Le guide d'orientation de la Conférence sur la protection des données (CPD) sur les services numériques (version 1.2, novembre 2024) offre un aperçu complet des exigences juridiques pour les fournisseurs de ces services, notamment en ce qui concerne les dispositions de la loi sur la protection des données des services numériques de télécommunication (TDDG) et du règlement général sur la protection des données (RGPD). Nous avons résumé pour vous les points les plus importants.
Champ d'application de la TDDDG et délimitation par rapport au RGPD
La TDDDG réglemente la protection de la vie privée lors de l'utilisation d'équipements terminaux et contient des dispositions particulières relatives aux mesures techniques et organisationnelles ainsi qu'aux obligations d'information. En revanche, le RGPD s'adresse au traitement des données à caractère personnel. Le guide d'orientation met en évidence les différents objectifs de protection des deux réglementations et décrit la manière dont ils s'imbriquent.
Un point central de l'orientation est la disposition de l'article 25 de la TDDDG, qui régit le stockage et l'accès aux informations dans les équipements terminaux - indépendamment de l'existence d'une référence personnelle. Cette disposition va plus loin que le RGPD en se concentrant sur la protection de l'intégrité des équipements terminaux.
Nécessité d'un consentement et exceptions conformément à l'article 25 de la TDDDG
Le principe du consentement éclairé est au cœur de l'article 25 de la TDDDG. Selon ce principe, les informations ne peuvent être stockées ou consultées sur les équipements terminaux qu'avec le consentement explicite des utilisateurs finaux. Ce consentement doit répondre aux exigences strictes du RGPD : il doit être volontaire, informé, univoque et révocable.
Il existe toutefois des exceptions, lorsque l'accès aux informations est obligatoire pour :
- d'effectuer la transmission d'un message (article 25, paragraphe 2, point 1, de la loi TDDDG),
- de fournir un service numérique expressément demandé (article 25, paragraphe 2, point 2, de la TDDDG).
Le guide d'orientation souligne que ces exceptions doivent être interprétées de manière stricte et donne des exemples concrets, par exemple pour les cookies de sécurité ou les fonctions de panier d'achat.
Exigences relatives aux bannières de consentement
Les bannières de consentement sont un instrument central pour la mise en œuvre des exigences légales. Le guide d'orientation exige une conception transparente qui offre un véritable choix à l'utilisateur. Elle attire notamment l'attention sur les points suivants :
- Transparence : toutes les finalités du traitement des données doivent être présentées de manière claire et compréhensible.
- Volontariat : l'option de ne pas donner son consentement doit être présentée de manière équivalente.
- Convivialité : la révocation doit être aussi simple que le consentement.
Les conceptions qui poussent les utilisateurs à donner leur consentement par le biais de ce que l'on appelle des "dark patterns" ne sont pas autorisées. Les responsables doivent s'assurer que leurs bannières répondent aux exigences du RGPD et de la TDDDG.
Conseil de lecture : Utilisation non autorisée de Google Analytics - Les exploitants de sites web doivent rectifier le tir après contrôle
Légitimité du traitement des données à caractère personnel
Le traitement des données à caractère personnel dans le cadre des services numériques doit être fondé sur l'une des bases juridiques visées à l'article 6, paragraphe 1, du RGPD, par ex :
- Consentement (lettre a),
- l'exécution du contrat (lettre b) ou
- intérêts légitimes (point f).
L'orientation montre toutefois que l'article 6, paragraphe 1, point f) du RGPD n'est souvent pas suffisant dans la pratique, en particulier lorsqu'il est fait appel à des prestataires tiers qui poursuivent leurs propres objectifs. Les fournisseurs doivent s'assurer qu'il existe une base juridique efficace pour chaque traitement de données.
Recommandations pour les entreprises
Le guide d'orientation de la DSK offre aux fournisseurs de services numériques une ligne directrice claire pour l'exploitation de leurs offres en toute sécurité juridique. Elle souligne l'importance d'un niveau élevé de protection des données et appelle à la prudence lors de l'intégration de fournisseurs tiers et de la conception de processus de consentement. Les entreprises devraient donc tenir compte des recommandations suivantes :
- Analyse et vérification : les entreprises devraient effectuer une analyse complète de leurs services numériques et vérifier s'ils répondent aux exigences de la TDDDG et du RGPD.
- Gestion du consentement : il est essentiel que les bannières de consentement soient conviviales, transparentes et conformes à la législation.
- Formation et sensibilisation : les collaborateurs, en particulier dans les domaines de l'informatique et du marketing, devraient être formés aux nouvelles exigences.
- Intégrer les délégués à la protection des données : Le responsable de la protection des données de l'entreprise devrait être impliqué dans tous les processus afin de garantir la conformité.
- Effectuer des audits réguliers : Les mesures de protection des données doivent être régulièrement revues et adaptées aux nouvelles évolutions juridiques et technologiques.
La mise en œuvre des directives exige des mesures techniques et organisationnelles qui vont au-delà du simple respect des exigences légales minimales. Compte tenu des exigences réglementaires croissantes dans l'espace numérique, il est indispensable de vérifier et d'adapter en permanence les mesures de protection des données.
Source : Orientation des autorités de surveillance pour les fournisseurs de services numériques (OH Services numériques) Version 1.2 (novembre 2024)