La CNIL met en demeure les éditeurs de sites web de modifier les « bannières cookies trompeuses » incitant les internautes à y consentir

Publié par le dans , , | Consulté 23 Fois

par Pauline PIETRI, étudiante du Master 2 Droit des communications électroniques

Plus de 80% des sites déposent des cookies autres que des cookies de navigation, c’est-à-dire des cookies qui ont une finalité de traçage publicitaire et qui sont intrusifs. Certains éditeurs de sites web cherchent à déjouer la vigilance des internautes grâce à des bannières cookies trompeuses, qu’ils finissent par accepter contre leur gré. Les bannières sont considérées comme trompeuses lorsque les modalités de refus des cookies sont plus compliquées que de les accepter ou encore lorsque la présentation des bannières est ambiguë ou trompeuse.

Ce 12 décembre 2024, la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure plusieurs éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses, qui poussaient les internautes à accepter de tels traceurs.

Pour veiller à la protection du consentement des internautes, la CNIL s’appuie sur ses lignes directrices et sur le rapport final « Task force » du Comité européen de la protection des données (CEPD), pour lutter contre « les mauvaises pratiques » en matière de bannières cookies.

Quels principes et droits fondamentaux la CNIL tente de protéger à travers la mise en demeure des sites web pour « bannières cookies trompeuses » ?

L’exigence du consentement de l’internaute : la pierre angulaire des bannières cookies

À titre indicatif, les bannières cookies sont les fenêtres qui apparaissent sur chaque site Internet et interrompent la navigation pour faire accepter ou refuser ces fameux cookies. Ceux-ci suivent la navigation : certains sont utiles, comme garder le panier d’achat, mémoriser la langue par défaut ou encore mesurer l’audience. D’autres, souvent optionnels, servent à pister les habitudes pour revendre les données à des partenaires commerciaux. Il est naturellement préférable de les refuser…

Bien entendu, ces bannières répondent à une obligation légale du Règlement Général sur la Protection des Données (RGPD) : les données collectées grâce aux cookies sont considérées comme des données à caractère personnel. Par conséquent, en vertu de l’article 4 du RGPD, le consentement à la collecte de données doit être libre, spécifique, éclairé et univoque. Les cookies ne seront déposés qu’une fois que le consentement est donné.

Le consentement de l’internaute est valable si les présentations des bannières ne l’induisent pas en erreur. L’information figurant sur la bannière doit être claire et complète et préciser à quoi servent les cookies susceptibles d’être déposés. Mais aussi les moyens de s’opposer à ce dépôt : la règle étant que « refuser un cookie doit être aussi simple que de les accepter » comme le rappelle la CNIL à la suite des mises en demeure desdits sites web.

Il est important de savoir que le consentement de l’internaute doit être révocable ! D’ailleurs le CEPD préconise un bouton « retrait » pour que les internautes modifient leur consentement. Les éditeurs de sites doivent laisser la possibilité aux internautes de mettre à jour leurs préférences en matière de cookies, conformément à la Loi Informatique et Libertés (LIL) et au RGPD.

« Une présentation ambiguë ou trompeuse » impactant la vie privée et la protection des données personnelles des internautes

Les cookies impactent la vie privée des utilisateurs en collectant et en analysant leurs données personnelles. Donc tout traitement effectué sans le consentement explicite porte atteinte à ce droit fondamental qu’est la protection de la vie privée. En vertu de l’article 7 de la Charte des droits fondamentaux de l’Union européenne, toute personne a droit au respect de sa vie privée et de ses communications. Cette disposition est invocable en cas de présentation non conformes des bannières.  

La CNIL s’appuie sur l’article 82 de la LIL, en plus de ses lignes directrices et du rapport final de la CEPD, pour analyser les bandeaux de recueil du consentement. Ledit article dispose que l’information doit être claire et complète de l’existence des cookies. Or la Commission précise que l’option de refus qui n’est pas facilement discernable, ou qui est accolée à d’autres mentions d’informations, ou bien qui prend la forme d’un lien cliquable, rend les informations opaques et brouille la vigilance des internautes.

Deuxièmement, la protection des données personnelles des internautes est encadrée dès 2002 avec la directive E-Privacy qui considère que les traceurs, les cookies, portent atteinte aux données personnelles des utilisateurs des réseaux. La LIL définit aussi un régime de protection des données personnelles collectées. Son article 82 pose des règles comme la légitimité de la collecte, le droit de refuser un cookie, le droit à l’information de la finalité du cookie, le consentement… Puis avec l’adoption du RGPD en 2018 on redouble ce double fondement du régime de protection des données personnelles.

En concevant des bannières cookies trompeuses, les éditeurs de sites web compromettent la transparence du choix des internautes et in fine leur consentement. Elles détournent le consentement de son véritable objectif, qui est de garantir la protection de la vie privée et des données personnelles.

La CNIL passera-t-elle par la case sanction ?

La CNIL ne donne aucune indication sur la suite des événements. Si les sites ne se mettent pas en conformité dans le délai imparti d’un mois, passera-t-elle par la case sanction ? Pas nécessairement, en tout cas selon Mathias Moulin, directeur général adjoint de la CNIL, qui a déclaré que « Ce qui nous importe, c’est la mise en conformité au RGPD, pas d’être dans une logique punitive ». Alors même si la CNIL est jugée trop laxiste par certains, sa logique non-punitive semble perdurer pour le moment. Malgré tout, le rapport « Task force » du CEPD entend mettre fin aux mauvaises pratiques, comme l’absence de bouton « tout refuser ». Certes, les éditeurs de sites web ne sont pas systématiquement sanctionnés, mais la CNIL contraint tout de même les acteurs du web à élaborer des bannières cookies conformes.

Sources :

  • « Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web », , CNIL
  • Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 82
  • « Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action », CNIL
  • « Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation », CNIL
  • « Le CEPD adopte le rapport final de la « task force » dédiée aux bannières cookies (« cookie banner ») », CNIL