Interview d'expert sur la réglementation sur les cookies : « L'intention était bonne, mais la mise en œuvre laisse à désirer »

MAIS il nous restait quelques questions en suspens. Sommes-nous trop critiques parce que nous abordons naturellement le sujet sous un angle différent ? Si cela ne tenait qu'à nous, nous n'opterions pas pour une solution purement allemande ; nous viserions plutôt des solutions où le problème ne se pose tout simplement pas. Dans notre contexte, cela signifie un hébergement vidéo entièrement sans besoin de consentement ni de cookies, conçu pour l'Europe.

Pour éclaircir nos interrogations, nous avons consulté Dr. jur. Thomas Schwenke, LL.M. (UoA). Thomas est un avocat allemand et expert en protection des données qui conseille les entreprises en matière de marketing et d'utilisation de l'IA. Il anime également un podcast sur Rechtsbelehrung.com et propose un outil populaire pour la création de déclarations de protection des données et de directives IA sur Datenschutz-Generator.de.

Avant-goût : malheureusement, notre opinion sur la gestion centralisée du consentement ne s'est pas améliorée, comme le conclut Thomas :

« [...] La réglementation sur les cookies est un bon exemple de l'approche "bien intentionnée, mais mal exécutée". Il semble que les auteurs aient oublié que les règles relatives au consentement sont imposées par l'UE. Par conséquent, une simplification efficace du consentement aux cookies ne peut réussir qu'au niveau européen. [...] » (Note : cette citation est traduite)

Nos principales interrogations portaient sur :

• le périmètre d'application de la gestion du consentement,
• son applicabilité internationale, étant donné que peu de sites web opèrent exclusivement en Allemagne,
• et les questions de responsabilité en pratique, d'autant qu'un nombre significatif de sites web ne sont toujours pas conformes au RGPD à ce jour.

Nous avons abordé chacune de ces préoccupations avec des exemples pratiques. Tu trouveras les réponses à ces questions dans notre interview avec Thomas.

Interview : Avec Thomas Schwenke sur la gestion centralisée du consentement

Bonjour Thomas, entrons directement dans le vif du sujet avec la première question.

Thème n°1 : Périmètre limité de la gestion du consentement

Les critiques soutiennent que la gestion centralisée du consentement ne couvre que le périmètre du § 25 TDDSG. De nombreux consentements, comme ceux requis pour le traitement des données personnelles en vertu du RGPD, ne sont pas pris en compte.

Exemple :

• J'utilise Google Analytics sur mon site web. Le § 25 TDDSG (relatif à la technologie) régit le fait que je puisse stocker un cookie de suivi sur l'appareil de l'utilisateur – pour cela, j'ai besoin de son consentement.
• Cependant, ce que le § 25 TDDSG ne réglemente pas, c'est le traitement des données collectées par ce cookie. Cela inclut l'adresse IP et le comportement de navigation. Ces données ne peuvent être traitées que conformément aux exigences du RGPD (relatif aux données), ce qui nécessite un consentement distinct.

Pour les entreprises, cela signifie-t-il qu'elles doivent continuer à exploiter des systèmes parallèles ? Comment les réglementations du TDDSG et du RGPD peuvent-elles être combinées de manière judicieuse en pratique ?

« Il est possible d'obtenir plusieurs consentements en un seul clic, par exemple en cliquant sur le bouton "Tout accepter". C'est déjà le cas dans chaque bannière de cookies aujourd'hui. Cela signifie qu'un système qui collecte des consentements centralisés en vertu du TDDSG peut également collecter des consentements en vertu du RGPD. Cependant, il est important que les utilisateurs soient informés de la portée de leur consentement et du fait qu'il s'applique également à d'autres exploitants de sites web.

Une autre question, cependant, est de savoir s'il est permis de déclarer un consentement qui s'applique à tous les exploitants de sites web, comme l'envisage la réglementation sur la gestion du consentement (EinwV). Cela frôle un consentement général, ce qui n'est en retour pas autorisé par le RGPD. Cela signifie qu'il n'est pas certain que l'EinwV soit juridiquement admissible au regard du droit européen. » (Note : cette citation est traduite)

Thème n°2 : Questions de responsabilité en cas d'erreurs du service centralisé

Selon des études, 54 % des sites web (source) ne sont pas conformes au RGPD. Lorsqu'un exploitant de site web utilise le service centralisé allemand de consentement et que celui-ci dysfonctionne sur un autre site, la question de la responsabilité reste floue.

Exemple :

1. Un autre site web enregistre un consentement utilisateur erroné parce qu'un service est mal catégorisé comme « essentiel », et moi, en tant qu'exploitant de site web, je ne peux ni le tracer ni le voir.

Qui est juridiquement responsable dans de tels cas ? Comment les entreprises peuvent-elles se protéger lorsqu'elles utilisent des services centralisés de consentement ?

