DSGVO : Le “cookie opt-in” sera-t-il finalement obligatoire ?

Après la grande agitation qui a précédé l’introduction du Règlement général sur la protection des données (DSGVO), les choses étaient devenues plutôt calmes pendant un certain temps, mais il y avait maintenant un autre arrêt de la Cours de Justice de la Communauté Européenne (CJCE) concernant les cookies et les boutons Facebook.

Jusqu’à présent, la plupart des sites web et des blogs ont intégré des bannières de cookies qui ne permettent qu’un opt-out, c’est-à-dire que le visiteur du site web n’a pas d’autre choix que d’accepter l’installation de cookies pendant sa visite. Il ne peut lui-même donner activement son consentement quant aux cookies qu’il souhaite autoriser et ceux qui ne le souhaitent pas. Juridiquement parlant, l’inactivité de la personne concernée, le silence ou les cases déjà cochées ne peuvent être interprétés comme un consentement. En outre, les bannières de désactivation habituelles ne fournissent pas d’informations sur les cookies que le site web utilise et dans quel but. C’est pourquoi les bannières de cookies classiques ne sont plus suffisantes pour certains cookies.

Attention, cet article ne s’agit pas d’un conseil juridique, et si vous avez besoin d’une aide concrète pour la mise en œuvre de l’ODVG sur votre site web, vous devriez consulter un avocat.

EUGH : Les cookies ne devraient pouvoir être définis qu’après opt-in

Lors de l’audience devant la CJCE, le bouton Facebook était principalement au premier plan. La question était de savoir si l’utilisation du bouton est autorisée et, si oui, quelles sont les exigences. Toute personne qui intègre un tel bouton dans son site web doit savoir que des données personnelles, telles que l’adresse IP et d’autres informations du navigateur, sont déjà collectées par Facebook lorsque la page est appelée – et pas seulement lorsque le bouton Facebook est cliqué – même si le visiteur du site web n’est pas membre de la plateforme. Les cookies sont utilisés pour collecter les données. Il a été décidé que l’exploitant du site web est conjointement responsable de la collecte de ces données et doit donc obtenir le consentement des visiteurs du site web avant que le bouton Facebook n’enregistre des données et n’installe un cookie.

La mesure dans laquelle on est protégé contre un avertissement à cet égard reste cependant ouverte. C’est-à-dire que les plugins sociaux sous forme de boutons ou de widgets de Facebook, Instagram, Twitter, Pinterest et d’autres réseaux, ne doivent pas être utilisés sur les pages Internet de l’exploitant du site web ou doivent être désactivés jusqu’à ce que l’utilisateur ait été informé de la collecte de données par une option d’acceptation et ait donné son accord pour l’installation du cookie. Ce n’est qu’alors qu’elles peuvent être activées.

Une simple mention dans la déclaration de protection des données que les données sont transmises à Facebook n’est pas suffisante.

En outre, la CJCE fait référence à la directive sur les cookies. La question de savoir si elle est déjà efficace fait l’objet d’un différend entre les juristes, car elle n’a pas encore été transposée en droit national.

Ainsi, certains interprètent la décision comme signifiant que dorénavant, chaque fois qu’un cookie est placé, le consentement de l’utilisateur est requis. Pour plus de sécurité, il est donc conseillé de passer d’une bannière de cookies de type opt-out à une bannière de cookies de type opt-in.

Quels sont les cookies présents ?

Les cookies sont des informations ou des petits fichiers qui sont stockés dans le dispositif terminal du visiteur du site web. Ils sont nécessaires une fois pour afficher correctement un site web (ce sont des cookies techniquement nécessaires). En revanche, les cookies sont définis pour l’analyse du comportement des visiteurs du site web et à des fins publicitaires. En général, on peut faire une distinction entre les cookies de session, les cookies persistants et les cookies de suivi :

  • Cookies de session : ils stockent des informations qui associent les activités en ligne à une session de navigation individuelle. Les cookies de session sont des cookies non persistants qui ne sont stockés que pour la durée de la session de l’utilisateur et sont ensuite supprimés à nouveau.
  • Cookies persistants : ils sont stockés de manière permanente dans le navigateur de l’utilisateur et permettent un suivi entre les sessions.
  • Cookies de suivi : ils ne proviennent pas du serveur web de la page visitée, mais par exemple d’un fournisseur de publicité intégré à la page. Le cookie permet au fournisseur de publicité de suivre les activités de l’utilisateur sur Internet et de lui fournir une publicité personnalisée.

Du fait que les cookies de suivi et les cookies de tiers stockent des données personnelles telles que l’adresse IP, l’opérateur du site web doit obtenir le consentement explicite de l’utilisateur pour accepter ou non ces cookies. Cependant, là aussi, nous sommes sur un terrain dangereux. En effet, le suivi et l’analyse des cookies tels que ceux utilisés par Google Analytics nécessiteraient donc le consentement de l’utilisateur. Afin d’utiliser Google Analytics conformément à la réglementation sur la protection des données, vous pouvez (et devez) utiliser la fonction d’anonymisation de l’IP. Est-il toujours nécessaire d’accepter même si aucune donnée personnelle n’est collectée? Malheureusement, il n’y a pas de réponse claire à cette question, car les avis divergent également sur ce sujet.

Cookies de fournisseurs tiers connus : Comment procéder ?

