pour le simple fait de faire défiler une page web ou de surfer sur celle-ci, ainsi que pour le fait de cliquer sur un contenu.

Lors de l’examen des consentements sur la base de la TTDSG, la DSK estime que « la manière dont les boutons de consentement et les autres options d’action sont étiquetés et conçus, ainsi que les informations supplémentaires fournies, sont importantes ». Dans ce contexte, la déclaration suivante est cohérente : « En outre, les utilisateurs finaux peuvent légitimement s’attendre à pouvoir rester inactifs s’ils ne souhaitent pas donner leur consentement ».

La CCPD évalue de manière critique les cas où deux possibilités d’action sont offertes à l’utilisateur. titre d’exemple, elle décrit le cas fréquent où l’utilisateur se voit proposer un bouton « Tout accepter » et, en outre, des options telles que « Paramètres », « Informations complémentaires » ou « Détails ». La CCPD considère que cette situation n’est pas conforme à la loi, car l' »effet de communication » des deux options n’est pas équivalent.

Le caractère volontaire du consentement revêt également une grande importance. Celui-ci n’existe que si aucune contrainte n’est exercée sur l’utilisateur. « Il faut partir du principe qu’une telle contrainte existe lorsqu’une bannière ou un autre élément graphique destiné à demander le consentement masque l’accès à la page web dans son ensemble ou à une partie de son contenu et que la bannière ne peut pas être simplement fermée sans décision ».

La CCPD prend également position sur l’utilisation des plateformes de gestion du consentement : « Les exploitants de sites web disposent de nombreuses possibilités de configuration, de sorte que le seul recours à la CMP ne permet en aucun cas de recueillir automatiquement des consentements conformes à la loi. La responsabilité de l’efficacité des consentements recueillis reste du ressort des fournisseurs respectifs de l’offre de télémédias ».

Le guide d’orientation aborde en outre les exceptions à l’exigence d’un consentement de l’utilisateur, comme c’est le cas pour la « mise à disposition d’un service de télémédias ». Le fait qu’un service de télémédias soit expressément souhaité par l’utilisateur ne peut être établi que sur la base d’une « attitude intérieure et personnelle ». Des critères stricts s’appliquent également à l’exigence de « nécessité absolue ».

Dans ce sens, seul peut être nécessaire ce qui se rapporte à la « fonctionnalité du service de télémédias ». Les critères déterminants du point de vue de la DSK pour déterminer si ces deux conditions sont respectées au cas par cas sont résumés dans le guide d’orientation sous forme de liste de contrôle.

Dans cette note d’orientation, la CCPD s’exprime également sur la relation entre la TTDSG et le RGPD : « L’article 25 de la TTDSG vise – contrairement aux dispositions du RGPD – à protéger la vie privée et la confidentialité lors de l’utilisation d’équipements terminaux ». Les règles du RGPD s’appliquent alors au traitement ultérieur des données à caractère personnel obtenues via ces équipements terminaux. Cela est finalement cohérent, car la TTDSG couvre toutes les « informations, indépendamment de leur référence personnelle » et a donc une portée plus large que le RGPD.

Dès lors que les exploitants de sites web ne se contentent pas de placer des cookies nécessaires d’un point de vue technique ou de collecter d’une autre manière des informations sur l’équipement terminal d’un utilisateur final, l’article 25 TTDSG s’applique depuis peu. Les dispositions relatives aux cookies, à la récupération des adresses MAC et, en fin de compte, à toutes les informations relatives à l’équipement terminal d’un utilisateur sont soumises à de nouvelles dispositions légales. Les plus hauts responsables de la protection des données ont décrit dans une note d’orientation la manière dont elles doivent être interprétées. Ceux qui en tiennent compte devraient être à l’abri de tout désagrément juridique à ce niveau.

Il devient rapidement évident, au plus tard à la lecture de l’aide à l’orientation, qu’il s’agit de directives parfois étonnamment strictes. Une chose est sûre : les bannières de cookies, considérées comme gênantes par la plupart des internautes, ne disparaîtront pas de sitôt. Au contraire : les directives ont été précisées, ce qui constitue à son tour une base pour des avertissements, des ordonnances d’interdiction et autres.

Plus d'articles