Conception de bannières Consent conforme au RGPD

Les bannières de cookies nous entourent comme des mouches agaçantes. Certaines sont totalement superflues, d'autres ne font que simuler la conformité au RGPD et la plupart ne sont pas conformes à la réglementation. C'est pourquoi je vais tenter d'éclaircir les points les plus importants dans ce qui suit.

1. le RGPD n'est pas responsable de tout !

La véritable raison pour laquelle le consentement préalable du visiteur doit être obtenu pour certains services sur les sites web n'est pas le RGPD, mais l'article 5, paragraphe 3, de la directive ePrivacy :

Les États membres veillent à ce que le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit autorisé que si l'abonné ou l'utilisateur concerné a donné son consentement sur la base d'informations claires et complètes qui lui ont été fournies ... concernant, entre autres, les finalités du traitement. .....

Étant donné que la directive ePrivacy a la priorité sur le RGPD, le motif juridique de l'article 6, paragraphe 1, point f) "intérêt légitime" du RGPD ne peut pas être invoqué pour l'utilisation de tels services, mais seul l'article 6, paragraphe 1, point a), du RGPD "consentement" s'applique.
La forme sous laquelle le consentement doit être obtenu peut à nouveau être consultée dans le RGPD.

2. à quoi sert le consentement et à quoi ne sert-il pas ?

a. Le consentement n'est pas nécessaire, par exemple, pour

• Informations sur les terminaux côté client (par ex. adresses IP, résolution d'écran, système d'exploitation) pour l'affichage des sites web/applications et pour la sécurité du site web/de l'application
• Cookies techniquement nécessaires pour les réglages de la langue et des polices, pour l'authentification de l'utilisateur lors de la connexion, pour les réglages de l'utilisateur, pour une fonction de panier d'achat ou pour la mise à disposition de formulaires en ligne (cookies de session).
• Intégration de services visant à améliorer la présentation, à réduire les temps de chargement ou à optimiser le site web (par ex. livraison de contenu au moyen d'un CDN, de polices web, etc.)

Il s'agit donc en principe pas de consentement nécessaire pour les cookies/services qui assurent le fonctionnement du site web ou qui sont requis pour la mise à disposition d'un service expressément demandé par l'utilisateur. Ceux qui n'utilisent que de telles fonctionnalités sur leur site n'ont pas du tout besoin d'une bannière de cookie ou de consent, mais doivent simplement compléter leur déclaration de confidentialité en conséquence.

Les tristement célèbres bannières "Nous utilisons des cookies bla, bla, bla... OK" sont inutiles et ne servent qu'à semer la confusion et à abrutir les utilisateurs.

Pour les outils qui permettent de réaliser des analyses web purement statiques (par exemple pour optimiser l'offre web), le consentement n'est normalement pas non plus nécessaire. Matomo appartient par exemple à cette catégorie, d'autant plus que le service peut également être hébergé sur des serveurs propres. L'utilisation de tels services peut être fondée sur la base juridique de l'intérêt légitime (art. 6, al. 1, let. f, RGPD). Dans certains cas, il est judicieux de procéder à une pesée des intérêts et de la documenter. Il s'agit toutefois d'une question purement liée à la protection des données et qui n'a rien à voir avec la conception des bannières.

Google Analytics constitue ici une exception, car du point de vue des autorités de surveillance, il s'agit d'un "véritable" outil de suivi - même si l'exploitant du site web n'est en fait intéressé que par les statistiques du site web. Pour Google Analytics, un consentement est donc requis.

b. Un consentement est requis pour

• Analyse statistique et mesure de la portée
• Publicité comportementale/locale
• Plugins de médias sociaux

Une alternative possible pour les plugins de médias sociaux peut être la solution Heise-2-click (bouton Shariff). Ou alors, on utilise simplement des graphiques ou des icônes avec un lien déposé à la place des plugins. Dans ce cas, le consentement n'est pas nécessaire et il suffit d'inclure les informations correspondantes dans la déclaration de protection des données. En option, on peut encore utiliser un popup au survol de la souris avec une remarque (par exemple "Vous allez être redirigé vers la page Facebook" ou autre ). On est alors déjà en tête de liste.

