AccueilActualités informatiqueNouvelle loi sur la protection des données : La rédemption de l'inondation...

Nouvelle loi sur la protection des données : La rédemption de l’inondation de la bannière de biscuits est-elle proche ? |

En décembre, la loi sur la protection des données dans les télécommunications et les télémédias (TTDSG) est entrée en vigueur en Allemagne. Pour la première fois, il existe des exigences légales pour les services avec lesquels les consommateurs peuvent gérer leur consentement à la mise en place de cookies par les opérateurs de sites web et le traitement des données associé. Les systèmes de gestion des informations personnelles (PIMS) ou les solutions d’authentification unique entrent en ligne de compte. Certains observateurs espèrent que cela permettra de « soulager » le flot actuel de bannières de biscuits. Les experts sont largement plus sceptiques.

Sommaire

Les effets du TTDSG dépendent entièrement de la manière dont il est interprété, a expliqué Florian Glatzner de la Fédération des organisations allemandes de consommateurs (vzbv), mercredi, lors de la Journée des données de la Fondation pour la protection des données à Berlin. Si les objections générales au suivi publicitaire, par exemple, étaient reconnues, les consommateurs pourraient largement pousser un soupir de soulagement. Dans ce cas, cependant, le secteur de la publicité et les opérateurs de portails tels que les éditeurs devraient également accepter une telle annonce techniquement exprimée. Ils ne seraient de toute façon pas autorisés à continuer à bombarder les utilisateurs de bannières de cookies.

Selon le TTDSG, la procédure de reconnaissance de PIMS Co. doit encore être définie par le gouvernement fédéral par le biais d’une ordonnance légale avec le consentement du Bundestag et du Bundesrat. Des mesures techniques et organisationnelles détaillées doivent également y être prises.

M. Glatzner a plaidé ici, conformément à une déclaration de la vzbv, pour que le cadre comprenne autant de services différents que possible. L’utilisateur doit pouvoir décider lui-même s’il fait confiance au modèle de Max Schrems basé sur un protocole avancé de protection des données ou à une solution commerciale de connexion.

Le militant de la protection des consommateurs a souligné que le TTDSG ne fait que mettre en œuvre la directive sur la vie privée dans les communications électroniques, déjà dépassée. Le règlement sur la protection de la vie privée en ligne, plus ambitieux, est toujours en attente. En l’occurrence, le Conseil des ministres avait supprimé la clause prévoyant des paramètres par défaut favorables à la protection des données dans le navigateur, alors que le Parlement européen faisait pression pour qu’une telle possibilité  » signale  » les décisions. Il faut maintenant attendre le compromis final, tout comme la loi sur la gouvernance des données prévue parallèlement à ses exigences pour les fiduciaires.

Le consentement étant déjà « majoritairement obligatoire » en raison du règlement général sur la protection des données (RGPD), les PIMS apportent peu de valeur ajoutée, selon Michael Neuber, de la zone d’accueil chez Google. Il a donc préconisé la création d’un « environnement de confiance » pour le traitement des données initialement personnelles au moyen de paramètres techniques par défaut tels qu’une pseudonymisation étendue. Une « solution à l’échelle de l’industrie est importante pour assurer la traçabilité de HTTP néanmoins ».

Dans ce cas, l’avocat a plaidé en faveur de l’approche Privacy Sandbox de Google pour développer des techniques respectueuses de la vie privée au-delà des cookies tiers qui ne proviennent pas directement de l’opérateur réel du site web et sont utilisés pour un suivi global. Jusqu’à présent, 30 propositions ont été présentées dans ce cadre, comme la controversée FLoC pour le suivi des utilisateurs dans le cadre de l’apprentissage fédéré. Dans le navigateur maison Chrome, il n’existe déjà aucune option permettant de lire l' »empreinte digitale » de l’utilisateur et de l’utiliser pour créer des profils.

