"Do-Not-Track" n’est pas mort

von Olaf Brandt

Fin août, le tribunal de grande instance de Berlin a rendu son jugement :

"condamner la défenderesse [LinkedIn] à […] s’abstenir d’informer […] les consommateurs qu’un signal […] préréglé et envoyé dans le navigateur du consommateur ("signal Do Not Track"), n’est pas considéré comme une opposition effective à un tel traitement de données […]".

( Voir https://www.vzbv.de/sites/default/files/2023-10/23-10-10_Stn_vzbv_HKNRV_Gas_W%C3%A4rme_und_K%C3%A4lte_final_0.pdf, p. 1 et s.)

Do Not Track (en abrégé : DNT ; anglais pour "ne pas suivre") doit donc être compris comme une opposition conformément à l’article 21, paragraphe 5 du RGPD :

"Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE, la personne concernée peut exercer son droit d’opposition par des procédés automatisés utilisant des spécifications techniques".

Cela est vrai même si l’en-tête DNT n’est jamais parvenu à la norme W3C (W3C signifie World Wide Web Consortium) et ne peut plus être activé que dans quelques navigateurs (comme Firefox).

Cependant, pour la plupart des sites, ce n’est pas vraiment un problème, car

• soit ils utilisent des services nécessitant un consentement préalable, comme Google Analytics, et ne peuvent de toute façon pas traiter les données sans le consentement explicite de l’utilisateur
• soit ils utilisent des services respectueux de la vie privée et ne nécessitant pas de consentement par défaut, tels que etracker Analytics, qui respectent fondamentalement le DNT grâce à un traitement respectueux de la vie privée.

Selon le W3C, qui est à l’origine de la spécification de l’en-tête DNT, le signal sert à refuser le suivi dans le sens de :

"Le tracking est la collecte de données sur les activités d’un utilisateur donné dans différents contextes et le stockage, l’utilisation ou la divulgation de données dérivées de ces activités en dehors du contexte dans lequel elles ont eu lieu. Un contexte est un ensemble de ressources contrôlées par la même partie ou contrôlées conjointement par plusieurs parties".

(Tracking Preference Expression (DNT) voir https://www.w3.org/TR/tracking-dnt/ ; traduit par deepL)

En cas d’utilisation d’etracker Analytics, les données sont uniquement mises à la disposition de l’exploitant du site Web dans le cadre de son propre contexte et ne sont pas regroupées à d’autres fins ou avec d’autres données concernant l’ensemble du site Web. Dans cette mesure, il n’est pas nécessaire d’adapter spécialement le traitement des données avec etracker Analytics si les utilisateurs ont activé les en-têtes DNT par le biais des paramètres de leur navigateur, étant donné que le type de traitement des données refusé n’a de toute façon pas lieu en principe.

Ce n’est qu’en cas d’utilisation de solutions telles que Google Analytics que la collecte de données devrait être interrompue ou adaptée pour les en-têtes DNT, étant donné que le profilage intersites, la fusion hors contexte et l’utilisation à des fins propres à Google ont lieu en standard.

L’éditeur du navigateur Mozilla formule les choses de manière similaire dans ses informations sur la "fonction de non-suivi" :

"La plupart des grands sites web suivent le comportement de leurs visiteurs et vendent ensuite ces données ou les partagent avec d’autres entreprises. Ces données peuvent être utilisées pour vous proposer des publicités, des produits ou des services adaptés à vos besoins. Firefox dispose d’une fonction appelée Do Not Track (Ne pas suivre) qui vous permet d’indiquer à n’importe quel site web, à ses annonceurs et à d’autres fournisseurs de contenu que vous ne souhaitez pas que votre comportement de navigation soit enregistré".

(Voir : https://support.mozilla.org/de/kb/wie-verhindere-ich-dass-websites-mich-verfolgen)

Cela correspond également à la définition d’Apple, qui n’utilise pas non plus le terme "tracking" comme un terme générique, mais seulement pour une forme spécifique de traitement des données :

"‘Tracking’ fait référence à l’association de données collectées par votre application sur un utilisateur final ou un appareil spécifique, telles qu’un identifiant d’utilisateur, un identifiant d’appareil ou un profil, avec des données de tiers à des fins de publicité ciblée ou de mesure publicitaire, ou au partage de données collectées par votre application sur un utilisateur final ou un appareil spécifique avec un courtier en données".

(Voir https://developer.apple.com/app-store/app-privacy-details/#user -tracking)

De même, le nouveau signal de navigateur de Global Privacy Control (GPC) ne s’oppose pas non plus aux analyses Web respectueuses de la vie privée, mais s’oppose explicitement à la vente de données (voir https://globalprivacycontrol.org/).

Dans ce sens, même après le récent jugement sur le DNT :

Les paramètres d’interdiction de suivi doivent être pris en compte lorsque les données sont collectées sur plusieurs sites ou mises à la disposition de tiers.

etracker Analytics traite les données exclusivement pour le compte de l’exploitant du site Web concerné. Il n’est donc pas nécessaire d’empêcher la collecte des données lors de la transmission du signal Do Not Track.

---

Cet article ne constitue pas un conseil juridique et ne peut pas remplacer un conseil juridique individuel. Nous travaillons en étroite collaboration avec des avocats spécialisés dans la protection des données et nous vous mettons volontiers en contact direct avec eux pour des conseils personnalisés.