Dans tous les cas, le plus important pour les éléments soumis à consentement est que le consentement doit être obtenu AVANT qu'une collecte et/ou une transmission de données ait lieu !

3. services de cartographie, plateformes de vidéo et de streaming

Il n'y a pas encore de consensus à ce sujet. Certains spécialistes de la protection des données partent du principe qu'après l'adoption du règlement ePrivacy (qui devrait entrer en vigueur en même temps que le RGPD - mais cela prend encore du temps), un consentement préalable sera également requis pour ces services. Les arrêts actuels de la CJUE (automne 2019) et de la Cour fédérale de justice (BGH) de mai 2020 vont également dans ce sens.

L'Office bavarois de surveillance de la protection des données (LDA Bayern) écrit actuellement encore sur sa page d'accueil que l'intégration de vidéos sans consentement préalable est autorisée si la vidéo ne démarre qu'après un clic actif de l'utilisateur et qu'aucune transmission de données n'a lieu jusqu'à ce moment-là (solution en deux clics ou embetty). En outre, les vidéos YouTube doivent être intégrées en mode de protection des données étendu (no-cookie).

Le LDA bavarois a une vision similaire de la situation pour Google Maps. Les contenus de Google Maps ne devraient être chargés que lorsque l'utilisateur fait activement appel au service de cartographie, par exemple par un clic supplémentaire (solution en deux clics).

J'ai demandé des précisions à ce sujet à l'autorité bavaroise de surveillance de la protection des données. La présentation décrite ci-dessus correspond actuellement encore à l'évaluation de l'autorité. Il a toutefois été indiqué que les motifs du jugement devaient encore être analysés en détail. Il se peut donc que l'évaluation soit modifiée.

Celui qui souhaite éventuellement être équipé pour l'avenir devrait donc envisager de travailler dès maintenant avec un consentement pour ces services. Car en matière de protection des données, on peut toujours faire mieux !

4. principes du consentement

Le consentement doit être PREALABLE, INFORMÉ et VOLONTAIRE. Cela signifie en clair

a. PREALABLE:
Lors de la première ouverture d'un site web, tous les scripts qui collectent potentiellement des données utilisateur et les transmettent à des tiers doivent être désactivés au préalable.
b. INFORMÉ:
L'utilisateur doit recevoir des informations concises sur les services mis en œuvre dans un langage simple et clair. Une présentation claire a vraiment du sens ici. Après tout, l'utilisateur doit être informé et non pas découragé.
c. VOLONTAIRE:
Pour aucune case à cocher, le consentement ne doit déjà être prédéfini. L'utilisateur doit donner son consentement actif, et non pas être obligé de le désélectionner.

Notez bien :
Des informations générales telles que "Ce site utilise des cookies pour l'analyse web et les mesures publicitaires" ou "... pour améliorer votre expérience de navigation" ne sont pas suffisantes à elles seules, car les traitements associés ne sont pas rendus transparents.

En outre, le caractère volontaire implique que le visiteur dispose d'un véritable choix - il peut donc utiliser le site web même s'il ne donne pas son accord pour l'utilisation des services optionnels.

5. documentation et obligation de preuve

Les consentements doivent être documentés et démontrables. Pour ce faire, de nombreux défenseurs de la vie privée estiment qu'une preuve par des informations "abstraites" est suffisante (par exemple, le texte du consentement avec la date, le script ou le code de la bannière avec l'horodatage, l'horodatage, la version, l'ID de cookie de l'utilisateur, etc.) Il n'est pas nécessaire de collecter des données supplémentaires sur les utilisateurs pour fournir des preuves et cela va à l'encontre du principe de minimisation des données.

6. fonction de révocation/d'opt-out

Les utilisateurs ont le droit de révoquer à tout moment le consentement qu'ils ont donné. Cela signifie donc qu'il doit toujours y avoir une solution opt-out pour les services utilisés. Cette fonction opt-out doit être facilement accessible à tout moment par les visiteurs du site et, bien entendu, fonctionner réellement.

7. à quoi peut-elle ressembler, la bannière Consent ?

