Les murs de cookies ne sont pas conformes au GDPR, selon le DPA néerlandais
Les cookies qui exigent qu’un visiteur d’un site Web accepte que sa navigation sur Internet fasse l’objet d’un suivi à des fins de ciblage publicitaire car le ” prix ” d’entrée sur le site n’est pas conforme à la législation européenne sur la protection des données, a expliqué hier l’agence néerlandaise de protection des données.
Le DPA a déclaré avoir reçu des dizaines de plaintes d’internautes dont l’accès à des sites Web avait été bloqué après avoir refusé d’accepter les cookies de suivi – il a donc pris l’initiative de publier des orientations claires sur la question.
A découvrir également : Keith Rabois se joint au Founders Fund dans un contexte de transition au sein du cabinet
Il ajoute qu’il a écrit aux organisations qui se sont le plus plaint de leur situation (sans citer de nom) pour leur demander d’apporter des changements afin de s’assurer qu’elles se conforment au RDPPIB.
Le règlement général européen sur la protection des données, entré en vigueur en mai dernier, renforce les règles relatives au consentement en tant que base juridique pour le traitement des données à caractère personnel, en exigeant qu’il soit spécifique, informé et donné librement pour être valable au regard de la loi.
A lire aussi : L'entreprise indienne Ola lance une activité dédiée aux VE - et elle vient de lever 56 millions de dollars auprès d'investisseurs
Bien sûr, le consentement n’est pas la seule base légale pour le traitement des données personnelles, mais de nombreux sites Web se fient à demander aux internautes de consentir aux cookies publicitaires dès leur arrivée.
Et les directives du DPA néerlandais indiquent clairement qu’il faut demander à l’avance aux visiteurs d’Internet la permission de placer tout logiciel de suivi – comme les cookies de suivi de tiers, les pixels de suivi et la technologie d’empreintes digitales du navigateur – et que cette permission doit être obtenue librement. Par conséquent, un libre choix doit être offert.
Donc, en d’autres termes, un mur de témoins de ” données pour l’accès ” ne va pas le couper. (Ou, comme le dit le DPA : “La permission n’est pas”libre” si quelqu’un n’a pas de choix réel ou libre. Ou si la personne ne peut pas refuser de donner sa permission sans conséquences négatives”).
“Ce n’est pas pour rien ; les visiteurs du site Web doivent pouvoir avoir confiance que leurs données personnelles sont correctement protégées”, écrit-il dans une clarification publiée sur son site Web[traduit par Google Translate].
“Il n’y a pas d’objection à l’utilisation d’un logiciel pour le bon fonctionnement du site et l’analyse générale de la visite sur ce site. Une surveillance et une analyse plus approfondies du comportement des visiteurs du site Web et le partage de ces informations avec d’autres parties ne sont autorisés qu’avec leur permission. Cette autorisation doit être totalement gratuite “, ajoute-t-il.
Nous avons posé des questions à la DPA.
À la lumière de cette décision, le mur des cookies sur le site européen de l’Internet Advertising Bureau (IAB) (screengrabbed ci-dessous) ressemble à un exemple classique de ce qu’il ne faut pas faire – étant donné que l’association de l’industrie publicitaire en ligne regroupe plusieurs utilisations de cookies (cookies fonctionnels du site, cookies analytiques du site et cookies publicitaires tiers) dans une seule option ” J’accepte “.
Il n’offre aucune option de retrait aux visiteurs. (Pas même sous la rubrique’Plus d’infos’ ou options de politique de confidentialité illustrées ci-dessous).
Si l’utilisateur ne clique pas sur ” J’accepte “, il ne peut pas accéder au site Web de l’IAB. Il n’y a donc pas de libre choix. C’est d’accord ou on s’en va.
En cliquant sur ” Plus d’informations “, vous obtiendrez des informations supplémentaires sur les raisons pour lesquelles l’IAB utilise des cookies – lorsqu’il déclare qu’il n’utilise pas les informations collectées pour créer des ” profils de visiteurs “.
Toutefois, elle note qu’elle utilise les produits Google et explique que certains d’entre eux utilisent des cookies qui peuvent collecter des informations sur les visiteurs à des fins publicitaires, ce qui permet de regrouper le suivi des annonces dans le cadre de la fourniture de son site Web”service”.
Encore une fois, le seul ” choix ” offert aux visiteurs du site est ” J’accepte ” ou de partir sans avoir accès au site Web. Ce qui veut dire que ce n’est pas un choix libre.
L’IAB nous a dit qu’aucune agence de protection des données n’avait été en contact au sujet de son mur de témoins.
Interrogée sur son intention de modifier le mur à biscuits à la lumière des directives de l’APD néerlandaise, une porte-parole a répondu qu’elle n’était pas encore certaine de ce que l’équipe prévoyait de faire – mais elle a affirmé que GDPR ” n’interdit pas carrément de subordonner l’accès à un service au consentement “.Elle a également fait référence à la directive (2002) sur la protection de la vie privée dans le secteur des communications électroniques qui, selon elle, s’applique ici, en déclarant qu’elle “contient également un considérant indiquant que le contenu du site Web peut être subordonné à l’acceptation en connaissance de cause des cookies”.
Le CCI semble donc être d’avis que la directive sur la protection de la vie privée dans le secteur des communications électroniques l’emporte sur la directive sur la protection des renseignements personnels dans ce domaine.
Bien qu’on ne sache pas comment ils en sont arrivés à cette conclusion. (La directive sur la protection de la vie privée dans le secteur des communications électroniques, vieille de plus de quinze ans, est également en cours de mise à jour – alors que le programme phare GDPR n’est entré en vigueur que l’année dernière).
La partie de la directive “vie privée et communications électroniques” à laquelle l’IAB semble faire référence est le considérant 25 – qui comprend la ligne suivante :
L’accès au contenu d’un site Web particulier peut toujours être conditionnel à l’acceptation éclairée d’un témoin ou d’un dispositif semblable, s’il est utilisé à des fins légitimes.
Cependant, le “contenu spécifique d’un site Web” n’est guère identique à un accès complet au site, c’est-à-dire qu’il est entièrement bloqué par leur mur de cookies.
Le point “objectif légitime” du considérant comporte également une deuxième réserve concernant la conditionnalité de l’accès à l’acceptation des cookies – et le texte du considérant comprend un exemple de “facilitation[ting] de la fourniture de services de la société de l’information” en tant que tel objectif légitime.
Que sont les “services de la société de l’information” ? Une directive européenne antérieure définit ce terme juridique comme étant des services “fournis à distance, par voie électronique et à la demande individuelle d’un destinataire”[c’est nous qui soulignons] – suggérant qu’il fait référence au contenu Internet auquel l’utilisateur a réellement l’intention d’accéder (c’est-à-dire le site Web lui-même), plutôt qu’aux publicités qui le suivent dans les coulisses de sa navigation.
En d’autres termes, même en vertu de la directive obsolète sur la protection de la vie privée dans le secteur des communications électroniques, un site peut exiger le consentement d’un utilisateur à l’utilisation de témoins fonctionnels pour accéder à une partie du site.
BMais ce n’est pas la même chose que de dire que vous pouvez bloquer tout un site Web à moins que le visiteur ne consente à ce que sa navigation soit suivie par les annonceurs de façon envahissante.
Ce n’est pas le genre de’service’ que les visiteurs recherchent.
De plus, pour revenir à l’Europe d’aujourd’hui, l’APD néerlandaise a publié des directives très claires sur la démolition des murs de biscuits.
La seule interprétation juridique sensée ici est que l’écriture est sur le mur pour les murs de biscuits.
