Interdiction d'utiliser Cookiebot sur les sites internet allemands
L'université RheinMain ne peut pas intégrer sur son site Internet le logiciel de gestion de cookies Cookiebot qui implique un traitement des données aux États-Unis sans obtenir le consentement préalable des utilisateurs du site. Une telle intégration est contraire aux dispositions du RGPD. C'est ce qu'a décidé de manière provisoire le tribunal administratif de Wiesbaden par décision du 1er décembre 2021 dans le cadre d'une procédure d'urgence.
Le logiciel de gestion de cookies mis en place sur le site Internet de l'université permettait d'obtenir le consentement des utilisateurs pour l'utilisation des cookies non essentiels. Il surveille les cookies utilisés et bloque ceux pour lesquels le consentement n'a pas été donné. Le tribunal allemand a constaté que l'intégration du service de cookies entraînait la transmission de données à caractère personnel, notamment l'adresse IP non abrégée qui permet d'identifier précisément les utilisateurs respectifs, à des serveurs exploités par une entreprise américaine, de sorte que celle-ci - même dans l’hypothèse où les serveurs se trouvaient sur le territoire de l'Union Européenne - avait accès aux données. Le tribunal constate que les conditions des articles 48 et 49 du RGPD n’étant pas réunies, ce transfert de données à caractère personnel vers un pays tiers est illicite.
En effet, la société américaine est soumise au « Cloud Act » américain, qui oblige les fournisseurs américains de services de communications électroniques ou de gérance informatique à divulguer toutes les données en leur possession ou sous leur contrôle, qu'elles soient stockées aux États-Unis ou non. Le tribunal estime qu’en l’espèce, le consentement spécifique des utilisateurs pour le transfert de leurs données vers un pays tiers n’était pas demandé et qu’ils n’étaient pas non plus informés des risques potentiels liés à ce transfert. Il n'y avait pas non plus de raisons importantes d'intérêt public pour le transfert de données vers les États-Unis. Aucun des autres critères de l’article 49 du RGPD autorisant un transfert de données à caractère personnel vers les Etats Unis n’était donc rempli.
Cette décision montre une fois de plus le renforcement de la protection des données à caractère personnel nationale et européenne et la volonté de restreindre la possibilité de traiter de telles données dans des pays tiers. En effet, depuis la décision « Schrems II » de la CJUE, il est établi qu'un traitement de données à caractère personnel dans des pays tiers est interdit si le droit de protection des données de ce pays tiers est inférieur au standard du droit européen de protection des données, ce qui est le cas s’agissant des États-Unis. Un traitement de données dans des pays tiers n'est toutefois pas illicite en soi. Il peut être autorisé s'il est effectué sur la base de clauses contractuelles standard qui fixent contractuellement les normes européennes de protection des données.
Recommandations pratiques :
La décision de ne plus autoriser l’université RheinMain à utiliser le logiciel de gestion de cookies Cookiebot a été prise dans le cadre d’une procédure d’urgence. Il faut toutefois s’attendre à ce que cette décision soit confirmée dans une procédure principale ce qui obligera d’autres exploitants de sites internet utilisant ce logiciel ou des logiciels similaires à prendre les mesures nécessaires. Pour cette raison, il est conseillé aux entreprises concernées de désactiver ces logiciels dès maintenant et de recourir de préférence à des solutions d’autres fournisseurs sans traitement des données à caractère personnel dans des pays tiers.
Dans ce contexte, il convient également de noter que le 1er décembre 2021 la loi dite « TTDSG » (« Telekommunikation-Telemedien-Datenschutz-Gesetz ») est entrée en vigueur, transposant des dispositions de la directive européenne « vie privée et communications électroniques » et harmonisant les règles nationales en matière de protection de la vie privée dans le secteur des communications électroniques. Jusqu'à présent, l’écriture et la lecture d’informations non personnelles dans les terminaux d’utilisateurs de sites internet n’étaient pas explicitement règlementées en Allemagne. L’article 25 de la TTDSG prévoit désormais que (sauf exceptions extrêmement limitées), l’utilisation de cookies et autres traceurs requièrent le consentement explicite de l'utilisateur– et cela indépendamment du fait que des données à caractère personnel soient traitées ou non. Cette exigence – déjà reconnue par la jurisprudence européenne et nationale – n’est certes pas totalement nouvelle, mais elle est désormais expressément prévue par la loi.
