Cookies et RGPD: quelles erreurs les propriétaires de sites font-ils pour se mettre en conformité?





Cookies en tant que données personnelles



Le problème du resserrement des exigences relatives à l'utilisation des cookies a été discuté depuis l'entrée en vigueur du règlement européen sur la protection des données (ci-après RGPD), ainsi que la publication des projets d'amendements à la directive ePrivacy (mieux connue sous le nom de "Déclaration de confidentialité et de communications électroniques"). Ce sont ces documents qui définissent officiellement les cookies comme des données personnelles et prévoient une responsabilité extraterritoriale, ainsi que des amendes énormes aux propriétaires de sites pour l'utilisation illégale de ces fichiers. Nous avons déjà réaliséun aperçu des sanctions en cas de violation des principes de base du RGPD, mais aucune d'entre elles ne comportait de violations liées à la gestion des cookies. Souvent, en l'absence de pratiques judiciaires et de véritables punitions, les représentants des entreprises créent un sentiment de sécurité, en d'autres termes: «Tant que le tonnerre ne frappe pas, l'homme ne se signera pas». Mais des coups de tonnerre ont longtemps été entendus - l'une des plus grosses amendes pour violations liées aux cookies est une amende de 30000 € émise en octobre 2019 par l'autorité espagnole de protection des données Vueling pour ne pas avoir pu désactiver les cookies tiers.



En raison des particularités de la profession, lors de la visite de différents sites, vous les analysez involontairement pour vérifier la conformité avec les actes juridiques réglementaires connus dans le domaine de la protection des données personnelles. À la suite d'une autre analyse de ce type, il est devenu clair que dans la poursuite de la mise en œuvre des exigences du RGPD, de nombreuses entreprises se sont inquiétées de la question de «mettre les choses en ordre» sur leurs ressources Web. Cependant, en raison d'un manque de compréhension des exigences ou d'un manque de volonté de «gâcher» l'interface utilisateur du site, il semble qu'une organisation sur deux met en œuvre de manière incorrecte la politique d'utilisation de cookies sur leurs ressources.



Règlements mettant en œuvre la politique d'utilisation des fichiers de cookies



Du point de vue du RGPD et de l'ePrivacy, les règles d'utilisation des cookies ne sont pas différentes des règles de traitement de toutes les autres données personnelles et doivent être suivies si le site utilise des cookies qui vous permettent de former un profil d'utilisateur sur le réseau. Cependant, cela ne s'applique pas:



  • les cookies strictement nécessaires au bon fonctionnement du site;
  • cookies strictement nécessaires pour fournir un service en ligne à un utilisateur, par exemple, lorsqu'un utilisateur remplit un formulaire en ligne, utilise un panier ou s'authentifie sur le site pour entrer dans le système de prestation de services en ligne


Revenons aux règles, leur essence est la suivante:



  1. L'installation d'un cookie ne doit être effectuée qu'avec le consentement préalable de l'utilisateur.
  2. , , , , /, .
  3. cookie, , , , .
  4. .
  5. – cookie- , , , .


Erreurs majeures dans la mise en œuvre de la politique de cookies ou comment ne pas le faire



Examinons trois exemples de mise en œuvre incorrecte de la politique de cookies qui sont les plus courantes parmi les sites des responsables du traitement et des sous-traitants de données personnelles.



Exemple 1. Une bannière avertissant qu'en continuant à utiliser le site, vous consentez à l'utilisation de cookies.



Cette pratique est répandue dans les ressources Web russes et européennes. À titre d'exemple, considérons le site Web d'un magasin de cosmétiques italien. Selon la politique de cookies présentée sur le site Web, les cookies techniques, les cookies fonctionnels et les cookies de campagnes marketing de tiers sont définis pour l'utilisateur.

Cependant, la traduction littérale de l'avertissement sur la bannière en bas de page se lit comme suit: «Ce site utilise des cookies techniques, analytiques et de profilage tiers. Si vous choisissez «Continuer» ou accédez à tout contenu de notre site sans déterminer votre choix, vous consentez à l'utilisation de cookies. Pour en savoir plus et refuser le consentement à l'installation de cookies, cliquez ici. »







Dans ce cas, toutes les règles mentionnées précédemment sont violées:



  1. Les cookies sont installés immédiatement lorsque l'utilisateur ouvre le site.
  2. Continuer à utiliser le site ou cliquer sur le bouton Continuer n'est pas une action de confirmation claire, car l'utilisateur n'a pas le droit de choisir et il ne peut pas refuser de définir des cookies.
  3. , cookie, cookie.
  4. cookie , cookie .
  5. , , , , .


Exemple 2. Bannière avec le bon formulaire de consentement, qui ne fonctionne PAS sur toutes les pages du site.



Par exemple, considérons la version française de huppe.com.







La bannière avec consentement, présentée sur le site, est conforme aux règles que nous considérons, et le manuel de protection des données, auquel il est fait référence dans le texte, décrit de manière suffisamment détaillée la politique de l'entreprise en matière de cookies. Dans la version russe, la bannière avec consentement ressemble à ceci:







Cependant, si vous creusez plus profondément et essayez d'ouvrir non pas la page principale du site, mais, par exemple , cela s'avère magique.



La magie réside dans le fait que la bannière, qui semble répondre à toutes les exigences, ne fonctionne en fait pas. La mise en place de cookies, autres que strictement nécessaires, n'est pas bloquée tant que l'action d'autorisation n'a pas été effectuée, ce qui signifie que le site n'est définitivement plus un «excellent étudiant». Dans ce cas, sur 5 règles, nous pouvons dire que seules les règles 2 et



3. Exemple 3. Politique insuffisamment transparente pour l'utilisation des cookies



Il arrive également qu'une entreprise soit préoccupée par un mécanisme de travail pour obtenir le consentement, mais a manqué un détail important - des informations fournies de manière transparente sur l'objectif de cookies spécifiques et conditions de leur stockage. Cette situation se déroule sur le site castrol.com.







Le site dispose d'une bannière de consentement avec la possibilité de gérer des cookies individuels.







Et, surtout, le mécanisme de verrouillage fonctionne:



Avant d'obtenir le consentement







Après avoir obtenu le consentement







Cependant, les informations sur l'utilisation des cookies contiennent trop peu de détails - ni une liste de personnes dont les cookies tiers sont installés par le site, ni les périodes de stockage d'au moins des groupes individuels de cookies sur le site ne sont fournies. Dans de tels cas, l'un des principaux principes du RGPD est violé - La transparence du traitement, par conséquent, la règle 3. n'est pas respectée. Un exemple de politique de cookies totalement transparente est la politique publiée sur le site Web de la Commission européenne.



En plus d'indiquer des erreurs courantes dans la mise en œuvre des exigences européennes en matière de protection des données et de confidentialité, les exemples examinés démontrent que le travail des régulateurs européens oblige de nombreux contrôleurs et sous-traitants à se préoccuper des problèmes de conformité. Et si il y a deux ans, sur la grande majorité des sites, le sujet de l'utilisation des cookies n'était pas du tout abordé, la situation change maintenant de façon spectaculaire, ce qui ne peut que plaire aux utilisateurs qui souhaitent prendre le contrôle de leurs données - après tout, selon la Commission européenne pour la protection des données, c'est exactement ce que a été développé par le GDPR.



La pratique montre que dans les réalités actuelles, les propriétaires de sites qui sont des contrôleurs ou des processeurs ont deux options:



  1. ;
  2. - cookie-, , , .








,



All Articles