Dans le cas de PIMS, M. Neuber a également averti que les signaux du système de gestion vers le navigateur ainsi que la communication avec d’autres sites web et serveurs doivent être sécurisés. Il n’existe pas encore de norme en la matière. Jusqu’à présent, il n’est guère possible de préciser si un signal de consentement a été « obtenu par des humains » et s’il « est valide et intègre ». Dans le cas de la norme « Do not Track » basée sur les navigateurs, d’autres acteurs, tels que les fournisseurs et les fabricants de routeurs, avaient eux-mêmes effectué les réglages par défaut au fil du temps, ce qui ne devrait pas se reproduire.

Google pourrait ne plus être dépendant des cookies, a déclaré Bernd Nauen, directeur général de l’association centrale de l’industrie publicitaire allemande (ZAW). La société a d’autres options pour remplir son magasin de données. Pour beaucoup d’autres entreprises, cependant, il s’agit d’une « technologie très importante » pour se financer en fonction des données et être en mesure de faire évoluer leur activité sur le net. Si Google veut prendre une autre direction, c’est « merveilleux ». Toutefois, une limite est atteinte « lorsque les positions légitimes des autres sont réduites ».

M. Nauen a qualifié d' »aberration » l’appel lancé par le Parlement européen, par exemple, en vue d’interdire la publicité ciblée sur l' »espionnage ». Cela ne ferait qu’entraîner un déluge de publicités « non pertinentes » et davantage de contenu payant, ce qui ne plairait pas au grand public. La publicité contextuelle sans suivi n’est pas une alternative sérieuse, a-t-il déclaré. Selon l’initié, de nombreux membres de l’association sont également peu susceptibles de reconnaître le protocole proposé par Schrems « comme le gestionnaire de consentement qu’ils avaient en tête jusqu’à présent ».

En principe, l’industrie travaille sur le PIMS. Il faut toutefois veiller à ce que ceux-ci « ne tendent pas seulement vers la convivialité ». En outre, les fournisseurs de ces programmes ne doivent pas devenir de nouveaux gardiens.

Malte Engeler, juge à la Cour administrative du Schleswig-Holstein, a souligné les « problèmes fondamentaux » du modèle de consentement lui-même. Les obstacles pour cela sont trop faibles, a-t-il dit, et après cela, tout est permis jusqu’au point de violer l’essence des droits fondamentaux. Même les « modèles économiques toxiques » comme ceux de Facebook pourraient être justifiés. En outre, l’inégalité s’enracine dans le numérique, car les sections les plus pauvres de la population, en particulier, sont de plus en plus suivies. Pour l’avocat, il appartient donc au législateur d' »accorder une protection juridique collective » et d’interdire le consentement pour certains domaines tels que la publicité personnelle. Il est en faveur d’une « réglementation claire, stricte et sévère », par exemple dans le cadre du règlement sur la protection de la vie privée, afin que l’acceptation du profilage ne soit plus possible. C’est le seul moyen d’éviter de « devoir se préoccuper des bannières de cookies partout ».

Un collègue d’Enler du tribunal administratif de Regensburg, Kristin Benedikt, a qualifié le consentement de surfait. Le GDPR et le TTDSG prévoient de nombreux cas dans lesquels une autre base juridique s’applique au traitement des données. Entre-temps, la loi prévoit également que les utilisateurs peuvent payer des services avec leurs données. Le PIMS offre « d’excellentes solutions pour résoudre de nombreux scénarios ». Les tribunaux civils pourraient alors examiner si les entreprises ont « arnaqué les utilisateurs » avec leurs modèles commerciaux ou « résolu les problèmes proprement via les CGV ».

Entre-temps, le ministère fédéral de l’économie avait d’abord formé des groupes d’experts et commandé une expertise sur le PIMS, a expliqué Rolf Bender, du département en charge. Le besoin de consultation est encore important. L’objectif est de présenter un premier projet de règlement au cours du premier trimestre de 2022. Comme cette décision doit être notifiée à la Commission européenne, une décision du Cabinet fédéral est attendue à l’automne. Les règles pourraient alors entrer en vigueur à la fin de 2022.

Plus d'articles