Le guide d'orientation de la Conférence sur la protection des données (DSK) sur les services numériques (version 1.2, novembre 2024) fournit un aperçu complet des exigences légales pour les fournisseurs de ces services, notamment en ce qui concerne les dispositions de la loi sur la protection des données des services numériques de télécommunication (TDDG) et du règlement général sur la protection des données (RGPD). Nous avons résumé pour vous les points les plus importants.
Champ d'application de la TDDDG et délimitation par rapport au RGPD
La TDDDG réglemente la protection des Vie privée lors de l'utilisation des équipements terminaux et contient des dispositions spécifiques relatives aux mesures techniques et organisationnelles ainsi qu'aux Obligations d'information. En revanche, la RGPD le Traitement des données à caractère personnel. L'aide à l'orientation met en évidence les différents objectifs de protection des deux cadres réglementaires et décrit la manière dont ils s'imbriquent.
Un point central de l'orientation est la disposition de l'article 25 de la TDDDG, qui régit le stockage et l'accès aux informations dans les équipements terminaux - indépendamment de l'existence d'une référence personnelle. Cette disposition va au-delà de la RGPD au-delà, en assurant la protection des Intégrité des équipements terminaux.
Nécessité d'un consentement et exceptions conformément à l'article 25 de la TDDDG
Le principe du consentement éclairé est au cœur de l'article 25 de la TDDDG. Selon ce principe, les informations sur les équipements terminaux ne peuvent être transmises qu'avec le consentement explicite de l'utilisateur. Consentement des utilisateurs finaux sont stockées ou récupérées. Ces Consentement doit répondre aux exigences strictes de la RGPD Elle doit être volontaire, informée, claire et révocable.
Il existe toutefois des exceptions, lorsque l'accès aux informations est obligatoire pour :
- d'effectuer la transmission d'un message (article 25, paragraphe 2, point 1, de la loi TDDDG),
- de fournir un service numérique expressément demandé (article 25, paragraphe 2, point 2, de la TDDDG).
Le guide d'orientation souligne que ces exceptions doivent être interprétées de manière stricte et donne des exemples concrets, par exemple pour les cookies de sécurité ou les fonctions de panier d'achat.
Exigences relatives aux bannières de consentement
Les bannières de consentement sont un instrument central pour la mise en œuvre des exigences légales. Le guide d'orientation exige une conception transparente qui offre un véritable choix à l'utilisateur. Elle attire notamment l'attention sur les points suivants :
- TransparenceToutes les finalités du traitement des données doivent être présentées de manière claire et compréhensible.
- Volontariat : l'option de ne pas Consentement doit être présentée de manière équivalente.
- Convivialité : un Révocation doit être aussi simple que Consentement être possible.
Les créations que les utilisateurs peuvent utiliser pour créer des "dark patterns". Consentement sont inadmissibles. Responsable doivent s'assurer que leurs bannières répondent aux exigences de la RGPD et de la TDDDG.
Conseil de lecture : Utilisation non autorisée de Google Analytics - Les exploitants de sites web doivent rectifier le tir après contrôle
Légitimité du traitement des données à caractère personnel
Le site Traitement des données à caractère personnel dans le cadre des services numériques doit se faire sur l'une des Bases juridiques de l'article 6, paragraphe 1 RGPD par exemple sur :
- Consentement (let. a),
- l'exécution du contrat (lettre b) ou
- intérêts légitimes (point f).
L'orientation montre toutefois que l'article 6, paragraphe 1, point f) RGPD n'est souvent pas suffisante dans la pratique, en particulier lorsqu'il est fait appel à des fournisseurs tiers qui poursuivent leurs propres objectifs. Les fournisseurs doivent s'assurer qu'il existe une base juridique effective pour chaque traitement de données.
Recommandations pour les entreprises
Le guide d'orientation de la DSK offre aux fournisseurs de services numériques une ligne directrice claire pour l'exploitation de leurs offres en toute sécurité juridique. Elle souligne l'importance d'un niveau élevé de protection des données et appelle à la prudence lors de l'intégration de fournisseurs tiers et de la conception de processus de consentement. Les entreprises devraient donc tenir compte des recommandations suivantes :
- Analyse et vérification : les entreprises devraient effectuer une analyse complète de leurs services numériques et vérifier s'ils répondent aux exigences de la TDDDG et du RGPD.
- Gestion du consentement : il est essentiel que les bannières de consentement soient conviviales, transparentes et conformes à la législation.
- Formation et sensibilisationLes collaborateurs, en particulier dans les domaines de l'informatique et du marketing, devraient être formés aux nouvelles exigences.
- Intégrer les délégués à la protection des données : Le responsable de la protection des données de l'entreprise devrait être impliqué dans tous les processus afin de garantir la conformité.
- Effectuer des audits réguliers : Les mesures de protection des données doivent être régulièrement revues et adaptées aux nouvelles évolutions juridiques et technologiques.
La mise en œuvre des directives nécessite mesures techniques et organisationnellesLa protection des données doit aller au-delà du simple respect des exigences légales minimales. Compte tenu des exigences réglementaires croissantes dans l'espace numérique, il est indispensable de vérifier et d'adapter en permanence les mesures de protection des données.
Source : Orientation des autorités de surveillance pour les fournisseurs de services numériques (OH Services numériques) Version 1.2 (novembre 2024)
German 
English 
Italian 
French