Attendre sereinement le nouveau règlement sur l’administration des consentements

von Olaf Brandt

Le 20 décembre 2024, la nouvelle ordonnance sur la gestion du consentement (Einwigungsverwaltungsverordnung – EinwV) a été adoptée et devrait entrer en vigueur le 1er avril 2025. Cependant, dans les milieux spécialisés, il est déjà qualifié de “tuyau” et est considéré comme voué à l’échec avant même son entrée en vigueur.

Pendant longtemps, l’idée a été discutée sous le terme de “système de gestion des informations personnelles (PIMS)”. Le règlement actuel est basé sur l’article 26, paragraphe 2 de la TDDDG et vise à permettre la gestion centralisée des consentements à travers les sites et les appareils.

L’objectif initial était de rendre les bannières individuelles de cookies ou de consentement superflues en utilisant des “services reconnus de gestion du consentement”. Mais le RGPD n’y parviendra pas, car

• La gestion du consentement par les opérateurs de sites Web est déclarée facultative. Les sites Web peuvent prendre en charge ces services, mais ce n’est pas obligatoire. Pourquoi devraient-ils donc faire l’effort d’intégration s’ils n’en tirent aucun avantage ? Cela ne changerait que si ces services atteignaient une masse critique d’utilisateurs, ce qui est plus que douteux.

• des “paramètres par défaut généraux concernant les demandes de consentement possibles du fournisseur de services numériques” (BT-Drs. 20/12718, p. 22) ne sont pas prévus. Les utilisateurs devraient donc continuer à donner leur consentement pour chaque site web. Les utilisateurs n’auraient simplement pas à faire l’expérience de dialogues différents avec des configurations différentes. Bien entendu, les dark patterns seraient également exclus.

• l’ordonnance sur les importations doit uniquement les consentements conformément à l’article 25, paragraphe 2, de la TDDDG réglementer les données personnelles. Dans la pratique, des consentements sont également presque toujours requis en vertu du RGPD pour le traitement des données à caractère personnel. La seule exception est etracker analytics, où, dans la norme, seule l’utilisation de cookies analytiques nécessite un consentement, mais où le traitement des données repose sur l’intérêt légitime prépondérant. En revanche, pour les services de marketing tels que Google, Meta, TikTok, les consentements doivent couvrir à la fois les cookies et le traitement des données. Dans ces cas, les services de gestion des consentements ne feraient donc que la moitié du travail. Les utilisateurs auraient plutôt l’inconvénient de devoir interagir avec deux dialogues de consentement distincts par site web.
• les exigences de certification strictes ne motiveront guère les fournisseurs à se lancer dans le développement d’un tel service. L’interopérabilité requise rend également l’engagement plus difficile. Il n’est pas certain qu’un premier entrant puisse bénéficier d’avantages durables.

Actuellement, les propriétaires de sites web ne peuvent pas encore se préparer à l’introduction d’un service de gestion des consentements. Compte tenu de ce qui précède, il est logique d’attendre. En revanche, il est judicieux et recommandé de commencer dès maintenant,

• de se positionner indépendamment du consentement lors du tracking ou d’utiliser des services d’analyse web sans consentement comme etracker analytics et
• d’unifier la gestion du consentement et des balises grâce à une solution intégrée qui augmente l’efficacité et évite les erreurs dues aux réglages dans différents outils, comme le permet le gestionnaire de balises et de consentement etracker.