Les bannières de consentement des cookies jugées illégales
Ce 2 février, le gendarme du RGPG a conclu que les bannières de consentement pour les cookies étaient illégales. Toutes les données collectées à travers celles-ci doivent être supprimées par les sites web.
Lorsque vous naviguez sur la toile, vous voyez très régulièrement des bannières qui surgissent afin de vous demander d’accepter ou non les cookies de traçage. Elles font partie de notre vie en ligne depuis des années et on clique parfois dessus pour les accepter ou simplement pour les passer et ne plus être importuné par celles-ci, mais cela pourrait bientôt changer.
En effet, les autorités de protection des données européennes ont statué sur le fait que ces bannières sont illégales et que les données récoltées par ce biais doivent être supprimées. Cela va donc impacter les géants du web comme Google, Amazon ou Microsoft mais en tout, cela concerne près de 1 000 entreprises qui recourent aux données de l’IAB (Interactive Advertising Bureau).
L’autorité belge mène la danse
Dans une décision rendue ce 2 février, les 28 autorités européennes dont l’autorité belge ont conclu que l’industrie de la publicité en ligne (IAB Europe) commettait plusieurs violations du RGPD dans le traitement des données personnelles, dans le contexte du Cadre de transparence et de consentement (TCF).
La pop-up de consentement se trouve sur près de 80% des sites web européens et l’industrie du tracking en ligne estimait que cela suffisait pour se conformer au RGPD. Pourtant, cela aurait en réalité privé des centaines de millions d’européens de leurs droits fondamentaux.
Selon le Conseil irlandais pour les libertés civiles qui publie la décision, le TCF aurait ainsi enfreint le RGPD à plusieurs niveaux. La solution ne permet pas de s’assurer que les données personnelles sont sécurisées et confidentielles, que le recueil du consentement n’est pas bon, qu’il repose sur une base qui n’est pas permise, qu’il y a un manquement au niveau de la transparence de ce qu’il se passe avec les données des visiteurs des sites web, qu’il existe un manquement sur l’implémentation de mesures pour s’assurer que le traitement des données est fait en accord avec le RGPD, et également que la solution échoue à respecter la notion de la protection des données par design.
Des risques connus mais ignorés
Pour l’autorité belge, l’IAB était forcément consciente des risques liés à la non-conformité et a été négligente. Elle a également trouvé que l’IAB avait manqué à ses obligations concernant la protection des données consistant à conserver des enregistrements du traitement des données, à mener une analyse d’impact sur la protection des données et à nommer un délégué à la protection des données.
Avec ces nombreuses déficiences, l’autorité a noté que le TCF soutenait un système présentant de grands risques pour les libertés et droits fondamentaux des personnes concernées, compte tenu notamment de l’ampleur des données personnelles concernées, du profilage, de la prédiction du comportement et de la surveillance des personnes concernées. Les plus de 1 000 entreprises ayant eu recours aux données de l’IAB, devront donc les supprimer.
« Ce fut une longue bataille » a indiqué le Dr Johnny Ryan du Conseil irlandais avant d’ajouter que « la décision d’aujourd’hui libère des centaines de millions d’européens des spams de consentement et du risque plus profond que leurs activités en ligne les plus intimes soient transmises à des milliers d’entreprises ».
Les commentaires des actualités restent ouverts 30 jours après publication. Si vous avez une question, cherchez la page appropriée dans nos sections Mobile, Internet ou TV et postez un commentaire.