Verdict important : le fournisseur « Cookiebot » déclaré illégal

Dans un jugement révolutionnaire, le tribunal administratif de Wiesbaden a déclaré le fournisseur Cookiebot illégal. Dans le processus, l’Université des sciences appliquées RheinMain s’est vu interdire d’utiliser le fournisseur sur son propre site Web.

Capture d'écran du site Web du tribunal administratif de Wiesbaden sur l'arrêt Cookiebot

L’arrière-plan

La procédure devant le tribunal administratif de Wiesbaden (Az. : 6 L 738/21.WI) portait essentiellement sur la question de savoir si l’Université des sciences appliquées RheinMain utilise ou non une bannière de cookies conforme au RGPD sur son site Web www.hs-rm.de. En fin de compte, il s’agit de savoir si un site Web peut devenir conforme au RGPD si vous utilisez l’outil « Cookiebot ».

La décision

Le tribunal a maintenant répondu à cette question par la négative : le site Web de l’Université des sciences appliquées RheinMain n’est pas autorisé à utiliser la bannière cookie Cookiebot – le tribunal déclare donc le fournisseur Cookiebot illégal.

L’université est tenue de mettre fin à l’intégration du service « Cookiebot » sur son site Web, car cela est associé à la transmission illégale de données personnelles des utilisateurs du site Web et donc en particulier du candidat.

Tribunal administratif de Hesse, VG Wiesbaden

Le raisonnement

En tant que fournisseur de bannières de cookies, Cookiebot traite des données personnelles, telles que l’adresse IP ou les informations du navigateur du visiteur. Les serveurs pour ce traitement de données sont situés chez un fournisseur dont le siège social est aux États-Unis (Cookiebot loue ces serveurs). Il en résulte une référence à un pays tiers, ce qui est irrecevable au regard de l’arrêt dit Schrems II de la Cour de justice européenne. Cela signifie que les données sont envoyées à une entreprise dont l’accès par les autorités américaines telles que la NSA ou le FBI n’est pas suffisamment protégé.

En termes simples : en utilisant Cookiebot, les autorités américaines pourraient accéder aux données des utilisateurs européens. L’utilisation de Cookiebot est donc illégale et doit donc être retirée du site Web de l’université.

Les conséquences

Le jugement est révolutionnaire et affecte donc également le plugin WordPress Cookiebot et indirectement également d’autres fournisseurs : dans un premier petit test, nous avons trouvé des services américains utilisés par tous les principaux CMP et fournisseurs de bannières de cookies :

Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes et d’autres utilisent également des services comme Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai et d’autres services d’entreprises américaines.

D’un seul coup, 90 % des sites Web allemands et internationaux ne sont fondamentalement pas conformes au RGPD et il est urgent d’agir.

notre recommandation

Il vaut donc mieux faire confiance à consentmanager : Nous nous appuyons (toujours) sur des fournisseurs purement européens sans racines aux États-Unis. Toutes les données sont hébergées exclusivement dans l’UE – sans risque d’interdictions, d’avertissements et d’amendes en raison de violations de Schrems II, comme c’est actuellement le cas avec Cookiebot.