Cookies - Les boutons doivent-ils être activés?
Je ne sais pas si les détails des cookies, les politiques GDPR, devraient être activés par défaut ou non? Est-ce mauvais ou tout simplement pratique pour l'entreprise? Et dois-je avoir un Tout rejeter et tout accepter?
Comme la réponse la plus votée est tout simplement fausse, j'écris cette réponse pour clarifier les légalités dans l'UE.
Le RGPD prévoit 6 bases légales pour le traitement des données personnelles. Les deux dont nous nous soucions sont
- consentement
- intérêt légitime
Consentement
Le consentement est quelque chose qui est opt-in et permet à une entreprise de traiter les données personnelles de manière presque illimitée. Pour contrebalancer cela, il est assez difficile d'obtenir un consentement:
Le consentement doit être donné librement, spécifique, informé et sans ambiguïté. Pour obtenir un consentement librement donné, il doit être donné sur une base volontaire. L'élément "gratuit" implique un véritable choix de la personne concernée.
Source: https://gdpr-info.eu/issues/consent/
Et au-delà de cela, il y a un tas d'exigences qui constituent un consentement, plus important encore, il doit être granulaire et clairement documenté.
Intérêt légitime
À l'inverse, le traitement basé sur des intérêts légitimes est une option de retrait, mais oblige une entreprise à justifier que l'impact sur l'utilisateur est limité et à permettre à l'utilisateur de s'opposer
le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données à caractère personnel, en particulier lorsque les données le sujet est un enfant.
Source: https://www.gdpreu.org/the-regulation/key-concepts/legitimate-interest/
Encore une fois, il comporte de nombreuses limitations
En tout état de cause, l'existence d'un intérêt légitime nécessiterait une évaluation approfondie, notamment si une personne concernée peut raisonnablement s'attendre, au moment et dans le contexte de la collecte des données à caractère personnel, à ce qu'un traitement à cette fin puisse avoir lieu.
Ou, comme le dit l'ICO britannique:
[L'intérêt légitime en tant que base légale pour le traitement] est probablement le plus approprié lorsque vous utilisez les données des personnes de manière à laquelle elles pourraient raisonnablement s'attendre et qui ont un impact minimal sur la vie privée, ou lorsqu'il existe une justification convaincante pour le traitement. Si vous choisissez de vous fier à des intérêts légitimes, vous assumez une responsabilité supplémentaire pour la prise en compte et la protection des droits et intérêts des personnes.
Conclusion
En pratique, cela signifie que vous pouvez faire des opt-in et opt-out et la chose la plus importante est que pour chaque traitement de données personnelles, vous individuellement évaluez si vous souhaitez le traiter sur la base d'intérêts légitimes ou de consentement et individuellement exposer chacun de ceux-ci à l'utilisateur. Si vous n'êtes pas en mesure de faire une telle évaluation juridique, faites simplement tout opt-in et granulaire et vous serez en sécurité.
Réponse simple, la loi stipule qu'ils doivent être désactivés par défaut.
Confidentialité par défaut: https://www.ics.ie/news/what-is-privacy-by-design-a-default
Accepter tout/rejeter tous les boutons est une bonne touche, allez-y et utilisez-le!
Ils devraient être désactivés par défaut, et ils ne devraient pas être trop nombreux (max 3). Il y a des sites qui font une conformité malveillante en donnant à CHAQUE SINGLE domaine leur site utilise une bascule distincte activée par défaut, ce qui enfreint la loi et donne aux utilisateurs qui souhaitent les désactiver tous une expérience utilisateur horriblement conçue destinée à les faire simplement abandonner et autoriser tout.
Notez que les cookies nécessaires au comportement du site principal et ne contenant pas de données personnelles peuvent être vérifiés par défaut conformément au RGPD. Le RGPD dit que vous ne pouvez pas demander ou traiter des données personnelles sans consentement préalable, mais les cookies qui ne sont pas des données personnelles peuvent légalement être activés par défaut.