Ce que vous devez savoir sur les nouvelles orientations des autorités de contrôle pour les sites web et les applications

von Olaf Brandt

Le 15 novembre 2024, la Conférence des autorités indépendantes de contrôle de la protection des données de l’État fédéral et des Länder a adopté la nouvelle version de la note d’orientation des autorités de contrôle pour les fournisseurs de services numériques (OH Digitale Dienste).

La première chose qui saute aux yeux est que le terme archaïque de “télémédias” a finalement disparu.

La révision tient compte des nouvelles dispositions de la loi sur les services numériques (DDG) et de la loi sur la protection des données des services numériques de télécommunication (TDDDG), ainsi que du nouveau cadre de protection des données de l’UE et des États-Unis.

Le guide d’orientation pour les fournisseurs de services numériques, c’est-à-dire de sites web et d’applications, est ainsi à jour sur le plan juridique.

Mais apporte-t-elle des éclaircissements sur les questions les plus importantes concernant le tracking conforme à la législation ? Malheureusement, ce n’est que partiellement le cas.

Voici ce que dit la nouvelle note d’orientation sur les questions clés du suivi :

1. comment les dialogues de consentement doivent-ils être conçus en ce qui concerne les fonctions de consentement et de refus ?

Même si la plupart des sites s’y prennent encore mal, les exigences sont désormais très claires :

• La possibilité de refuser le consentement doit
  • clairement et sans ambiguïté,
  • facilement perceptible et sans ambiguïté, la taille, la couleur, le contraste et la police des boutons étant comparables à ceux du consentement ; et
  • être possible au même niveau que le consentement
• Il doit être possible d’obtenir un consentement granulaire à des fins spécifiques ou de le refuser.
• La possibilité de retirer le consentement doit être aussi simple que celle de l’accorder.

Une mise en œuvre efficace des exigences en matière de consentement (boutons équivalents et sélection de la finalité) peut se faire à un ou deux niveaux.

Exemple de conception conforme sur deux niveaux

Exemple de conception conforme sur un niveau

Pour la possibilité de rétractation, tout aussi simple, il existe également deux options pour la mise en œuvre pratique :

• bouton flottant qui s’affiche sur toutes les pages ou
• Lien dans le pied de page sur toutes les pages,

qui permet d’accéder à nouveau à la boîte de dialogue de consentement.

2. quelles informations les dialogues de consentement doivent-ils contenir ?

Si des cookies nécessitant un consentement sont utilisés, il en résulte généralement un traitement des données nécessitant un consentement. etracker analytics constitue une exception : dans ce cas, seule l’utilisation de cookies statistiques est généralement soumise à une autorisation, mais pas le traitement ultérieur respectueux de la protection des données. En revanche, pour les cookies de Google, Meta, TikTok et autres, tant les cookies que le traitement des données sont soumis à autorisation. Par conséquent, en cas d’utilisation de Google, Meta, TikTok & Co., la boîte de dialogue de consentement doit indiquer que deux consentements sont donnés : pour l’accès à l’équipement terminal et pour le traitement des données à caractère personnel.

Des informations doivent être fournies au niveau le plus élevé en ce qui concerne les opérations de traitement nécessitant un consentement :

• “finalités concrètes du traitement,
• lorsque des profils individuels sont créés et enrichis avec des données provenant d’autres sites web pour former des profils d’utilisation complets,
• lorsque les données sont également traitées en dehors de l’EEE, et
• à combien de responsables de traitement les données sont divulguées”.

Il n’est pas clair quelles informations de base concernant l’accès aux terminaux (cookies) doivent être contenues au premier niveau. Les informations doivent au moins être “claires et concises”, mais néanmoins précises et concrètes sur toutes les finalités individuelles dans un langage simple. Les formulations très générales et vagues doivent être évitées, tout comme la mention de certaines finalités seulement.

Au deuxième niveau ou dans des informations détaillées liées, il faut en outre informer sur

• les destinataires des données et les sous-traitants
• la forme d’accès à l’équipement terminal et la durée de fonctionnement des cookies
• qu’une révocation ultérieure n’a plus d’effet sur la légalité de l’accès ou du stockage effectué jusqu’à la révocation

Exemple d’informations de premier niveau :

Nous utilisons des cookies qui sont nécessaires au fonctionnement de notre site web. Avec votre consentement, nous et 10 partenaires utilisons des cookies supplémentaires et traitons des données personnelles pour inclure du contenu tiers, effectuer des tests basés sur des données et fournir des fonctionnalités et une personnalisation avancées (fonctionnelles), déterminer le nombre de visites uniques et le succès des publicités à travers plusieurs points de contact (statistiques) et vous montrer des publicités basées sur vos activités sur ce site ou d’autres sites (marketing). Nos partenaires publicitaires traitent à cet effet des données en dehors de l’Espace économique européen et créent à cet effet un profil de vos intérêts. Vous pouvez à tout moment retirer votre consentement pour l’avenir en cliquant sur l’icône flottante sur chaque page. Vous trouverez des informations détaillées sur ces cookies et le traitement des données en cliquant sur les liens ci-dessous.

