Les éléments de base sont les suivants
etracker
Commencez dès maintenant

etracker analytics – Sans consentement, en accord avec la TTDSG et le RGPD

Actualités
5 min Temps de lecture
Inhalt
Les exigences actuelles des autorités de contrôle 1. sans consentement selon la loi TTDSG (sans cookie) 2. sans consentement conformément au RGPD (intérêt légitime prépondérant)

von Olaf Brandt

Les exigences actuelles des autorités de contrôle

Pour pouvoir utiliser des services d’analyse web conformément à l’orientation actuelle des autorités de surveillance allemandes pour les fournisseurs de télémédias sans obligation de consentement, il est nécessaire, conformément à la TTDSG et au RGPD, de se passer de cookies analytiques et de garantir un traitement respectueux de la vie privée dans l’intérêt légitime prépondérant de l’exploitant du site web.

1. sans consentement selon la loi TTDSG (sans cookie)

La loi sur la protection des données dans le domaine des télécommunications et des télémédias (TTDSG) contient des dispositions relatives à l’accès aux équipements terminaux de l’utilisateur. Par défaut, etracker analytics utilise exclusivement des cookies fonctionnels ou absolument nécessaires. Il n’y a pas d’accès actif à l’équipement terminal de l’utilisateur. Selon les autorités de surveillance, le traitement des informations du navigateur et de l’en-tête sur lequel se base etracker ne requiert pas de consentement préalable :

"Un accès présuppose une transmission ciblée des informations de navigation qui n’est pas initiée par l’utilisateur final. Si seules des informations, telles que les informations du navigateur ou de l’en-tête, sont traitées et transmises par la force des choses ou en raison des paramètres (du navigateur) de l’équipement terminal lors de la consultation d’un service de télémédias, cela ne doit pas être considéré comme un "accès à des informations déjà stockées dans l’équipement terminal"" .

( Voir https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf, page 8).

Pour le suivi de session, etracker analytics n’enregistre aucune donnée dans le terminal de l’utilisateur, mais attribue les interactions aux visites respectives uniquement du côté du serveur, par le biais de jetons de session hachés de manière sécurisée :

Voici quelques exemples d’informations transmises lors de l’appel d’un service de télémédia :

  • l’adresse IP publique de l’équipement terminal,
  • l’adresse du site web consulté (URL),
  • la chaîne de l’agent utilisateur avec la version du navigateur et du système d’exploitation
    et
  • la langue définie.

Les accès suivants, techniquement nécessaires, aux équipements terminaux peuvent être effectués au sens de l’article 25, paragraphe 2, point 2, du TTDSG :

(a) Si les utilisateurs s’opposent au traitement des données à des fins d’analyse via l’avis de confidentialité sur le site web, leur opposition sera enregistrée dans un cookie (_et_oi_v2). Si ce cookie est activé et a pour contenu "NO", aucune donnée ne sera collectée pour cet utilisateur.

(b) L’exploitant du site web peut à tout moment demander un consentement pour l’installation de cookies à des fins d’analyse par opt-in. Pour ce faire, etracker met à disposition une bannière de consentement ainsi que des appels de fonction qui peuvent être reliés à des plates-formes externes de gestion du consentement. Des instructions correspondantes sont disponibles sur https://www.etracker.com/docs/integration-setup/consent-management-tools/. En cas de consentement, un cookie est installé afin d’indiquer qu’etracker est autorisé à installer des cookies. En cas de révocation du consentement, le cookie est supprimé.

(c) Les mesures de la profondeur de défilement pour le rapport de la carte de défilement sont temporairement enregistrées dans le stockage de session afin que chaque mouvement de défilement n’entraîne pas une transmission de données, mais que les données de la profondeur de défilement soient envoyées à etracker de manière "groupée" toutes les quelques secondes. L’utilisation du stockage de session pour la mesure de la profondeur de défilement est un retard purement technique de la transmission, afin de ne pas affecter négativement l’expérience utilisateur par des temps de chargement plus longs. La mesure de la profondeur de défilement peut également être désactivée ou configurée de manière à ce que le suivi de défilement ne soit effectué qu’après consentement.

FAZIT

Par conséquent, etracker analytics remplit les critères d’absence de consentement conformément à la loi TTDSG.

2. sans consentement conformément au RGPD (intérêt légitime prépondérant)

Le règlement général sur la protection des données (RGPD) régit le traitement des données à caractère personnel. Le reporting dans etracker analytics s’effectue sur la base de données anonymisées et principalement agrégées. Toutefois, l’anonymisation constitue déjà un processus de traitement conformément au RGPD, donc également le raccourcissement automatique par défaut et le plus tôt possible de l’adresse IP dans la mémoire vive du serveur de réception des données.

