Question:
Comment conserver le refus du consentement aux cookies
Alacritas
2020-05-19 10:59:55 UTC
view on stackexchange narkive permalink

Si un utilisateur refuse les cookies sur un site Web, comment ce site Web peut-il stocker ce refus? Pour autant que je sache, le RGPD vous oblige à stocker à la fois le consentement et le refus du stockage des données personnelles. Mais il me semble qu'il y a un hic ici: ils ont spécifiquement refusé le stockage de leurs données, et maintenant le site Web est censé stocker cela d'une manière ou d'une autre.

Comment pouvez-vous stocker ces informations de manière conforme ?

Ma première pensée est d'utiliser un cookie, mais est-ce que ce serait non conforme? Ils ont simplement refusé le stockage des cookies sur leur appareil ... Et si je les stocke dans une base de données quelque part, comment suis-je censé associer ce refus à cet utilisateur si je ne peux pas stocker d'informations personnelles?

Selon la réponse acceptée à cette question, vous pouvez utiliser un userId ou un autre. Mais tout d'abord, c'est dans le contexte du consentement, et non du refus, aux cookies; deuxièmement, si cet identifiant est associé à un utilisateur, il s'agit par définition de données personnelles (non?) et donc le stockage de ces informations serait non conforme.

Concernant le stockage du consentement, est-il suffisant de stocker cela dans un cookie sur l'appareil de l'utilisateur ou avez-vous vraiment besoin de le stocker dans une base de données quelque part? Cela me semble vraiment superflu.

Où voyez-vous que le refus doit être stocké?
@Greendrake Voici une ressource qui en a parlé: https://www.iubenda.com/en/help/6293-cookie-consent-management-faq#records-of-consent. "La loi sur les cookies n'exige pas que des enregistrements de consentement soient conservés, mais indique plutôt que vous devriez être en mesure de prouver que le consentement a eu lieu - même si ce consentement a été retiré."
Cela dit donc la nécessité de prouver le consentement. Où est-il dit sur la nécessité de prouver le refus?
Tous les cookies ne nécessitent pas de consentement. Vous n'avez besoin du consentement pour accéder au stockage sur un "terminal" (= navigateur Web) que si l'accès n'est pas strictement nécessaire pour le service demandé par l'utilisateur. Il y a un assez bon argument selon lequel l'enregistrement du refus dans un cookie est strictement nécessaire, afin d'éviter de harceler l'utilisateur avec des demandes de consentement lors des chargements de page suivants.
Ah, je vois ce que tu veux dire, j'ai mal interprété "même si ce consentement a été retiré".
Certains sites le font en me harcelant chaque fois que je les charge si je les ai refusés la fois précédente. Je ne le recommanderais pas, c'est très ennuyeux.
@vsz Oui, je voulais explicitement éviter cela! Je ne veux absolument pas ennuyer nos utilisateurs, même s'ils refusent nos cookies: D
Deux réponses:
Lag
2020-05-19 12:01:36 UTC
view on stackexchange narkive permalink

La soi-disant «loi sur les cookies» vous oblige à informer l'utilisateur sur les cookies du site (ou l'utilisation du stockage ou autre sur l'ordinateur de l'utilisateur) et de demander le consentement pour ceux qui ne sont pas «strictement nécessaires à la fourniture d'un service de la société de l'information demandé par l'abonné ou l'utilisateur ".

Il n'est pas nécessaire que vous demandiez votre consentement pour l'utilisation d'un cookie, quelle que soit sa fonction.

Les cookies «strictement nécessaires» incluent ceux nécessaires pour que le site Web se conforme aux loi.

Selon les conseils du Bureau du commissaire à l'information (ICO) au Royaume-Uni (voir l'encadré d'exemple), un cookie défini en relation avec un tel consentement ou un tel refus convient - c'est pour la conformité avec la loi sur les cookies. Je m'attendrais à des guides similaires dans toute l'UE.

Vous devez tenir compte de sa durée ou de sa durée de vie: "Par exemple, bien qu'il soit techniquement possible de définir la durée d'un cookie sur" 31/12/9999 ", ceci ne serait en aucun cas considérée comme proportionnée. "

Et pensez à inclure des informations à ce sujet dans votre politique de cookies ou de manière à ce que les utilisateurs puissent en savoir plus s'ils le souhaitent.

C'est tout à fait logique, merci pour la réponse détaillée! Nous utiliserons un cookie, puis: D
bonne réponse, c'est le nombre de solutions commerciales disponibles et la façon dont la mienne fonctionne également.
Peteris
2020-05-20 17:13:05 UTC
view on stackexchange narkive permalink

Cookies non personnalisés

Le RGPD ne concerne pas les cookies, il s'agit de traiter des données personnelles ou identifiables, et même pour cela, il a une base explicite de «besoin légitime» qui permet le traitement des données tant que la minimisation des données est respecté.

Si l'objectif est simplement d'éviter de demander à plusieurs reprises la même chose, vous n'avez pas besoin de connaître, de stocker ou de traiter qui a refusé le consentement - donc le la solution serait d'éviter les identifiants uniques, les identifiants de session, etc. et de simplement placer un cookie "demande de consentement: refusé" ou quelque chose du genre.

S'il est vrai que le RGPD ne concerne pas les cookies, la directive ePrivacy, étroitement liée, introduit des exigences plus spécifiques, notamment le fait que les cookies ou une technologie similaire ne peuvent être utilisés que lorsqu'ils sont strictement nécessaires OU lorsque l'utilisateur a consenti. Même si le cookie ne contient aucune donnée personnelle! Bien entendu, une directive européenne n'a pas d'effet immédiat, c'est pourquoi la loi de mise en œuvre de chaque pays doit être considérée à la place (par exemple PECR au Royaume-Uni ou TMG en Allemagne).


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Continuer la lecture sur narkive:
Loading...