Le 1×1 de la protection des données pour les marketeurs

von Olaf Brandt

Ces quatre termes de la législation sur la protection des données sont régulièrement à l’origine de malentendus. . Comprendre la signification juridique est cependant essentiel pour éviter les violations de données dans le marketing numérique :

1. Traitement des données
2. Données personnelles
3. Nécessité
4. Intérêt légitime prédominant

Ces termes sont définis dans le RGPD. Toutefois, les définitions semblent assez abstraites. C’est pourquoi nous voulons les expliquer simplement à l’aide d’un exemple pratique.

Sur un site web, nous avons trouvé cette formulation dans la déclaration de confidentialité :

“Ce site utilise le […] gestionnaire de balises. Le […] gestionnaire de balises est une solution qui nous permet de gérer les balises de site Web à partir d’une interface. L’outil met en œuvre des balises, mais est lui-même un domaine sans cookie et ne collecte pas de données personnelles. Il ne fait que déclencher d’autres balises qui, à leur tour, peuvent collecter des données, mais auxquelles le gestionnaire de balises n’a pas accès. Aucune information personnelle n’est collectée ou stockée par cet outil. L’utilisation du […] gestionnaire de balises est basée sur notre intérêt légitime (article 6, paragraphe 1, phrase 1, point f) du RGPD)”.

Examinons ces quatre termes dans ce contexte :

1. traitement des données

Dans l’exemple ci-dessus, il est affirmé que le gestionnaire de balises utilisé ne collecte aucune donnée, n’accède à aucune donnée et ne stocke aucune donnée. D’autre part, le traitement des données est basé sur l’intérêt légitime. Alors, les données sont-elles traitées, oui ou non ? Très important : le stockage n’est qu’un type de traitement possible. Selon l’article 4, point 2 du RGPD, le traitement comprend également la collecte, la saisie, l’organisation, le classement, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction. En d’autres termes, toute manipulation de données est un traitement de données !

Comme il est bien connu que sur le web, rien n’est possible sans données, on peut donc dire simplement que tout outil actif sur un site web traite toujours des données.

En cas de doute, ouvrez les Dev Tools dans le navigateur en appuyant sur F12 et examinez l’activité du réseau.

2. données personnelles

La réponse à la question de savoir si des données à caractère personnel sont traitées est tout aussi simple que celle du traitement des données. En effet, la connexion au serveur de l’outil nécessite toujours la transmission de l’adresse IP correspondante. L’adresse IP est considérée par la plus haute juridiction comme une donnée à caractère personnel. Et un traitement ne nécessite pas de stockage !

C’est pourquoi les applications Web sont toujours soumises à la règle suivante : des données à caractère personnel sont traitées.

Le fait que l’adresse IP soit anonymisée avant d’être traitée n’a pas d’importance. Car tout d’abord, elle arrive toujours dans son intégralité. Et une anonymisation est aussi un traitement.

Dans le cadre des outils de suivi, d’autres données à caractère personnel que l’adresse IP peuvent être traitées délibérément ou “accidentellement”. Que signifie “accidentellement” ? Les données du site web sont transmises de manière structurée à l’aide de différents paramètres que vous pouvez consulter dans les outils de dev :

Les données personnelles peuvent être transmises dans les paramètres spécialement prévus à cet effet, comme par exemple un identifiant d’utilisateur ou un cookie. Mais elles peuvent également faire partie de l’URL, par exemple, et être transmises pour ainsi dire “involontairement” de cette manière. C’est justement souvent le cas sur les pages après une connexion. Il peut y avoir ici une violation de l’article 5 du RGPD, qui exige la minimisation des données comme l’un des principes du traitement des données à caractère personnel : les données à caractère personnel doivent donc être “limitées à ce qui est nécessaire aux fins du traitement”. La collecte involontaire, en particulier, ne poursuit pas de “véritable” objectif et est donc particulièrement critique.

Cependant, tous les identifiants ne sont pas automatiquement associés à des personnes. Selon l’arrêt du Tribunal de l’Union européenne (TUE) du 26.4.2023 (affaire : T-557/20), les conditions suivantes doivent être remplies pour qu’un identifiant puisse être considéré comme personnel :

1. Contrairement aux données anonymes, la personne derrière l’identifiant peut être ré-identifiée en utilisant des informations supplémentaires conservées séparément.
2. Le ou les destinataires des données disposent de ces informations pour la ré-identification ou ont des moyens légaux d’accéder à de telles informations.