Deux bases juridiques peuvent être utilisées pour ce traitement (d’anonymisation) : le consentement et l’intérêt légitime prépondérant. Les orientations actuelles confirment que la base juridique du consentement n’est pas préférable à l’intérêt légitime du point de vue de la protection des données, c’est-à-dire qu’elle n’est pas plus favorable à la protection des données :

"Le traitement des données à caractère personnel n’est licite que si au moins une des conditions de l’article 6, paragraphe 1, du RGPD est remplie. Tous les fondements juridiques mentionnés dans cette norme ont le même rang et la même valeur. Pour le traitement des données à caractère personnel par des responsables non publics dans le cadre de la fourniture de téléservices, il est en principe envisageable d’invoquer un consentement conformément à l’article 6, paragraphe 1, point a) du RGPD, des obligations contractuelles conformément à l’article 6, paragraphe 1, point b) du RGPD ou des intérêts légitimes prépondérants conformément à l’article 6, paragraphe 1, point f) du RGPD".

La base juridique de l’intérêt légitime prépondérant impose des exigences élevées au traitement en termes de respect de la vie privée et nécessite une mise en balance des intérêts parmi les critères déjà mentionnés en 2019 par la Conférence sur la protection des données. Ces critères ont servi de base à l’examen indépendant d’etracker analytics par ePrivacy Consult et sont consignés dans ce modèle de mise en balance des intérêts.

Le résultat de l’audit est le suivant

"Sur la base de notre examen approfondi, nous considérons qu’il est légitime de justifier le traitement des données dans etracker Analytics et etracker Optimiser par la base juridique de l’article 6, paragraphe 1, point f) du RGPD (intérêt légitime), également au regard du document DSK de décembre 2021 et de l’arrêt de la CJUE du 01/10/2019. En mode sans cookie (mode standard), une utilisation d’etracker Analytics est légale conformément au RGPD et à la TTDSG sans aucune obligation de consentement".

Le résultat de l’audit peut être consulté ici.

L’autorité de contrôle française, la CNIL, confirme également que etracker analytics peut être utilisé sans l’obligation de consentement : https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience

ePrivacy Consult certifie entre autres etracker analytics :

  • Conclusion du contrat MO avec l’inscription au compte, voir https://www.etracker.com/av-vertrag/.
  • L’adresse IP est raccourcie le plus tôt possible et automatiquement (dans le cache du serveur) et n’est donc persistante que de manière anonyme.
  • Le reporting est réalisé avec des données anonymes et presque exclusivement agrégées, sans possibilité d’identification de l’utilisateur.
  • Les identifiants de session permettant de relier des interactions individuelles à des visites sont limités à 24 heures maximum, car un horodatage journalier est inclus dans la valeur de hachage générée automatiquement par le serveur. Une reconnaissance permanente est ainsi exclue, à moins que les cookies ne soient activés après consentement. Il n’y a donc pas d’empreinte digitale du navigateur conformément à l’OH Telemedien ou à l’article 29 du groupe de protection des données.
  • Les données sont traitées exclusivement sur commande et ne sont pas utilisées par etracker à des fins propres ou associées à des données d’autres clients d’etracker.
  • Aucune donnée personnelle n’est transmise à des tiers (Google, Facebook & Co.).
  • Aucun enregistrement granulaire des mouvements de la souris n’est effectué.
  • Une fonction d’opposition est fournie pour la déclaration de confidentialité.

Si un opérateur de site web conclut, sur la base de ses circonstances individuelles, comme l’enrichissement possible des données d’analyse web ou leur traitement ultérieur dans des systèmes tiers, que ses intérêts légitimes ne prévalent pas, l’option du tracking opt-in peut être utilisée.

conclusion

En cas d’utilisation d’etracker analytics, seules les opérations de traitement justifiées sur la base de l’intérêt légitime prépondérant de l’exploitant du site Web sont effectuées. En règle générale, il n’existe pas d’obligation de consentement conformément au RGPD.

Le document complet contenant des informations sur le suivi de session sans cookie peut également être téléchargé ici.

Cet article ne constitue pas un conseil juridique et ne peut pas remplacer un conseil juridique individuel. Nous travaillons en étroite collaboration avec des avocats spécialisés dans la protection des données et nous vous mettons volontiers en contact direct avec eux pour des conseils personnalisés.

Plus d'informations sur le thème
Tous les articles