Question:
Les murs GDPR sont-ils légaux?
allo
2018-06-07 22:22:22 UTC
view on stackexchange narkive permalink

De nombreux sites Web ont commencé à montrer aux visiteurs européens "Vous ne pouvez pas utiliser ce site à cause du RGPD", probablement sur la base d'informations GeoIP.

Je vois deux problèmes juridiques possibles:

  • GDPR interdit le couplage de l'acceptation et de la possibilité d'utilisation. Je ne suis pas sûr si le mur GDPR est illégal ou non car il n'y a ni acceptation requise sur la page ni possibilité d'utiliser le site.
  • Les murs GDPR eux-mêmes manquent souvent une politique de confidentialité (mais la plupart ne semblent pas utiliser le suivi)
  • Les citoyens européens accédant au site lorsqu'ils visitent des pays non européens ou via un proxy (éventuellement anonyme) ont probablement les mêmes droits, mais peuvent accéder au site et seront suivis (ou autre le site fait ce qui n'est pas conforme au RGPD)

Ces murs sont-ils une solution légale pour ces sites?

Voici un exemple du Washington Post. Vous devez accepter le suivi pour continuer sur le site ou vous devez payer pour éviter le suivi.

Washington Post

Étape 1: Washington Post GDPR-Wall 1

Étape 2 (après avoir cliqué sur Gratuit): Washington Post GDPR-Wall 2

Slate

La mise en œuvre de Slate ne propose qu'un bouton "Accepter", qui vous mène à leur site, qui utilise probablement le suivi.

Slate GDPR-wall

De leur vie privée politique: 

  Slate suit le moment où les lecteurs de l'UE consentent à ce que Slate collecte et traite des données via l'utilisation d'un cookie d'identification sur votre navigateur.
"_GDPR interdit le couplage de l'acceptation et de la possibilité d'utiliser_" - quel article / considérant le prévoit?
Je ne suis pas sûr, c'est pourquoi je demande. Je pense que c'était une interprétation de la question de savoir si le consentement est donné librement, ce qui devrait être interprété comme si l'exécution du contrat est conditionnelle au consentement (probablement le paragraphe 7).
J'ai ajouté un exemple du Washington Post
@Greendrake: Aucun, bien sûr. Le RGPD stipule que le consentement doit être donné librement. Cela interdit une forme spécifique de couplage, à savoir exiger le consentement pour utiliser un service spécifique, lorsque le consentement ne couvre pas les données personnelles nécessaires au service mais est à la place utilisé pour d'autres services. En particulier, cela tue les services gratuits avec des publicités personnalisées.
Cela ne tue rien, tant que vous vous conformez, c'est-à-dire supprimez les publicités personnalisées et utilisez des publicités adaptées à votre contenu plutôt qu'à l'utilisateur. La question est de savoir si exiger le consentement au suivi est acceptable. Au moins, le RGPD vise à mettre fin à cette pratique, mais cela ne signifie pas nécessairement qu'il n'y a pas de failles qui permettent un mur GDPR d'une manière ou d'une autre.
Quelques commentaires: 1. Affirmer que les données d'un utilisateur de l'UE ont été traitées même en frappant l'extérieur d'un paywall est une portée - rien de tout cela n'a été testé devant les tribunaux et certains concepts du RGPD sont à la fois irréalistes et (je dirais) injustes pour les petites entités2. De toute évidence, tout le concept du RGPD est remis en question en raison du manque de ressources pour le contrôler dans l'UE, ainsi que du jeu auquel les grandes entreprises américaines ont joué avec le RGPD.
Deux réponses:
wimh
2018-06-09 19:51:08 UTC
view on stackexchange narkive permalink

Si le site Web contenant le mur GDPR traite des données personnelles des utilisateurs qui ont frappé le mur GDPR, le GDPR s'applique à ce site Web. Cela peut être aussi simple que d'écrire un fichier journal de toutes les visites sur le site Web. Dans ce cas, il sera illégal si le propriétaire du site Web ne respecte pas le RGPD. Cependant, une autorité de contrôle ne passerait probablement pas de temps sur une telle violation mineure.

Tant que le site Web avec le mur GDPR ne traite aucune donnée personnelle, le GDPR ne s'applique pas, donc rien en le GDPR peut interdire le GDPR-wall.

Quelques remarques connexes:

  • Le GDPR n'exige pas de "politique de confidentialité" sur le site Web si le site Web ne traite aucun données personnelles.
  • Si les données personnelles sont traitées sur la base du consentement, ce consentement doit être donné librement. De plus, cela peut ne pas être perturbateur. Ainsi, un mur de cookies demandant le consentement serait illégal. Mais le GDPR ne se soucie pas des autres popups perturbateurs, tant qu'ils ne sont pas liés à la demande de consentement.
  • L'utilisation de GeoIP est un moyen idéal de mettre en œuvre un tel GDPR-Wall, car cela bloquerait tout le monde de l’UE, mais personne d’autre. Cela bloque donc exactement ceux auxquels le RGPD s'appliquerait. Dans un tel cas, il ne serait pas raisonnable d'attendre quoi que ce soit de plus d'un propriétaire de site Web. Un utilisateur qui utilise un proxy ne peut pas s'attendre à être protégé par le RGPD, car il contourne une restriction définie par le propriétaire du site Web.
  • Un serveur Web utilise l'adresse IP de toutes les demandes entrantes, pour renvoyer la réponse. Cela pourrait être considéré comme un traitement de données personnelles, mais tout le monde semble convenir que ce n'est pas le cas. Je ne suis pas sûr pourquoi. Mais je reconnais que ce serait très peu pratique si cela était considéré comme un traitement de données personnelles.