Un très grand nombre de sites web intègrent désormais les services de fournisseurs tiers bien connus, tels que Google Analytics, Google Maps, YouTube, les boutons des réseaux sociaux, VG Wort et quelques autres. Presque tous les services stockent des données personnelles. Devriez-vous quand même les intégrer dans votre site web pour respecter les réglementations en matière de protection des données ? Toutefois, les mesures suivantes proposées ne sont pas automatiquement conformes à la protection de données :

  • Boutons des médias sociaux

Certains internautes intègrent les boutons de partage du plugin Shariff-Wrapper sur leurs sites web. Le plugin n’envoie pas de données aux différents réseaux sociaux et ne crée pas de cookies.

  • Ne pas utiliser plusieurs solutions de boutons

Certains utilisateurs utilisent un unique plugin tel le comptage des pixels du VG Wort. Ces derniers ont également placé un cookie, mais selon VG Wort, aucune donnée personnelle n’est collectée. Par conséquent, il devrait être possible d’insérer les pixels de suivi sans avoir à choisir. Dans le passage sur le VG Wort concernant la politique de confidentialité, il y a une option de retrait.

  • Google Analytics

L’usage de Google Analytics dans un avenir proche et d’utiliser une option d’inclusion sera probablement nécessaire, mais il faut néanmoins attendre de voir la fiabilité des chiffres sur Google Analytics. L’installation d’un plugin de statistiques qui ne collecte aucune donnée personnelle permettra par ailleurs de comparer les données. Une analyse détaillée (comme le filtrage des visiteurs par pays etc.) ne peut pas être faite avec ce plugin cependant.

  • YouTube-Videos

Pour l’intégration de YouTube-Videos, vous pouvez utiliser une fonction de thème interne d’Avada. Dans les paramètres de confidentialité, vous pouvez faire bloquer les vidéos de YouTube et Vimeo en premier. Après avoir cliqué sur le bouton “Accepter”, la vidéo s’affiche ou alors seulement, une connexion est établie. Qui veut la jouer en toute sécurité doit insérer la vidéo sur son site web via un lien, ce qui n’est pas très confortable pour l’utilisateur, cependant.

  • Google Maps

Les cartes de Google Maps insérés dans les sites web peuvent être réalisés avec une confidentialité étendue. Cela signifie qu’ils sont verrouillés au début, et un avis que Google Maps doit être autorisé à charger pour des raisons de confidentialité. En un clic, la carte peut être déverrouillée.

Avec le thème Avada, ces intégrations de tiers peuvent être très bien bloquées, non seulement Google Maps, mais aussi – comme déjà mentionné sous le point Vidéos YouTube – les vidéos de Vimeo et YouTube, Soundcloud et les cookies de suivi.

  • Opt-In avec l’assistance de WordPress-Plugins

Puisqu’un utilisateur casuel ne peut pas programmer une Opt-In-solution par ses propres moyens, il peut en revanche recourir à des WordPress-Plugins payants à la recherche de Opt-In-Cookie-Banners fiables.

Les plugins premium

  • Borlabs Cookie 2.0

De plus en plus de sites web et de blogs utilisent les Opt-In-Cookie-Banners, et la plupart du temps c’est la bannière de Borlab Cookies 2.0.

Le plugin Premium prend en charge les services suivants:

Les cookies peuvent être divisés en différents groupes de cookies, tels que les cookies essentiels, les cookies pour le marketing, les statistiques et les médias externes. Le nom, la durée, le but et l’origine peuvent être spécifiés pour les différents cookies. Il est également important que le plugin soit compatible avec tous les plugins de mise en cache.

Tout d’abord, une petite fenêtre d’information est affichée lorsque la page est appelée, dans laquelle les différents groupes de cookies sont listés. Si l’utilisateur veut plus d’informations, il clique sur “Personnaliser”. Une autre fenêtre s’ouvre alors, dans laquelle les paramètres de confidentialité ainsi que les cookies utilisés peuvent être consultés et l’utilisateur a la possibilité d’accepter ou non les cookies. Si l’utilisateur clique sur “Oui, continuez”, il accepte tous les cookies.

  • PixelMate

Le deuxième plugin premium PixelMate fait également bonne impression. Une petite fenêtre est affichée lorsque le site web est ouvert, indiquant que certains cookies (sont nommés dans le texte) seront définis lorsque l’utilisateur clique sur “Accepter”.

Si l’utilisateur rejette ou ne prend aucune décision, aucun cookie ne sera défini. Dans ce cas, cependant, aucune vidéo de YouTube ou de Vimeo ne peut être lancée, car elle est cachée. L’avis indique également que les services individuels peuvent être activés manuellement dans la politique de confidentialité via l’option d’adhésion.

Le revers des opt-in

Selon l’arrêt de la Cour de justice européenne, un opérateur de site web n’est pas vraiment devenu beaucoup plus intelligent. Un certain risque subsiste, même si vous utilisez un plug-in opt-in et que vous dites adieu à certains services qui utilisent des cookies. Avec les solutions mentionnées ci-dessus, les utilisateurs sont relativement bien protégés contre les avertissements. Mais il est essentiel que les tribunaux prennent des décisions claires qui laissent peu de place à l’interprétation et que les grands acteurs comme Google et Facebook seront tenus beaucoup plus responsables en matière de protection des données.