L’essentiel sur la nouvelle ”Orientierungshilfe für Anbieter:innen von Telemedien” de l’autorité allemande de surveillance de la protection des données du 20 décembre 2021

von Olaf Brandt

Peu avant Noël, les autorités de surveillance ont mis à jour le ”Guide pour les fournisseurs de télémédias” (OH Telemedien 2021), qui est essentiel pour une utilisation conforme à la loi de l’analyse Web. Cette décision a été prise en raison de l’entrée en vigueur, le 1er décembre 2021, de la loi sur la protection des données dans les télécommunications et les télémédias (TTDSG), qui transpose la directive européenne ePrivacy dans le droit allemand. Le §25 TTDSG correspondant s’applique à toutes les technologies au moyen desquelles des informations sont stockées ou lues sur les terminaux des utilisateurs.

Le guide d’orientation est disponible à l’adresse suivante :

https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

Nous avons résumé pour vous les trois points les plus importants et les avons expliqués plus en détail ci-dessous :

Concernant le point 1 : besoin de consentement

La nouvelle note d’orientation confirme les bases juridiques du suivi de session sans consentement avec etracker Analytics :

1. la liaison côté backend des données de visite au moyen des informations du navigateur et de l’en-tête n’est pas soumise au consentement en vertu de la TTDSG.

Selon les autorités de contrôle, il ne s’agit clairement pas d’un accès actif à la mémoire du terminal :

”Un accès suppose une transmission ciblée des informations de navigation qui n’est pas initiée par l’utilisateur final. Si seules des informations, telles que les informations du navigateur ou de l’en-tête, sont traitées et transmises obligatoirement ou en raison des paramètres (du navigateur) de l’équipement terminal lors de l’appel d’un service de télémédias, cela ne doit pas être considéré comme un ”accès à des informations déjà stockées dans l’équipement terminal”. En voici quelques exemples :

• l’adresse IP publique de l’équipement terminal,
• l’adresse du site web consulté (URL),
• la chaîne de l’agent utilisateur avec la version du navigateur et du système d’exploitation, et
• la langue définie”.

Afin de répondre aux exigences du RGPD, etracker raccourcit automatiquement l’adresse IP avant même qu’elle ne soit enregistrée et combine les données transmises par le navigateur avec une valeur aléatoire qui change chaque jour. Ainsi, l’association anonyme des visites est limitée à 24 heures au maximum. Un suivi des utilisateurs sur des périodes plus longues est exclu.

2. un traitement respectueux de la vie privée à des fins d’analyse web peut toujours être fondé sur la base juridique de l’intérêt légitime prépondérant (article 6, paragraphe 1, point f) du RGPD).

En cas d’utilisation d’etracker Analytics, il est toujours possible de fonder l’utilisation sur l’intérêt légitime. Le guide d’orientation précise que le consentement n’est pas préférable à l’intérêt légitime prédominant. Les deux bases juridiques ont le même rang et la même valeur. Toutefois, la base juridique de l’intérêt légitime nécessite une mise en balance individuelle des intérêts. Pour cela, les critères d’examen sont inchangés par rapport à 2019. Par conséquent , le modèle de mise en balance des intérêts que nous mettons à disposition est toujours d’actualité, car il se base exactement sur les critères de 2019, qui constituent également la base de notre audit et de l’attribution du label de qualité ePrivacyseal pour la protection des données.

Concernant le point 2 : services d’analyse web américains tels que Google Analytics

La note d’orientation précise que la base juridique de l’intérêt légitime est exclue si le fournisseur se réserve le droit d’utiliser les données également à ses propres fins :

”En outre, dans les cas où des prestataires de services tiers sont impliqués dans le suivi en tant que sous-traitants, il convient de veiller à ce que ces prestataires de services traitent également les données des personnes concernées à leurs propres fins (par exemple, pour améliorer leurs propres services ou pour créer des profils d’intérêt). Dans ce cas – et même si le prestataire de services tiers ne se le réserve que de manière abstraite – le cadre d’un traitement pour le compte d’autrui selon l’article 28 du RGPD est dépassé. Pour le transfert de données à caractère personnel – ne serait-ce que l’adresse IP – à ces prestataires de services tiers, l’article 6, paragraphe 1, point f) du RGPD ne peut alors généralement pas constituer une base juridique valable”.

Même si l’utilisateur a donné son consentement, il n’existe pas de base juridique pour le traitement des données par les fournisseurs américains :

”En particulier dans le contexte de l’intégration de contenus tiers et de l’utilisation de services de tracking, il ne sera toutefois souvent pas possible de prendre des mesures complémentaires suffisantes. Dans ce cas, les services concernés ne doivent pas être utilisés, et donc pas non plus intégrés dans le site web. Les données à caractère personnel traitées dans le cadre du suivi régulier du comportement des utilisateurs sur des sites web ou dans des applications ne peuvent en principe pas être transmises à un pays tiers sur la base d’un consentement conformément à l’article 49, paragraphe 1, point a) du RGPD”.

Vers 3. bannière de consentement

Les autorités de contrôle ont pris une position claire sur la conception des bannières de consentement : Le fait de rendre le refus plus difficile à obtenir conduit à un consentement juridiquement non valable :

”Lorsque des bannières de consentement sont affichées dans des offres de télémédias, qui ne contiennent qu’un bouton ”OK”, le fait de cliquer sur le bouton ne constitue pas une déclaration sans équivoque”.

Il ajoute : ”Les utilisateurs doivent disposer d’une option équivalente au consentement pour refuser le consentement dans le bandeau de consentement. S’il y a un bouton au premier niveau du bandeau de consentement pour consentir à certains processus, il doit également y avoir un bouton affiché de manière appropriée pour refuser ces processus”.

En outre, le dialogue doit contenir toutes les informations essentielles de haut niveau pour que le consentement soit juridiquement valable :

”En principe, il est possible de concevoir des bannières de consentement à plusieurs niveaux, c’est-à-dire de ne fournir des informations plus détaillées qu’à un deuxième niveau de la bannière, auquel les utilisateurs accèdent par un bouton ou un lien. Toutefois, s’il existe déjà au premier niveau de la bannière un bouton permettant de donner son consentement pour différentes finalités, des informations concrètes sur chacune des finalités doivent également figurer à ce premier niveau. Il serait trop vague de ne fournir ici que des informations génériques, générales ou vagues sur les finalités, comme par exemple ”Afin de vous offrir une meilleure expérience d’utilisation, nous utilisons des cookies””.

Clause de non-responsabilité

Ces explications ne constituent pas un conseil juridique et ne peuvent pas remplacer un conseil juridique individuel. Il s’agit d’une analyse technique et d’un résumé du sujet. En cas de besoin, nous vous mettrons volontiers en contact avec un avocat spécialisé.