Le commissaire d’État à la protection des données de Basse-Saxe a publié de nouvelles directives et instructions sur l’apparence d’une couche de consentement conforme. Les informations les plus importantes sont résumées ici.
De nombreux outils de consentement non conformes
Tout d’abord, le LDF se rend compte que de nombreux outils GDPR ne sont finalement pas conformes au GDPR. L’utilisation d’un outil de gestion du consentement permettra généralement au site Internet d’être conforme afin d’obtenir un consentement conforme à la protection des données – mais il appartient à l’exploitant du site Internet de configurer correctement l’outil.
Conseil pratique : les paramètres par défaut de consentmanager sont déjà définis sur les valeurs recommandées. Si vous ne savez pas comment configurer notre outil, utilisez simplement les paramètres par défaut.
Aucun traitement de données avant le consentement
La LDF précise également une fois de plus que le traitement des données, c’est-à-dire l’installation de cookies et le recours à des fournisseurs tiers, ne peut avoir lieu qu’avec le consentement (par exemple via une bannière de consentement sur le site Internet).
Conseil pratique : utilisez notre test de conformité Cookie Crawler pour déterminer qu’aucun cookie n’est déposé sans consentement.
Informations dans la couche de consentement
En outre, la LDF précise une fois de plus quelles informations doivent figurer dans une bannière de consentement sur le site Internet afin d’obtenir le consentement conformément à la réglementation sur la protection des données. Ce sont notamment :
- l’identité du responsable,
- fins de traitement,
- les données traitées,
- l’intention d’une décision exclusivement automatisée (art. 22 al. 2 lit. c) et
- l’intention de transférer des données vers des pays tiers (art. 49 al. 1 phrase 1 lit. a)
Il est également précisé que les finalités doivent être précises. Des formulations telles que « améliorer l’expérience de navigation » ou « marketing, analyse et personnalisation » ne suffisent pas.
Il en va de même pour la spécification des partenaires : il ne suffit pas de dire que les « partenaires » traiteront les données – tous les partenaires doivent également être nommés individuellement.
Conseil pratique : Le consentmanager fournit déjà la plupart des données requises, mais vous devez vérifier si les finalités sont suffisamment nommées spécifiquement pour vos domaines d’application.
Consentement sans ambiguïté et coups de coude
Enfin, le LFD indique clairement qu’un bouton doit être clairement compréhensible et clairement étiqueté. Un bouton « OK » n’est pas suffisant ici et « Accepter tout » peut aussi être trop peu clair (si le texte ne décrit pas adéquatement ce qui est accepté).
Parallèlement, le LFD précise que les modèles dits « PUR » (accepter de la publicité ou souscrire à un abonnement) peuvent être conformes.
Le LFD explique également en détail que les soi-disant nudging ou dark patterns ne sont pas autorisés. Le fait est que l’utilisateur est consciemment ou inconsciemment poussé à prendre une décision et donc le « libre choix » est sapé. C’est déjà le cas si, par exemple, le bouton de rejet est conçu différemment (moins visible) ou si le rejet n’est possible qu’en cliquant sur « Paramètres » ou similaire.
Conseil pratique : Utilisez toujours deux boutons (accepter et rejeter) et formulez-les clairement.