web-dev-qa-db-fra.com

Les cookies de session sont-ils exemptés de consentement en vertu du GDPR?

Les cookies de session - des cookies qui ne durent que pour la durée de la session en cours - ne sont sans doute pas un outil de suivi dans l'esprit des efforts déployés par l'UE en matière de protection des données.

Sous anciennes règles de l'UE en matière de cookies , ils semblaient être exemptés de l'obligation d'obtenir le consentement de l'utilisateur:

Selon l’organe consultatif de l’UE sur la protection des données - WP29pdf, les cookies sont clairement exemptés de consentement:

  • les cookies de saisie utilisateur (identifiant de session), tels que les cookies propriétaires, permettant de suivre les entrées de l'utilisateur lors du remplissage de formulaires en ligne, de paniers d'achat,
    etc., pour la durée d'une session ou de cookies persistants limités à
    quelques heures dans certains cas
  • cookies d'authentification, pour identifier l'utilisateur une fois qu'il est connecté, pendant la durée d'une session
  • les cookies de sécurité centrés sur l'utilisateur, utilisés pour détecter les abus d'authentification, pour une durée persistante limitée
  • cookies de lecteur de contenu multimédia, utilisés pour stocker des données techniques afin de lire du contenu vidéo ou audio, pendant la durée d'une session
  • cookies d'équilibrage de charge, pour la durée de la session
  • les cookies de personnalisation de l'interface utilisateur tels que les préférences de langue ou de police, pour la durée d'une session (ou légèrement plus longue)
  • les cookies de partage de contenu plug-in social tiers, pour les membres connectés d'un réseau social.

Je me rends compte qu'il y a peu de choses que l'on puisse dire avec certitude sur le RGPD, mais existe-t-il des indications sur la manière dont les cookies de session sont traités en vertu de la nouvelle loi?

7
Pekka 웃

J'ai aussi regardé cela, et je crois qu'elles entrent dans la catégorie des données pseudonymous (la plupart des informations proviennent de ceci page utile ):

article 4 (5)
"pseudonymisation" signifie le traitement de données à caractère personnel de telle sorte que les données à caractère personnel ne puissent plus être attribuées à une personne concernée sans l'utilisation d'informations supplémentaires, à condition que ces informations soient conservées séparément et soient soumises aux mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable;

Et concernant le traitement des données pseudonymes:

considérant 26 (extrait)
Les données à caractère personnel ayant fait l'objet d'une pseudonymisation, qui pourraient être attribuées à une personne physique par l'utilisation d'informations complémentaires, doivent être considérées comme des informations sur une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en compte tous les moyens raisonnablement susceptibles d'être utilisés, tels que la sélection, soit par le responsable du traitement, soit par une autre personne, pour identifier directement ou indirectement la personne physique. raisonnablement susceptibles d’être utilisés pour identifier la personne physique, il convient de prendre en compte tous les facteurs objectifs, tels que les coûts et le temps requis pour l’identification, en tenant compte de la technologie disponible au moment du traitement et de l’évolution technologique.

Mon interprétation est la suivante:

  • Un cookie de session pourrait éventuellement être associé à des données stockées par le serveur Web pour devenir identifiable (pseudonyme).
  • Compte tenu des moyens nécessaires, du temps mis et des faibles avantages à le faire, nous pouvons le considérer comme raisonnablement improbable , par conséquent, un identifiant de session n'est pas identifiable. .

Plus extrait du considérant 26 Les principes de la protection des données ne devraient donc pas s'appliquer aux informations anonymes, à savoir les informations qui ne concernent pas une personne physique identifiée ou identifiable, ni à des données à caractère personnel rendues anonymes de telle manière que le sujet n'est pas ou plus identifiable. Le présent règlement ne concerne donc pas le traitement de telles informations anonymes, notamment à des fins statistiques ou de recherche.

Ils ne vous régulent pas si the data subject is not or no longer identifiable.

Bien sûr, cela devrait être évalué biscuit par biscuit. Les informations personnelles en jeu diffèrent grandement entre un cookie de session de serveur Web et un cookie de suivi Google ou Facebook. Par conséquent, reasonably likely change.

Références

En ligne PDF de la réglementation officielle complète:
http://eur-Lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&qid=1490179745294&from=fr

Visualiseur en ligne pour la réglementation:
https://gdpr-info.eu/

Page sur l'anonymisation et la pseudonymisation:
https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-anonymization-and-pseudonymization/

7
Ian