Qu’est-ce que les empreintes digitales des appareils et le RGPD protège-t-il contre cela ?

Chaque appareil laisse des traces numériques sur Internet. Semblables à une empreinte digitale, les données transmises lors de l’utilisation d’Internet peuvent être utilisées pour identifier de manière unique les visiteurs. La méthode dite d’empreinte digitale de l’appareil est utilisée pour lire les informations pertinentes et créer des profils d’utilisateurs. Ces données ne sont pas seulement utilisées à des fins de marketing, mais intéressent également les cybercriminels. Aujourd’hui, nous abordons la question de savoir si la prise d’empreintes digitales des appareils peut être effectuée uniquement à la connaissance de l’utilisateur et quelles réglementations doivent, le cas échéant, être respectées.

Qu’est-ce qu’une empreinte digitale d’appareil ?

L’empreinte digitale de l’appareil, également connue sous le nom d’empreinte digitale numérique ou de navigateur, est une technique de suivi des utilisateurs. Grâce à cette méthode, un terminal, tel qu’un ordinateur ou un smartphone, peut être identifié sur la base des données qu’il transmet lors de sa connexion à Internet. Cela permet à l’utilisateur d’être clairement distingué de tous les autres visiteurs du site Internet. En outre, des profils d’utilisateurs détaillés peuvent être créés, qui peuvent être utilisés, entre autres, à des fins de marketing. Comme les cookies, la méthode d’empreinte digitale du navigateur est utilisée pour suivre le comportement de navigation d’un individu. Cependant, la prise d’empreintes digitales fait appel à des techniques beaucoup plus subtiles et difficiles à contrôler.

Lors de la prise d’empreintes digitales, des informations apparemment non pertinentes mais « nécessaires » à l’affichage correct du site Web sont lues et stockées. Cela inclut, par exemple, des informations telles que les plugins installés, la résolution de l’écran, les polices système, le fuseau horaire, les adresses IP ou la plate-forme sur laquelle le navigateur est exécuté.

Dans le détail, ces informations n’ont généralement pas une grande valeur. Cumulées, ces données créent une empreinte digitale individuelle du système utilisé, qui permet d’identifier l’utilisateur à tout moment et sur tous les sites Web. Si les informations sont également stockées et utilisées à des fins de comparaison future, un site Web peut suivre les habitudes de navigation d’un visiteur même si tous les cookies ont été désactivés ou supprimés entre-temps. La protection que le consentement est censé assurer avant l’installation des cookies est ainsi contrecarrée par la méthode d’empreinte digitale de l’appareil.

Comment fonctionne la prise d’empreintes digitales de l’appareil

En ce qui concerne les empreintes digitales des appareils, une distinction doit être faite entre les empreintes digitales actives et passives.

• Empreintes passives
  L’empreinte digitale passive fait référence à la lecture d’informations transmises pour des raisons techniques par les protocoles utilisés lors de l’accès à un site Web. Cela inclut, par exemple, le type/la version/les paramètres du navigateur, l’adresse IP et, le cas échéant, le fabricant et la désignation du type du smartphone, de la tablette ou de tout autre appareil mobile. Il s’agit principalement de la livraison et de la fonctionnalité du site Web.
• Prise d’empreintes digitales active
  Avec la prise d’empreintes digitales active, le code du programme est exécuté directement sur l’appareil. Les informations peuvent être lues spécifiquement, par exemple à l’aide de Javascript ou de Flash.

Identification grâce aux empreintes digitales de l’appareil

En fonction des plugins utilisés par l’utilisateur, diverses informations peuvent être déterminées via les empreintes digitales. En fonction des plug-ins de navigateur installés par l’utilisateur, il est également possible d’acquérir des connaissances sur les pilotes utilisés.

Les informations transmises sont stockées sur le serveur de l’opérateur lorsque vous visitez un site Internet et comparées aux données stockées – l’empreinte digitale – lors de la prochaine consultation de la page.

En raison du grand nombre d’options de réglage modifiables individuellement pour chaque utilisateur, l’empreinte digitale de l’appareil permet une identification relativement précise de l’utilisateur. La combinaison de ces différentes informations crée globalement un profil utilisateur unique. Plus il y a d’informations et plus les réglages sont individuels, plus une identification claire peut être obtenue avec précision. Ainsi, un utilisateur peut être identifié même si son empreinte digitale a été légèrement modifiée entre-temps. Dans notre article « Testez-le par vous-même : votre navigateur laisse votre « empreinte » unique – sans aucun cookie », vous pouvez tester à quel point votre empreinte numérique est individuelle.

Les empreintes digitales des appareils relèvent-elles du TTDSG ?

Il n’existe actuellement pas de consensus clair sur la question de savoir si les empreintes digitales des appareils relèvent du TTDSG. Selon le Conseils sur le nouveau TTDSG Les empreintes digitales du navigateur peuvent relever de l’application de la section 25 TTDSG. Le commissaire bavarois à la protection des données justifie cela en affirmant que, outre les cookies, d’autres technologies peuvent également être couvertes par l’article 25 TTDSG, à condition qu’elles soient utilisées pour stocker des informations dans l’appareil de l’utilisateur final ou pour permettre l’accès à des informations.

