Web Analytics à l'heure de la nouvelle loi sur la protection des données TTDSG

L'article 25 de la TTDSG traite effectivement de l'accès aux équipements terminaux des utilisateurs. Les cookies ne sont qu'une possibilité de cet accès. D'autres technologies sont également concernées par la TTDSG. Par exemple, la lecture de variables système dans le navigateur de l'utilisateur via JavaScript pourrait constituer un tel accès.

La TTDSG stipule qu'un consentement doit être demandé à l'utilisateur lorsqu'il y a un accès (cookie ou lecture d'une variable du système) qui n'est pas nécessaire (l'article 25, paragraphe 2, de la TTDSG est un peu plus précis, mais plus long et moins compréhensible pour les non-initiés au droit).

Jusqu'à présent, seuls les cookies utilisés à des fins de marketing et de profilage des utilisateurs étaient concernés par le régime de consentement en vertu de la loi sur les télémédias. Avec la TTDSG, le comptage des visiteurs devient encore plus exigeant s'il doit se faire sans consentement.

Suivi et comptage des visiteurs

Le terme de tracking n'est pas défini avec précision. Normalement, le tracking désigne le suivi des utilisateurs sur plusieurs sessions et sites web. Un outil connu qui suit les utilisateurs de manière aussi invasive est Google Analytics. Non seulement pour cette raison, mais aussi rien qu'en raison des cookies utilisés, Google Analytics est soumis à un consentement préalable. Vous devriez donc afficher un cookie popup agaçant à chaque fois que quelqu'un visite votre site web. Or, ces popups de cookies ne sont pas seulement agaçants, ils sont aussi très souvent à l'origine de sites web illégaux (voir mon Enquête sur le cookiegeddon).

Pour simplifier, nous utilisons également dans cet article le terme de tracking pour désigner le comptage des visiteurs, qui n'est pas critique en soi. Compter les visiteurs signifie qu'un utilisateur doit pouvoir être distingué des autres utilisateurs. En effet, si cette distinction fait défaut, on comptera soit trop peu de visites, soit trop de visites. Compter deux fois un utilisateur dans la catégorie Unique Visitor s'il consulte deux pages à la suite fausse les statistiques. Ne compter qu'une seule fois deux utilisateurs au total lorsqu'ils consultent une même page web ne ressemble pas non plus à une science exacte.

La question est donc de savoir comment les utilisateurs peuvent être distingués les uns des autres. Le protocole http, utilisé pour la consultation de pages web, ne reconnaît lui-même aucun état. Les utilisateurs sans état ne peuvent en tout cas pas être distingués ad hoc. C'est comme si quelqu'un n'avait pas de mémoire et pensait, à chaque fois que la même personne passe devant lui, qu'il s'agit de quelqu'un d'autre.

Cette mémoire était auparavant les cookies. Mais ils sont désormais soumis à une obligation de consentement, et ce même pour le comptage inoffensif des visiteurs. C'est en tout cas ainsi que l'on peut comprendre la TTDSG. Il y est question de "strictement nécessaire". Les cookies pour le comptage des visiteurs ne sont pas absolument nécessaires, et ce pour deux raisons. Premièrement, le comptage exact des visiteurs n'est déjà pas absolument nécessaire (ce point peut être discuté, mais je vois plus de chances pour le point de vue strict). Deuxièmement, les cookies ne sont pas nécessaires pour le comptage des visiteurs. C'est ce deuxième point qui nous intéresse maintenant.

Comment distinguer les utilisateurs les uns des autres ?

Les cookies ne sont plus une possibilité si l'on veut éviter de demander le consentement.

Les utilisateurs peuvent être très facilement différenciés les uns des autres, même sans cookies. Pour ce faire, il est possible d'utiliser les métadonnées qui sont transmises à chaque connexion http du navigateur d'un utilisateur vers la destination de consultation d'un site web.

Ces métadonnées sont souvent appelées données de connexion ou données de trafic par les techniciens. Les juristes peuvent toutefois utiliser ces deux derniers termes dans un sens différent. C'est pourquoi nous parlons ici de métadonnées de manière plus générale.