Exemple d’informations détaillées sur un acteur accessible au deuxième niveau ou par lien :

YouTube

Description du service

YouTube est une plate-forme vidéo en ligne sur laquelle les utilisateurs peuvent regarder, partager, commenter et télécharger des vidéos.

Objectif

Fonctionnel : nous utilisons le service pour afficher des vidéos.

Entreprise de transformation

Google Ireland Limited

Données traitées

• Informations sur le périphérique
• Adresse IP
• URL de référence
• Vidéos consultées

Limite maximale de stockage des cookies non essentiels

179 jours

Destinataire des données

• Alphabet Inc.
• Google LLC
• Google Ireland Limited

Transfert vers des pays tiers

Pour les transferts de données vers les États-Unis, la société mère du fournisseur a adhéré au cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework), qui garantit le respect du niveau de protection des données européen sur la base d’une décision d’adéquation de la Commission européenne.

Politique de confidentialité de l’entreprise de traitement des données https://www.google.de/policies/privacy/

3. quand peut-on se passer du consentement pour les analyses web ?

Pour l’analyse web, deux bases juridiques entrent en ligne de compte, outre le consentement : la nécessité absolue et l’intérêt légitime. L’intérêt légitime ne peut pas être invoqué pour les cookies analytiques.

La note d’orientation ouvre la possibilité de considérer l’analyse web au sens de la mesure d’audience avec des cookies comme un service de base nécessaire. Toutefois, la formulation est très vague : “Même la simple mesure du nombre de visiteurs ne doit donc pas être considérée en soi comme faisant partie du service de base, mais dépend de l’objectif concrètement poursuivi. La livraison sans erreur du site web peut par exemple être incluse dans le souhait de l’utilisateur, alors que la rentabilité des annonces publicitaires ne sert en général que les intérêts primaires de l’exploitant du site web”. Par conséquent, si l’analyse web sert exclusivement à garantir une conception de site web adaptée aux besoins et sans erreur, même un suivi avec des cookies pourrait être justifié sans consentement.

En cas d’utilisation de l’analyse web également pour le suivi des campagnes et des conversions, cela peut se faire sans cookies sur la base juridique de l’intérêt légitime. Pour ce faire, il convient de s’assurer, conformément à la note d’orientation, que

• aucune caractéristique d’un terminal n’est lue activement – par exemple au moyen d’un code JavaScript – comme ce serait le cas pour la résolution d’écran (voir point 24).
• les informations de navigation transmises, qui peuvent être collectées sans consentement, ne sont pas utilisées pour le fingerprinting (voir paragraphe 25).
• les sous-traitants impliqués ne traitent pas les données à leurs propres fins (comme Google se réserve le droit de le faire lorsqu’il utilise Google Analytics ; voir paragraphe 111).
• seules les données nécessaires à la finalité soient traitées (minimisation des données ou moyens les moins contraignants pour la finalité ; voir paragraphe 108).
• que les prestataires de services puissent justifier d’audits indépendants et ne se limitent pas à des constatations générales (voir paragraphe 110).
• une mise en balance des intérêts démontre que ces intérêts sont réellement prépondérants (voir paragraphe 112).

Le fait que toutes les exigences mentionnées soient remplies avec etracker analytics est une exception absolue dans le domaine du tracking, notamment en ce qui concerne l’utilisation prépondérante d’outils de “pieuvres affamées de données” comme Meta et Google ou d’entreprises de logiciels américaines comme Oracle. Dans cette mesure, il est compréhensible que les autorités de contrôle ne considèrent que rarement que ces conditions sont remplies (voir paragraphe 109).

Vous trouverez ici de plus amples informations sur l’utilisation d’etracker analytics indépendamment du consentement.

Conclusion

La nouvelle note d’orientation (OH Services numériques) précise très clairement les exigences relatives à la conception des dialogues de consentement. En revanche, les exigences en matière de texte et de contenu doivent être recherchées dans divers paragraphes. En revanche, la délimitation des conditions dans lesquelles l’analyse web peut être utilisée comme service de base requis, dans l’intérêt légitime ou uniquement avec le consentement, reste floue. Étant donné que rien n’a changé sur le fond en ce qui concerne les exigences légales respectives, l’expertise indépendante du label ePrivacy ainsi que les nombreux contrôles effectués par les autorités de surveillance sur les sites Web qui utilisent etracker et qui ne présentent aucune objection à cet égard continuent à garantir la sécurité juridique. En outre, l’analyse web respectueuse de la protection des données protège aussi bien la sphère privée des utilisateurs que la base de données des exploitants de sites web et d’applications.