L’applicabilité de l’article 25 TTDSG et donc l’obligation de consentement exigent en fin de compte qu’il y ait un accès à l’information. Le DSK y conduit dans son Conseils des autorités de surveillance pour les fournisseurs de télémédias cet accès nécessite une transmission ciblée des informations du navigateur et pas seulement de la part de l’utilisateur final. Dans le cas où seules des informations transmises inévitablement ou en raison des paramètres du navigateur de l’appareil final lors de l’accès à un site Internet sont traitées, cela ne peut pas être considéré comme un accès au sens de l’article 25 TTDSG. En l’absence d’« accès », la prise d’empreintes digitales passives ne relève pas de l’exigence de consentement de l’article 25 TTDSG. Cependant, la situation est différente avec les empreintes digitales actives.

Outre le DSK, le commissaire d’État à la protection des données et à la liberté d’information représente également le Bade-Wurtemberg. la vueque quelque chose de différent s’applique lorsque, comme dans le cadre de l’empreinte digitale active, les propriétés d’un appareil final sont lues à l’aide de Javascript ou de Flash et transmises à un serveur pour la création de l’empreinte digitale. Dans ce cas, il s’agit d’un accès au sens de la loi, les exigences de l’article 25 TTDSG doivent donc être respectées.

Quel rôle le RGPD joue-t-il dans la prise d’empreintes digitales des appareils ?

L’empreinte numérique n’est pas explicitement mentionnée dans le RGPD. Au lieu de cela, nous parlons régulièrement uniquement de (nouvelles) technologies, sans préciser exactement de quoi il s’agit. C’est précisément l’intention du législateur, qui s’efforce naturellement de pouvoir réagir avec flexibilité aux évolutions futures et de rester neutre sur le plan technologique. Fondamentalement, la condition préalable à l’applicabilité du RGPD est l’existence de données personnelles. On suppose parfois que dans le cadre des empreintes digitales des appareils, une référence personnelle ne peut être présumée que si les informations sont liées, par exemple, aux données d’enregistrement de l’utilisateur. Bien que la prise d’empreintes digitales puisse permettre l’individualisation de l’appareil en collectant des informations sur l’appareil, de ce point de vue, ces informations ne constituent pas des données personnelles au sens du RGPD.

D’un autre côté, il est difficile de nier que l’empreinte digitale convient également au traçage. Les caractéristiques ainsi individualisées peuvent au moins être qualifiées de données pseudonymes – voire personnelles. En particulier, les informations sous-jacentes dans le cadre des empreintes digitales du navigateur sont utilisées pour identifier et distinguer des personnes individuelles afin de pouvoir les contacter explicitement. Comme pour l’adresse IP ou les cookies, la combinaison des propriétés du navigateur et de l’appareil peut être utilisée pour reconnaître (sans ambiguïté) l’utilisateur. Le nom de la technologie parle de lui-même : l’empreinte numérique est généralement aussi individuelle que l’empreinte humaine.

Base juridique pour le suivi à l’aide des empreintes digitales du navigateur

Dès 2014, le groupe de travail sur la protection des données de l’article 29 recommandait aux exploitants de sites Web d’obtenir un consentement éclairé pour la prise d’empreintes digitales des appareils via l’opt-in. Cette recommandation est plus que jamais d’actualité suite à l’applicabilité du RGPD.

Le traitement des données personnelles nécessite une base légale. Outre l’intérêt légitime, se pose également la question Article 6, paragraphe 1, lettre f) du RGPD en particulier le consentement conformément à l’article 6, paragraphe 1, lettre a) du RGPD.

Bien sûr, on peut affirmer que la détection du navigateur, de la résolution, du système d’exploitation, etc. est nécessaire pour garantir que le site Web s’affiche correctement. Presque personne ne remettra sérieusement en question cette réalité. On pourrait donc considérer qu’il existe un intérêt légitime prédominant de la part de l’exploitant du site Internet et qu’aucun consentement n’est donc requis.

Cependant, si l’empreinte numérique est stockée ou transmise à des tiers afin de reconnaître l’appareil concerné à l’avenir afin que, par exemple, une publicité personnalisée puisse être affichée à l’utilisateur, cela représente généralement un traitement de données personnelles. le traitement n’est alors pas la présentation correcte du site Internet, mais plutôt l’identification de l’utilisateur. Dans ces cas-là, on peut probablement supposer, sur la base des déclarations publiées jusqu’à présent par les autorités de contrôle, qu’un consentement sera requis à l’avenir. Le règlement ePrivacy, annoncé depuis longtemps, pourrait également apporter des éclaircissements à cet égard.

Empêcher la création d’une empreinte numérique

En installant des modules complémentaires tels que NoScript, Javascript ou Flash peuvent être bloqués afin que moins d’informations puissent être collectées sur l’utilisateur. D’une part, cela peut conduire à ce que les sites Web ne s’affichent plus correctement et, d’autre part, ces paramètres révèlent quelque chose sur l’utilisateur et permettent également une individualisation. Parce que souvent, seul un petit groupe d’utilisateurs bloque les empreintes digitales des appareils. En plus des informations transmises par défaut, un profil peut également être créé. Même en utilisant des paramètres standard, une identification ne peut pas être exclue. Il n’est donc pas vraiment possible d’empêcher la création d’une empreinte digitale (identifiable).

Plus de transparence grâce au RGPD

Outre la question de la base juridique appropriée, le principe de transparence devrait également faire l’objet d’une attention suffisante. Dans tous les cas, les utilisateurs doivent être suffisamment informés sur le traitement des données personnelles, notamment sur la création de profils d’utilisateurs. Cela s’applique non seulement aux cookies visibles et relativement faciles à détecter, mais également au suivi secret, rendu possible grâce aux empreintes digitales du navigateur. À cet égard, les exploitants de sites Web sont tenus d’inclure les informations pertinentes.