En cas d’utilisation d’outils ou de balises de Google, Meta & Co., les propriétaires de sites Web doivent également se préoccuper de leurs possibilités, car ils ne sont pas seulement des sous-traitants, mais aussi des destinataires de données.

Nous pouvons donc emporter

• Les outils et balises de site web traitent toujours des données à caractère personnel, au moins avec l’adresse IP.
• Les données à caractère personnel ne doivent être traitées que sous une forme et pendant une durée correspondant à une finalité légitime (mot-clé “minimisation des données”) et doivent être protégées au mieux. Il est essentiel d’éviter la collecte “involontaire” dans les URL et les paramètres. Les données à caractère personnel “nécessaires” doivent être rendues anonymes dans la mesure du possible.

Important : le traitement de données à caractère personnel n’entraîne pas nécessairement l’obligation d’obtenir le consentement préalable de l’utilisateur.

Le consentement n’est obligatoire que si le traitement n’est pas nécessaire ou s’il ne prévaut pas sur vos propres intérêts.

3. nécessité

En vertu de la loi TTDSG, les outils de suivi ne peuvent accéder à la mémoire de l’appareil d’un utilisateur que si cela est absolument nécessaire ou si l’utilisateur a donné son consentement préalable. Pour le critère de nécessité absolue, il faut se placer du point de vue de l’utilisateur, c’est-à-dire savoir si la fonction sert en premier lieu les intérêts des utilisateurs du site web. Le guide des autorités de contrôle allemandes mentionne d’autres critères pour l’évaluation de la nécessité, tels que le type d’informations et la durée de conservation.

Pour le site moebel.de, la personnalisation du site, l’analyse web et la gestion des balises sont également indiquées comme techniquement nécessaires :

C’est pour le moins aventureux du point de vue de la protection des données. En effet, le gestionnaire de balises sert en premier lieu aux spécialistes du marketing et non aux utilisateurs. La personnalisation du site web ne peut pas être considérée comme un service de base et l’analyse web complète est également exclue de la nécessité par les autorités de contrôle :

“Même la simple mesure du nombre de visiteurs ne doit donc pas être considérée en soi comme faisant partie du service de base, mais dépend de l’objectif concrètement poursuivi dans chaque cas. La livraison sans erreur du site web peut par exemple être comprise dans le souhait de l’utilisateur, alors que la rentabilité des annonces publicitaires ne sert en général que les intérêts primaires de l’exploitant du site web. “
(Orientierungshilfe der deutschen Aufsichtsbehörden, page 28 et suivantes)

L’autorité de contrôle française a même déclaré que l’utilisation de la fonction reCAPTCHA de Google nécessitait un consentement préalable. En effet, son utilisation ne serait pas limitée au strict nécessaire :

“Toutefois, le mécanisme Google reCaptcha ne sert pas uniquement à sécuriser le mécanisme d’authentification au profit des utilisateurs, mais permet également des opérations d’analyse de la part de Google“.
(https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047346903, par. 86)

En revanche, on peut considérer que le tracking nécessite techniquement les opérations de stockage sur le terminal suivantes :

• Définition et lecture des cookies pour la mise en œuvre de la fonction d’opposition, c’est-à-dire l’opt-out du traitement des données. Cela sert en premier lieu les intérêts de l’utilisateur (et en général contrairement aux intérêts de l’exploitant du site web) de conserver la décision prise et de ne pas devoir la répéter à chaque visite du site web.
• Mise en mémoire tampon des opérations d’analyse dans la mémoire locale ou de session afin de garantir la meilleure utilisation possible du site web ou sa performance pour l’utilisateur. La mesure de la profondeur de défilement en est un exemple, afin que chaque mouvement de défilement ne donne pas lieu à une transmission de données, mais que les données de profondeur de défilement soient envoyées de manière “groupée” toutes les quelques secondes. La condition préalable est également que le traitement des données qui en résulte ne nécessite pas de consentement au sens du RGPD.

