MISE À JOUR : Cet article a été publié le 6 décembre 2021. Entre-temps, la décision du VG Wiesbaden à l’encontre de Cookiebot a été annulée par le VGH Kassel : non pas cependant parce que l’utilisation de Cookiebot avait désormais été déclarée légale, mais pour des raisons purement procédurales (il n’y avait pas d’urgence à rendre une ordonnance provisoire et le tribunal de la première instance n’était pas compétente). Nous ne savons pas si un procès principal a été intenté contre Cookiebot.
Dans une décision révolutionnaire , le tribunal administratif de Wiesbaden a déterminé que le Le fournisseur Cookiebot n’est pas conforme à la protection des données . Dans le processus, l’Université des sciences appliquées RheinMain s’est vu interdire d’utiliser le fournisseur sur son propre site Web.
L’arrière-plan
La procédure devant le tribunal administratif de Wiesbaden (Az. : 6 L 738/21.WI) portait essentiellement sur la question de savoir si l’Université des sciences appliquées de RheinMain utilise ou non une bannière de cookies conforme au RGPD sur son site Internet www.hs-rm.de. En fin de compte, la principale question ici est de savoir si un site Web peut réellement être conforme au RGPD si l’outil « Cookiebot » est utilisé.
La décision
Le tribunal a désormais répondu à cette question par la négative : le site Internet de l’Université RheinMain n’est pas autorisé à utiliser la bannière de cookies de Cookiebot – le tribunal déclare donc le fournisseur Cookiebot non conforme à la protection des données.
L’université est tenue de mettre fin à l’intégration du service « Cookiebot » sur son site Web, car cela est associé à la transmission illégale de données personnelles des utilisateurs du site Web et donc en particulier du candidat.
Tribunal administratif de Hesse, VG Wiesbaden
Le raisonnement
En tant que fournisseur de bannières de cookies, Cookiebot traite des données personnelles, telles que l’adresse IP ou les informations du navigateur du visiteur. Les serveurs pour ce traitement de données sont situés chez un fournisseur dont le siège social est aux États-Unis (Cookiebot loue ces serveurs). Il en résulte une référence à un pays tiers, ce qui est irrecevable au regard de l’arrêt dit Schrems II de la Cour de justice européenne. Cela signifie que les données sont envoyées à une entreprise où elles ne sont pas suffisamment protégées contre l’accès par les autorités américaines telles que la NSA ou le FBI.
En termes simples : grâce à l’utilisation de Cookiebot et au transfert de données associé vers les États-Unis, les autorités américaines pourraient accéder aux données des utilisateurs européens. L’utilisation de Cookiebot n’est donc pas légale et doit donc être supprimée du site Internet de l’université.
Les conséquences
Le jugement est révolutionnaire et affecte donc également le plugin WordPress Cookiebot et indirectement également d’autres fournisseurs : dans un premier petit test, nous avons trouvé des services américains utilisés par tous les principaux CMP et fournisseurs de bannières de cookies :
Usercentrics, SourcePoint, OneTrust, Didomi, CookieFirst, Iubenda, CookieHub, CookieYes et d’autres utilisent également des services comme Amazon AWS, Google Cloud, Microsoft Azure, Cloudfront, Akamai et d’autres services d’entreprises américaines.
D’un seul coup, près de 90 % des sites Internet allemands et internationaux ne pourraient pas être conformes au RGPD et il est urgent d’agir.
notre recommandation
Mieux vaut donc faire confiance consentmanager : Nous nous sommes (toujours) appuyés sur des prestataires purement européens sans ancrage aux USA. Toutes les données sont hébergées exclusivement dans l’UE – sans risque d’interdictions, d’avertissements et d’amendes en raison de violations de Schrems II, comme c’est actuellement le cas avec Cookiebot.