Parmi les métadonnées qui sont toujours transmises par l'utilisateur à une page web visitée, on compte

• Type et version du navigateur. Exemple : Mozilla Firefox version 95.3, sous-version 47.11
• Type et version du système d'exploitation. Exemple : Microsoft Windows 10, 64 bits
• Langue préférée. Exemple : allemand
• Adresse réseau (adresse IP)
• Réglage du cache
• Page demandée. Exemple : https://dr-dsgvo.de/
• Heure de l'appel (n'est pas envoyée directement, mais est logiquement disponible à la réception de la demande)

Si ces métadonnées sont utilisées pour distinguer les utilisateurs les uns des autres sans cookies, on parle alors de browser fingerprinting.

Le fingerprinting peut être encore plus précis si des informations supplémentaires sont obtenues sur les accès JavaScript. Il s'agit par exemple de

• Résolution de l'écran. Exemple : 1920×1080
• Taille de la fenêtre du navigateur. Exemple : 1788×910
• Exemple : 24 bits
• Fuseau horaire : Exemple : GMT+1

Ces données d'empreintes digitales doivent être explicitement consultées, alors que les métadonnées mentionnées précédemment sont directement disponibles (car obligatoires) et ne doivent donc pas être consultées. Bien que la résolution d'écran ne soit pas, à mon avis, enregistrée dans l'équipement terminal de l'utilisateur, l'interprétation de la TTDSG pourrait s'y opposer. Je cite notamment comme argument à l'appui de mon point de vue le fait que l'orientation d'un smartphone, à savoir portrait ou paysage, ne doit manifestement pas être enregistrée dans l'appareil, car cette orientation peut changer en permanence. De plus, le format de l'image (portrait ou paysage) après avoir rallumé le smartphone ne dépend pas de la façon dont il était avant d'être éteint, mais de la façon dont l'utilisateur tient son smartphone.

Des techniques telles que le Canvas fingerprinting permettent d'obtenir des données supplémentaires sur l'utilisateur, qui aident à le distinguer encore mieux des autres utilisateurs. Le canvas fingerprinting est toutefois un accès soumis à autorisation, ce qui n'est pas contestable.

La sécurité juridique la plus élevée est atteinte lorsqu'aucune métadonnée n'est lue chez l'utilisateur.

Le défi est d'avoir une qualité de données suffisamment élevée pour pouvoir compter correctement les visiteurs.

Compter les visiteurs sans consentement

Trackboxx montre que la version la plus douce du tracking fonctionne sans cookies, sans accès à l'appareil et donc sans consentement.

Les métadonnées utilisées par Trackboxx sont uniquement les données qui sont de toute façon toujours présentes à chaque consultation d'un site web. Il n'y a donc pas d'accès propre au navigateur de l'utilisateur. Pour ces accès, un consentement serait en effet nécessaire si la loi TTDSG est interprétée strictement.

De même, Trackboxx n'utilise pas de cookies, même pas de cookies de session (sauf si le client configure l'outil différemment). Si un cookie n'est valable que pour une session, il est certainement moins critique qu'un cookie qui vit par exemple pendant un mois (c'est ce qu'on appelle aussi la durée de fonctionnement ou la durée de vie). Or, la TTDSG ne fait pas de distinction juridique entre les cookies de session et les cookies permanents, mais ne connaît que les cookies ou accès nécessaires et non nécessaires.

Comme il n'y a pas du tout d'accès au sens de la TTDSG, l'utilisation de Trackboxx ne nécessite pas d'autorisation du point de vue de la TTDSG.

RGPD et TTDSG

Mais le RGPD s'applique également, même s'il n'entre en jeu qu'une fois que le TTDSG (pour les cookies et autres accès) a été traité. Le RGPD est l'abréviation de "Règlement général sur la protection des données" et s'écrit en fait correctement d'un point de vue juridique. Le trait d'union est souvent omis dans les textes destinés aux non-juristes.

Le RGPD s'applique aux données à caractère personnel et aux données personnelles identifiables. Les données personnelles sont également considérées comme telles lorsqu'il est possible de distinguer les utilisateurs les uns des autres. La CJUE avait déjà établi en 2016 que les adresses de réseau (adresses IP) devaient être considérées comme des données à caractère personnel. La Cour fédérale de justice a confirmé ce jugement en 2017.