Ne devraient donc pas être considérés comme des accès aux terminaux strictement nécessaires et donc sans consentement préalable :

• Cookies de plateformes de marketing telles que Google, Meta, LinkedIn et Tiktok.
• Autres cookies publicitaires et marketing, y compris le marketing d’affiliation.
• les cookies statistiques, qui stockent des identifiants pour reconnaître les utilisateurs dans le temps, en particulier lorsque cela se produit sur plusieurs appareils, sites web ou jours
• Cookies pour la gestion des tags et l’optimisation des conversions dans l’intérêt premier des marketeurs

4. intérêt légitime prédominant

La Cour de justice des Communautés européennes (CJCE), c’est-à-dire la plus haute juridiction européenne, a exigé, par son arrêt du 4 juillet 2023 dans l’affaire opposant Meta au Bundeskartellamt(affaire C-252/21) sur l’intérêt légitime, que

• les données doivent être limitées à ce qui est nécessaire au regard des finalités du traitement (minimisation des données) et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités (nécessité),
• la mise en balance des intérêts en présence doit tenir compte des attentes raisonnables des personnes concernées et de la portée du traitement en question ; et
• le responsable (l’exploitant du site web) doit être en mesure de prouver la conformité en contrôlant lui-même le fournisseur ou en obtenant une certification indépendante (obligation de rendre des comptes).

La CJUE interprète le principe de nécessité de manière très stricte et exige qu’il n’existe pas d’autre moyen raisonnablement possible et aussi efficace pour atteindre les objectifs. Si la solution utilisée est nettement moins favorable à la protection des données ou si le fournisseur poursuit également ses propres objectifs, la solution échoue en termes d’intérêt légitime.

La CJCE applique également une norme stricte en matière d’attentes raisonnables et s’oppose à l’idée selon laquelle les utilisateurs de services gratuits doivent s’attendre à ce que leurs données ou des publicités personnalisées soient partagées :

“À cet égard, il convient de noter que, même si les services d’un réseau social en ligne tel que Facebook sont gratuits, l’utilisateur de ce réseau ne peut raisonnablement pas s’attendre à ce que l’exploitant de ce réseau social traite ses données à caractère personnel sans son consentement à des fins de personnalisation de la publicité”.

En ce qui concerne l’étendue du traitement des données par les grandes plates-formes de marketing, la CJCE précise

“Par ailleurs, le traitement en cause au principal est particulièrement étendu, puisqu’il porte sur des données potentiellement illimitées et qu’il a un impact considérable sur l’utilisateur, dont une grande partie, voire la quasi-totalité, des activités en ligne sont enregistrées par Meta Platforms Ireland, ce qui peut donner à ce dernier le sentiment que sa vie privée est surveillée en permanence”.

Les tags ou outils des grandes plateformes de marketing ne peuvent donc pas être utilisés dans le cadre de l’intérêt légitime.

Conclusion sur le 1×1 de la protection des données pour les marketeurs

Quels que soient les outils d’analyse et de marketing utilisés, il y a en fait toujours un traitement de données à caractère personnel au sens du RGPD. Mais cela n’entraîne pas nécessairement l’obligation d’obtenir le consentement. Les cookies avec des identifiants de session ou d’utilisateur (qu’ils permettent ou non d’identifier les utilisateurs) sont presque toujours soumis à un consentement. Seules les solutions les plus respectueuses de la vie privée peuvent être utilisées dans le cadre de l’intérêt légitime. Les conditions sont essentiellement les suivantes

• Utilisable uniquement avec la souscription d’un contrat AV
• Raccourcissement automatique de l’adresse IP avant persistance
• Les identifiants anonymes des utilisateurs doivent être limités à 24 heures.
• Reporting avec des données anonymes sans possibilité de ré-identification de l’utilisateur
• Pas d’utilisation à des fins personnelles, de combinaison avec des données d’autres clients ou de transfert à des tiers
• Pas d’enregistrement de session ou de mouvement de souris
• Fonction d’opposition directe dans la déclaration de confidentialité
• Connexion aux plateformes de marketing pour télécharger les données de conversion uniquement sans les identifiants des utilisateurs
• Traitement ultérieur uniquement des données anonymisées dans des solutions de reporting telles que Google Looker Studio ou Microsoft Power BI
• Satisfaire à l’obligation de rendre compte requise par un audit indépendant

---

Les contenus ont été recherchés avec le plus grand soin. Toutefois, le fournisseur ne peut être tenu responsable de l’exactitude, de l’exhaustivité et de l’actualité des informations mises à disposition. Les informations sont notamment de nature générale et ne constituent pas un conseil juridique dans un cas particulier.