Les contenus suivants doivent obligatoirement être indiqués dans la bannière :

• Responsable (si la page n'est pas suffisamment explicite)
• Nom de l'outil
• Finalité du traitement
• Destinataire des données
• Indication du caractère facultatif avec possibilité de révocation (solution opt-out)
• Lien vers la déclaration de confidentialité
• Attention à l'emplacement de la bannière : l'accès aux mentions légales et à la déclaration de confidentialité ne doit pas être masqué !

Seuls les contenus nécessaires sont prédéfinis, la conception de la bannière est libre. Pour ne pas surcharger la présentation, les informations peuvent être mises à disposition dans différents sous-menus. C'est ainsi que pourrait être conçue la 1ère couche d'une bannière couvrant les exigences minimales :

Cet exemple n'est qu'une des nombreuses variantes de conception possibles de la première couche d'information et n'a qu'une valeur indicative.

Il existe toute une série d'outils de gestion du consentement (CMP). Sur Internet, on peut s'informer sur l'étendue des prestations et les différences. Quelques exemples des outils les plus connus sont Cookiebot, Borlabs Cookie, Usercentrics ou Consentmanager.

Les exigences fondamentales d'un outil de consent devraient être entre autres

• Affichage de l'outil Consent dès la visite de la page (valable également pour les APPs)
• Affichage de la bannière sans masquer les informations légales obligatoires sur le site web, telles que les mentions légales, les conditions générales de vente ou la déclaration de protection des données.
• Les cookies ou les identifiants publicitaires des terminaux mobiles ne peuvent être placés/traités que si l'utilisateur donne son consentement actif (donc pas de consentement par des comportements passifs tels que la navigation sur le site web, la fermeture automatique après un certain temps ou le clic de fermeture de l'outil de consentement).
• La visite du site/de l'application doit être possible même si les utilisateurs refusent les cookies ou les identifiants publicitaires, etc.
• Fonction opt-out
• Consignation et reporting pour soutenir l'obligation de preuve du côté du système

Vous trouverez des indications plus détaillées par exemple dans le Orientierungshilfe für Anbieter von Telemedien de la Conférence sur la protection des données et une FAQ-Liste zu Cookies und Tracking de l'autorité de protection des données du Bade-Wurtemberg.

Chaque exploitant de site - même conseillé par son agence web - doit en fin de compte décider quelle solution est la plus appropriée pour lui. Il vaut la peine d'examiner et de comparer les outils de tous les fournisseurs importants si l'on souhaite s'épargner les efforts d'une solution programmée soi-même.
Du point de vue de la protection des données, les critères de sélection devraient également inclure la question de savoir si le fournisseur garantit de manière fiable la conformité au RGPD ou quels sites de serveurs sont utilisés.

8. et le marketing ?

Il est indéniable que de nombreux visiteurs du site ne souhaitent pas être suivis et cliquent donc sur "refuser tout". Même si cela peut être regrettable du point de vue du marketing et de l'analyse, les visiteurs du site ne font ainsi qu'exercer leur droit à l'autodétermination en matière d'information, tel qu'il est inscrit dans la loi.

J'ai récemment assisté à une réunion d'information au cours de laquelle un collaborateur du fournisseur suédois de Consentmanager Jaohawi AB a fait une présentation. Dans sa présentation, il y avait des chiffres assez intéressants à ce sujet :

Lors de l'évaluation du taux d'acceptation, nos collègues ont par exemple déterminé qu'en moyenne 40-50% des visiteurs du site choisissent le bouton "accepter tous les services". A l'inverse, cela signifie bien sûr que 50-60% refusent de donner leur accord.

Selon le conférencier, il est possible d'augmenter la valeur d'approbation à environ 651 ppm en optimisant la bannière. Pour les clients fidèles, la valeur d'approbation passe à environ 70%.

En moyenne, on peut partir du principe, selon ses explications, qu'il manque environ la moitié des données marketing dans les évaluations dès qu'une bannière Consent a été implémentée. Il est possible de compenser statistiquement ces valeurs en les intégrant de manière appropriée dans les prévisions.

Il est possible de tenir compte de la protection des données tout en essayant, d'un point de vue marketing, de convaincre davantage de visiteurs du site d'autoriser des services soumis à autorisation en optimisant la bannière (par exemple par le positionnement, les couleurs, les formulations, etc.