236 liens privés
Nouvelles exigences concernant le TCF de l'IAB
Les éditeurs devront s'assurer qu'ils collaborent avec une plate-forme de gestion du consentement (CMP, Consent Management Platform) certifiée par Google pour diffuser des annonces auprès des utilisateurs de l'Espace économique européen (EEE) ou du Royaume-Uni. Les CMP certifiées par Google sont évaluées par Google selon les critères de certification Google axés sur la conformité avec le TCF.
Calendrier
-
À partir de mai 2023 : Google a entamé le processus de certification des CMP qui collaborent avec nos éditeurs partenaires. Google collaborera avec les CMP pour les certifier sur la base des critères de certification.
-
À compter du 16 janvier 2024, en plus de nos Règles relatives au consentement de l'utilisateur dans l'UE, les éditeurs et les développeurs qui ont recours à Google AdSense, Ad Manager ou AdMob devront utiliser une plate-forme de gestion du consentement (CMP) certifiée par Google qui intègre le Transparency and Consent Framework (TCF) de l'IAB pour diffuser des annonces auprès des utilisateurs de l'Espace économique européen (EEE) ou du Royaume-Uni. Nous vous communiquerons ultérieurement plus d'informations sur les délais.
-À partir du 1er février 2024 : les nouvelles exigences concernant les CMP entreront en vigueur pour les partenaires qui utilisent nos produits d'annonces sur le Réseau de Recherche destinés aux éditeurs (AdSense pour les recherches, AdSense pour les domaines ou Programmable Search Engine). Pour en savoir plus, consultez les Exigences concernant la gestion du consentement pour les éditeurs d'annonces sur le Réseau de Recherche (APR/APD/ProSE) ci-dessus ainsi que cette annonce.
(25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l'information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L'information relative à l'utilisation de plusieurs dispositifs à installer sur l'équipement terminal de l'utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l'utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L'accès au contenu d'un site spécifique peut être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes.
Questions fréquentes concernant la nLPD
Est-il obligatoire de désigner un responsable de traitement des données personnelles ?
C’est une fausse question. Le « responsable du traitement » (vous) est une notion qui désigne une personne privée ou un organe fédéral qui traite des données personnelles et par extension, ses sous-traitants. À ne pas confondre avec un « Conseiller à la protection des données » (équivalent DPO) dont la nomination est facultative pour les entreprises.
Faut-il une bannière de cookies/consentement sur un site Web suisse ?
Si votre site s’adresse seulement aux visiteurs suisses, il n’est pas nécessaire d’obtenir le consentement de vos utilisateurs pour utiliser des cookies (sauf exception pour des données sensibles, un risque élevé et du profilage). Il faut dans tous les cas informer sur le traitement des données et informer d’un droit de refus du traitement des données.
Peut-on utiliser des outils comme Hotjar ou GA4 avec la nLPD ?
En principe, ces outils sont assimilés aux cookies. Ils sont autorisés dans le même cadre que les cookies tant que l’utilisateur ne le refuse pas, par exemple via les réglages de protection des données de son navigateur Web.
Dois-je mettre une bannière de cookies sur mon site Internet?
Pour la Suisse, un coup d’œil à la loi sur les télécommunications (LTC) permet de répondre à cette question. L’art. 45c de la LTC stipule que «les données enregistrées sur des appareils appartenant à autrui ne peuvent être traitées par voie de télécommunication […] que lorsqu’on a informé l’utilisatrice ou l’utilisateur du traitement et de sa finalité et avisé qu’il est possible de refuser ce traitement».
Dans cette mesure, l’utilisation de cookies et d’autres technologies est en principe autorisée en Suisse sans le consentement de l’utilisatrice ou l’utilisateur tant que celle-ci ou celui-ci n’exerce pas son droit de refus ou que le site Internet concerné utilise des méthodes qui ne génèrent pas de données personnelles. Selon le droit suisse, il suffit de mettre les informations sur le traitement des données et le droit de refus à la disposition des utilisatrices et utilisateurs. Il n’est pas nécessaire d’obtenir le consentement de l’utilisatrice ou l’utilisateur par le biais d’une bannière de cookies..
Si un site Internet est orienté vers l’UE, la directive ePrivacy et les lois nationales de mise en œuvre de la directive peuvent s’appliquer. La directive ePrivacy stipule que le stockage d’informations ou l’accès à des informations déjà stockées sur l’équipement terminal d’une utilisatrice ou d’un utilisateur ne sont autorisés qu’après le recueil de son consentement clair et éclairé, à moins qu’il ne s’agisse de données techniquement nécessaires pour fournir le service demandé en premier lieu.
En Suisse il n'est pas nécessaire de mettre un bandeau de cookie. Un cookie n'est qu'un moyen d'enregistrer une clé de session. Donc ce qui est important c'est de déclarer quelle données sont collectées et pour quel usage. Peut importe le moyen technique de collecte.
Au passage, la loi Suisse pratique la déclaration en ce qui concerne la protection des données. Donc l'utilisateur n'a en aucun cas besoin de donner son accord. (avec des cases à cocher par exemple)
Du point de vue, technique, le bandeau des cookies est très souvent une blague... Car il est nécessaire des stocker quelques part mon choix du bandeau. Donc si je refuse le cookie, on va me mettre un cookie pour mémoriser que je refuse les cookies !!!
Cependant si l'on a un site qui est orienté vers l'UE. Il est soumis à la directive ePrivacy qui demande l'acceptation préalable de toute information enregistrée chez le client. Un cookie étant une chaine de caractère stockée chez le client elle est soumise à cette directive. (bien que seul le numéro d'identification et pas les données sont stockées chez le client)
https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A32002L0058
Il y a une distinction (art 24 et 25) entre des cookies légitimes car nécessaires au fonctionnement du site par exemple pour contrôler l'identité des utilisateurs effectuant des transactions en ligne. et les cookies du genre pixel invisible qui servent à tracer l'utilisateur.
Les cookies nécessaires sont autorisés si l'utilisateur est informé des informations collectées et de leur usage.
( leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent.)
Cette directive a parfois des interprétations divergentes.
De mon avis, ce site n'est pas un site qui est orienté vers l'UE et soumis à la directive ePrivacy.
Mais je sais qu'il y a des avis divergents.
De plus, les cookies utilisés ici sont du type "nécessaires au fonctionnement du site" (parfois indiqués: essentiels). la déclaration de confidentialité indique les cookies utilisés, les informations collectées et dans quel but, la durée de mémorisation.
Ainsi il ne semble pas nécessaire de demander l'acceptation expresse du visiteur pour les cookies qui sont utilisés sur ce site.