C'est pourquoi l'adresse IP de l'utilisateur ne peut pas être enregistrée sans raison, du moins pas pour pouvoir mieux compter l'utilisateur. Si l'adresse IP était enregistrée sans être cryptée, il faudrait probablement obtenir un consentement en vertu de l'article 6 du RGPD.

Afin d'éviter ici aussi l'obligation de consentement, Trackboxx n'enregistre pas les adresses IP. Au lieu de cela, chaque adresse IP est pseudonymisée et ce, même pas directement, mais en la combinant avec d'autres valeurs.

Pour ce faire, une clé limitée dans le temps est utilisée. Cette clé est maintenant appliquée à la combinaison de l'adresse IP, de la version du navigateur, de la version du système d'exploitation et du jour actuel dans le calendrier. La base de données Trackboxx ne contient donc pas d'adresse IP. Ce n'est que si un utilisateur consulte à nouveau le site web au cours de la même journée que son adresse IP pourrait (théoriquement) être récupérée à partir des données cryptées. Mais ce n'est pas nécessaire, car lors d'un nouvel appel, l'adresse IP de l'utilisateur est de toute façon (à nouveau) explicitement disponible. Le RGPD est donc respecté et la conservation de données pseudonymisées peut être justifiée par l'intérêt légitime. L'intérêt légitime est l'une des bases juridiques que le RGPD offre en plus du consentement.

Contrairement au consentement, l'intérêt légitime n'a pas besoin d'un cookie popup agaçant. Un autre avantage, outre le fait que les utilisateurs ne sont plus agacés par une demande de consentement, est la sécurité juridique accrue. En effet, les cookies pop-up sont soumis à de nombreuses prescriptions, qui découlent entre autres de l'article 7 du RGPD et de l'article 13 du RGPD. Ainsi, là où le consentement est demandé, il doit également être indiqué où et comment une révocation peut être effectuée. Si l'on regarde les popups de cookies sur différents sites, on constate que cette indication prescrite par la loi fait souvent défaut.

Les adresses IP changent généralement au fil du temps. Il semble que cela se produise moins souvent pour les accès Internet câblés que pour les accès DSL. Toutefois, les adresses réseau ne changent pas exactement lorsqu'un utilisateur consulte une page web. Il est donc très probable que l'utilisateur soit reconnu dans la journée. Dans les réseaux d'entreprise, les utilisateurs sont moins faciles à distinguer lorsqu'un mécanisme de mise à jour synchronisée est utilisé pour les ordinateurs des collaborateurs. En effet, cette mise à jour veille à ce que le navigateur et le système d'exploitation des collaborateurs de l'entreprise paraissent identiques à l'extérieur. Toutefois, la pratique montre que le flou inhérent aux réseaux d'entreprise n'a pas d'importance.

Conclusion

Saisir les visiteurs et optimiser le contenu fonctionne entièrement sans cookies et sans popup de cookie gênant et sujet aux erreurs. Des outils tels que Trackboxx offrent une solution respectueuse de la vie privée qui respecte les dispositions de la TTDSG et du RGPD.

La qualité des données est si bonne qu'il n'y a pas lieu de craindre de faire des concessions par rapport au comptage des visiteurs basé sur les cookies. Toujours est-il que toutes les solutions basées sur les cookies présentent, outre l'insécurité juridique, une autre faiblesse. Comme chacun sait, chacun peut facilement supprimer les cookies dans son navigateur. Il existe même des programmes d'aide pour cela, comme CCCleaner ou des programmes antivirus. Un cookie supprimé prive les trackers hostiles à la protection des données de leur mémoire. Ils ne fonctionnent alors pas mieux que Trackboxx, mais nécessitent toujours un consentement. En ce qui concerne les réseaux d'entreprise, les trackers basés sur des cookies ne sont pas non plus mieux lotis. En effet, dans les grandes entreprises, les cookies sont régulièrement et automatiquement supprimés des ordinateurs des employés en raison de directives de sécurité.