J'ai ajouté un exemple du Washington Post

Vous devez donc payer 9 $ / mois pour un abonnement conforme au RGPD.

Comme le prix à payer n'est pas inacceptable, je pense qu'il serait valable de proposer la version premium de cette façon. Cela ne vous oblige pas à choisir l'un des autres abonnements.

En décembre 2018, la DPA autrichienne (DSB) a confirmé qu'une offre similaire était légale. Sur derstandard.at, vous avez le choix entre un accès gratuit avec suivi et publicité, ou payer 6 euros / mois pour suivre l'accès gratuit. Parce que 6 euros / mois est moins cher que de souscrire à l'édition imprimée, l'ORD a accepté cela comme un choix valide. Plus d'informations peuvent être trouvées sur noyb.eu ou, (avec plus de détails mais en allemand), sur wbs-law.de.

L'envoi de données à l'adresse IP spécifiée est couvert par la deuxième condition du RGPD qui permet l'utilisation des données personnelles, à savoir la nécessité. L'utilisateur envoie une demande sous une forme où une réponse est attendue (à savoir une page Web), où la technologie nécessite nécessairement une adresse IP de réponse. Tant que l'adresse IP n'est utilisée qu'à cette fin, le RGPD permet son utilisation.
«Cela peut être aussi simple que d'écrire un fichier journal de toutes les visites sur le site Web. Dans ce cas, il sera illégal si le propriétaire du site Web ne se conforme pas au RGPD. «Faux, les fichiers journaux tant qu'ils sont utilisés pour leur intention initiale (sécurité) sont exclus du RGPD. S'ils sont analysés pour des analyses telles que ce que font de nombreux panneaux de contrôle comme cPanel ou Plesk, ils violent le RGPD.
La géo-IP n'est pas parfaite. Des erreurs dans les bases de données peuvent survenir et les utilisateurs peuvent (et le font fréquemment) utiliser des VPN pour contourner les limites d'accès basées sur IP. AFAIK, vous n'obtenez pas de pass gratuit pour un Européen utilisant un VPN pour se donner une adresse IP américaine.
@PaulJohnson Ce serait une bonne question ici.
@PaulJohnson Donc, une erreur de fait n'est pas un moyen de défense, même si la personne qui introduit l'action est la partie même qui a délibérément créé l'erreur de fait? C'est difficile à croire.
"Cela bloque donc exactement ceux auxquels le RGPD s'appliquerait." Ce n'est pas vrai. Je (citoyen de l'UE) suis protégé par le RGPD * même si je visite les États-Unis *. Le blocage GeoIP ne suffit donc pas.
@MartinBonner Où avez-vous lu dans le RGPD qu'il s'applique aux citoyens de l'UE? Le RGPD ne protège pas les citoyens de l'UE en dehors de l'UE s'ils utilisent les services d'entreprises qui sont également en dehors de l'UE. Bien sûr, même si vous êtes en dehors de l'UE, les activités que vous avez exercées pendant que vous étiez encore dans l'UE sont toujours protégées par le RGPD.
@wimh Vous avez tout à fait raison. Voir https://gdpr.eu/companies-outside-of-europe/. J'avais souvent vu le RGPD qualifié de "protection des citoyens et des résidents de l'UE" - mais c'est en fait faux. Il ne les protège * que lorsqu'ils sont dans l'Union * (ou si le responsable du traitement est dans l'Union)
@MSalters [article 6, point 1, puce b)] (https://gdpr-info.eu/art-6-gdpr/) déclare [le traitement est licite si] "le traitement est nécessaire à l'exécution d'un contrat auquel le la personne concernée est partie ou afin de prendre des mesures à la demande de la personne concernée avant de conclure un contrat; ". Cela ne signifie-t-il pas que vous avez réellement besoin d'une forme de contrat réel, au sens de la loi? Ou est-ce une forme abstraite d'un contrat, comme le "contrat" ​​requête-réponse HTTP (attente d'une réponse pour une requête)?
user
2018-06-13 16:01:21 UTC
view on stackexchange narkive permalink

Si le franchissement du mur oblige l'utilisateur à accepter l'utilisation de ses données à des fins publicitaires, comme celle de WaPo dans votre exemple, alors c'est probablement illégal. Le RGPD ne permet pas de coupler l'utilisation avec un accord d'utilisation des données personnelles.

L'agence néerlandaise de protection des données a précisé que c'est le cas et prend actuellement des mesures coercitives contre les contrevenants .

Pouvez-vous citer la partie particulière du RGPD qui dit cela?
@PaulJohnson [considérant 43] (https://gdpr-info.eu/recitals/no-43/) comprend: _Le consentement est présumé ne pas être donné librement s'il ne permet pas de donner un consentement séparé pour différentes opérations de traitement de données personnelles malgré il est approprié dans le cas individuel, ou si l'exécution d'un contrat, y compris la fourniture d'un service, dépend du consentement bien que ce consentement ne soit pas nécessaire pour une telle exécution.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...