« La responsabilité en matière de protection des données pour les services intégrés sur le site web incombe à l'exploitant du site. La réglementation allemande ne prévoit aucun allègement qui exonérerait l'exploitant du site de sa responsabilité. Cela signifie que s'il exploite un système externe, l'exploitant du site ne peut que se retourner en garantie contre le fournisseur du service. Étant donné que l'EinwV stipule que les fournisseurs de "services reconnus de gestion du consentement" ne doivent pas avoir d'intérêt économique dans les données des utilisateurs, ils devraient développer un modèle commercial différent pour offrir une telle garantie.

Alternativement, la responsabilité devrait être exclue, ce qui est juridiquement problématique et ne contribuerait probablement pas à renforcer la confiance des exploitants de sites web dans un tel système. » (Note : cette citation est traduite)

Thème n°3 : Complexité de la conformité au RGPD

Le RGPD exige que les consentements soient « libres, spécifiques et éclairés ». Garantir cela est également crucial lors de l'utilisation d'un service centralisé. En pratique, il existe une grande variété de bannières de consentement, dont certaines sont juridiquement controversées. À ce jour, il n'existe pas de solution universelle.

Exemple : Imaginons que le consentement soit obtenu via une bannière « Pay-or-Okay » juridiquement contestable, comme le font de nombreux médias, ce qui entraîne des taux de consentement quasi universels. J'utilise le même service sur mon site B2B…

Quels sont selon toi les plus grands défis pour combler l'écart entre les exigences légales et la mise en œuvre pratique ? Devrait-il continuer à exister différentes versions de ces bannières de consentement ?

« Le principal défi réside dans l'adoption du consentement centralisé. Étant donné qu'il s'agit d'une loi nationale allemande, il est peu probable que les fournisseurs de navigateurs l'intègrent volontairement. De plus, les freins pour les fournisseurs commerciaux mentionnés à la question 2 s'appliquent. Une complication supplémentaire est que le consentement doit être applicable à chaque service spécifique, à sa version correcte et aux paramètres choisis. Cette complexité rend la situation risquée pour les exploitants de sites web, qui pourraient être tenus responsables de tout consentement invalide.

Cependant, concernant l'exemple mentionné, une bannière "Consent-or-Pay" n'est pas intrinsèquement illégale. Sa légalité dépend largement de sa conception. »

Thème n°4 : Défis internationaux

La réglementation n'est applicable qu'en Allemagne, tandis que d'autres pays de l'UE peuvent avoir leurs propres règles, souvent plus strictes, pour les bannières de cookies. Cela pose des défis aux entreprises opérant à l'international qui cherchent à créer des solutions uniformes.

Exemple :

• J'ai un site web en allemand et en français. En France, il n'existe pas de système de collecte centralisée.

Comment les entreprises peuvent-elles gérer de telles différences régionales ?

« Les entreprises ont la possibilité soit de se conformer aux réglementations les plus strictes au sein de l'UE, soit de développer des solutions de cookies adaptées à différents pays. La plupart des entreprises optent pour la première approche. Bien que le consentement à l'utilisation des cookies soit réglementé de manière uniforme dans toute l'UE, les États membres disposent de peu de marge de manœuvre pour s'en écarter en termes de facilitation ou de complexification de l'obtention de ce consentement. L'EinwV allemande est un parfait exemple des difficultés à s'écarter des règles européennes. » (Note : cette citation est traduite)

Thème n°4 : La réglementation est-elle réaliste ?

Au vu de tes réponses précédentes et des critiques générales, ta conclusion ne semble pas très positive. Ce qui nous amène à la dernière question :

L'objectif de la réglementation est-il réaliste, ou engendre-t-il davantage de complexité pour les entreprises et les utilisateurs ?

« La réglementation sur les cookies est un bon exemple de l'approche "bien intentionnée, mais mal exécutée". Il semble que les auteurs aient oublié que les règles relatives au consentement sont imposées par l'UE. Par conséquent, une simplification efficace du consentement aux cookies ne peut réussir qu'au niveau européen.

La réglementation allemande sur les cookies pourrait au mieux servir de proposition pour illustrer à quoi pourrait ressembler une telle simplification au niveau européen. En pratique, la mise en œuvre de la réglementation allemande sur les cookies ne soulagerait que les utilisateurs qui sont généralement disposés à donner leur consentement de manière généreuse. Les utilisateurs qui refusent pourraient, en revanche, être encore plus désorientés par des procédures de cookies différentes. Par frustration, cela pourrait les amener à finalement simplement cliquer sur "Tout accepter".

Il existe un risque significatif que l'EinwV, du point de vue de la protection des consommateurs, finisse par faire plus de mal que de bien. » (Note : cette citation est traduite)

Merci pour tes réponses à nos questions, Thomas !

Si le sujet t'intéresse, n'hésite pas à consulter notre présentation générale de l'EinwV. Pour en savoir plus sur Dr. jur. Thomas Schwenke :