La lutte contre les bannières cookies trompeuses : nouveau rapport du CEPD

Publié par le dans , | Consulté 72 Fois

Pour rappel, le consentement à la collecte de données personnelles doit être libre, spécifique, éclairé et univoque mais de nombreux acteurs du Web contournent les règles propres au Règlement Général sur la Protection des Données (RGPD) concernant l’utilisation des cookies.
Le groupe de travail du Comité européen de la protection des données (CEPD), piloté par la Commission nationale de l’informatique et des libertés (CNIL), a élaboré un rapport pour lutter contre les « mauvaises pratiques » en matière de bannières cookies. De trop nombreuses règles ne sont pas respectées, l’idée ici est ainsi de renforcer la protection du consentement des internautes.

« Ma vie privée est None Of Your Business »

Le contrôleur européen a réagi suite aux nombreuses plaintes (226) déposées par l’association NOYB engagée dans la défense de la vie privée et fondée par le célèbre activiste Max Schrems.

Entre 2021 et 2022, près de 18 autorités européennes de protection des données ont été sollicitées par l’association, donnant lieu à des sanctions et amendes record. Il fut reproché aux sites Internet de ne pas respecter les exigences du RGPD en matière de cookies : le design des Consent Management Platforms n’était pas conforme au recueil du consentement des usagers.

« Analyser collectivement les différentes questions soulevées par ces plaintes »

Commission Nationale de l’Informatique et des Libertés (CNIL)

Le CEPD a alors constitué un groupe de travail nommé « Cookie Banner Task Force » pour répondre aux questions soulevées par ces plaintes. L’objectif est de garantir aux internautes un contrôle sur l’utilisation de leurs données, la facilité d’acceptation des cookies doit être la même que celle du refus. Beaucoup de sites Internet proposaient des bannières sombres ou gênantes permettant de rendre le refus particulièrement difficile pour un utilisateur : le but était d’inciter les internautes à l’acceptation des cookies.

Les conceptions de bannières de cookies trompeuses tentent de forcer l’accord de l’utilisateur en rendant le refus des cookies incroyablement pénible. Le GDPR exige en fait un choix équitable entre oui et non, pas des marathons de clics insensés.

Ala Krinickytė, avocat spécialisé dans la protection des données chez NOYB

Le mardi 17 janvier 2023, le CEPD a ainsi sorti un rapport mettant fin aux mauvaises pratiques en matière de cookies. Le groupe de travail a conclu que :
– L’absence de bouton « Tout Refuser » sur la bannière n’est pas conforme ;
– Les cases de consentement pré-cochées ne sont pas conformes ;
– Les bannières trompeuses ou non explicites ne sont pas conformes : c’est le cas s’il existe un bouton « Accepter » et un lien hypertexte pour refuser ;
– Les couleurs et contrastes incitant les internautes à accepter les cookies ne sont pas conformes : le CEPD n’impose pas de forme mais la conformité des bannières sera évaluée au cas par cas ;
– L’intérêt légitime ne peut pas être retenu comme base légale de dépôt des cookies, le recueil du consentement est nécessaire
– Les cookies notés comme essentiels doivent être prouvés par les sites Internet (ou application) ;
– L’absence de bouton « Retrait » n’est pas conforme : les internautes doivent pouvoir modifier facilement leur consentement.

En bref, les acteurs du Web doivent donc respecter les règles propres à l’utilisation des cookies. Les internautes doivent pouvoir identifier et modifier facilement le retrait des cookies. Le design des bannières ne doit pas porter atteinte à leur consentement, ainsi les sites Web doivent mettre en place des bannières conformes et non incitatrices à l’acceptation des cookies de sorte à ne pas biaiser le consentement des internautes.

En outre, ce rapport montre que la plupart des autorités de protection des données considèrent que ne pas offrir une option de refus des cookies au même niveau que celle pour les accepter constitue une violation de l’Article 5(3) de la Directive ePrivacy. La CNIL avait déjà rappelé cela dans ses lignes directrices et lors du prononcé de plusieurs sanctions (voir dernièrement : “Cookies : la CNIL sanctionne TIKTOK à hauteur de 5 millions d’euros“, par Orla Richard, et “Amende record de la CNIL pour 2022 : Microsoft Ireland Operations Limited sanctionné à hauteur de 60 millions d’euros pour dépôt de cookies non consentis“, par Randala Al Hajjar).

Schrems gagne un nouvelle bataille : ce rapport devrait inciter les entreprises à élaborer des bannières cookies plus conformes. Cette mise en garde en matière de collecte de données personnelles n’est peut être pas juridiquement contraignante mais constitue un bel espoir pour une protection plus grande des données des internautes.

https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_fr
https://www.cnil.fr/fr/le-cepd-adopte-le-rapport-final-de-la-task-force-dediee-aux-bannieres-cookies-cookie-banner
https://www.nextinpact.com/lebrief/70846/le-cepd-adopte-rapport-final-son-groupe-travail-sur-cookies-banners
https://siecledigital.fr/2023/01/19/refuser-les-cookies-doit-etre-aussi-facile-que-de-les-accepter-selon-le-cepd/