Quelques jours avant la décision Austria DSB, le Contrôleur européen de la protection des données (CEPD) a émis une décision sur l’utilisation de Google Analytics par le Parlement européen.

Pour Schrems II : le CEPD dit « si vous ne disposez d’aucun document pour prouver la conformité, vous ne pouvez certainement pas être conforme ».

Voici quelques points de pratique clés, pas seulement sur les transferts Schrems II, pour tous ceux d’entre nous qui pleurent et prient.

Processeur du contrôleur

• Vous pouvez toujours déterminer l’utilisation de cookies sur un site Web sans être un contrôleur si vous le faites tout en suivant les instructions générales du contrôleur (c’est-à-dire la configuration et le fonctionnement du site Web).
• Vous pouvez sous-traiter la publication d’un avis de confidentialité à votre sous-traitant, mais a) vous êtes toujours responsable et b) gardez à l’esprit qu’il se peut qu’il ne soit pas non plus un expert en matière d’avis de confidentialité. Assurez-vous d’obtenir des garanties suffisantes qu’ils peuvent mettre en œuvre les mesures techniques et organisationnelles appropriées pour mener à bien ces tâches.
• Ne pas fournir d’instructions suffisamment détaillées à votre processeur constitue une violation de la loi.
• La responsabilité d’un DPA conforme entre le responsable du traitement et le sous-traitant incombe à la fois au responsable du traitement et au sous-traitant.

Faites attention à vos pratiques de conception de sites Web:

• Ne copiez pas le code collé d’un site Web à un autre sans discernement. Vous pouvez accidentellement copier des cookies et des traceurs qui ne sont pas nécessaires. (C’est universellement vrai. Soyez prudent lorsque vous dupliquez un précédent.)
• Veuillez vous assurer que vos bannières et vos informations sont cohérentes dans les différentes langues utilisées sur votre site Web.

Sur les cookies:

• Une fois qu’un cookie est installé sur un appareil, il ne peut pas être considéré comme « inactif » même s’il n’a pas été utilisé pour transférer des données.
• Un cookie ne peut être considéré comme strictement nécessaire que si le service en tant que tel ne fonctionnerait pas sans lui. Le choix d’une certaine technique d’implémentation qui s’appuie sur les cookies n’est pas suffisant pour justifier la stricte nécessité si vous avez le choix d’une implémentation différente qui fonctionnerait sans cookies. En règle générale, les services Web doivent pouvoir fonctionner sans cookies nécessitant un consentement.
• Même les analyses de première partie, qui sont souvent considérées comme un outil « strictement nécessaire » pour les opérateurs de services Web, ne sont pas strictement nécessaires pour fournir une fonctionnalité explicitement demandée par l’utilisateur et sont par conséquent, en principe, soumises à l’exigence du consentement.

Tenez compte de vos avis de confidentialité et bannières de cookies:

• Une disposition dans une déclaration de confidentialité qui stipule que les données seront stockées « jusqu’à la fin de la prestation de services », sur la base d’un contrat, n’est pas conforme au principe de limitation du stockage car il n’existe aucun lien entre le stockage des données et la fourniture des services, qui est indéterminée dans le temps.
• Vous devez répertorier les processeurs lorsque vous décrivez le partage de données.
• Le texte de la bannière de cookie doit faire référence aux types d’informations consultées ou stockées via les cookies ainsi qu’aux fins de cet accès ou de ce stockage, et les informations véhiculées par la bannière doivent être identiques dans toutes les versions linguistiques. Enfin, il devrait offrir aux utilisateurs la possibilité de consentir ou non au traitement des cookies non essentiels. A cet égard, les bannières devraient inclure un bouton d’opt-in permettant aux utilisateurs d’accepter les cookies, précisant qu’en cliquant sur le bouton, les utilisateurs acceptent le déploiement de cookies.
• Les murs de cookies ne sont pas conformes à la réglementation, ce qui signifie que pour que le consentement soit donné librement, l’accès au service et aux fonctionnalités du site ne doit pas dépendre du consentement des utilisateurs pour les cookies qui ne sont pas strictement nécessaires au sens décrit ci-dessus.
• Dans les cas où les données personnelles collectées via les cookies sont partagées avec des tiers, tels que des partenaires d’analyse, la bannière de cookies doit attirer l’attention des utilisateurs sur celle-ci.

Sur Schrems II:

• Les transferts de données personnelles vers les États-Unis ne peuvent avoir lieu que s’ils sont encadrés par des mesures complémentaires efficaces afin d’assurer un niveau de protection sensiblement équivalent aux données personnelles transférées.
• Vous devez être en mesure de fournir des documents, des preuves ou d’autres informations concernant les mesures contractuelles, techniques ou organisationnelles mises en place pour assurer un niveau de protection sensiblement équivalent aux données personnelles transférées aux États-Unis dans le cadre de l’utilisation de cookies sur le site.

Sur les DSAR:

• Vous devez fournir aux plaignants la confirmation que leurs données personnelles ont été traitées dans le cadre de l’utilisation de cookies tiers sur votre site Web. Si vous démontrez ultérieurement qu’il vous est impossible d’identifier les personnes concernées, vous devez également les en informer. .
• Vous devez fournir des informations DSAR pertinentes même si vous savez que le traitement des données personnelles en question était illicite, car le but principal du droit d’accès en vertu est précisément de permettre aux personnes concernées de prendre connaissance du traitement et d’en vérifier la licéité. , ou exercer d’autres droits de la personne concernée.

[View source.]