Le groupe de travail de l'UE s'attaque aux bannières de cookies

Image of Carlo Cilento

Publié le 8 févr. 2023 et modifié le 19 déc. 2023 par Carlo Cilento

Le 18 janvier, le Comité européen de protection des données a publié un rapport présentant les conclusions de son groupe de travail sur les bannières de cookies. Ce rapport clarifie la manière de recueillir valablement le consentement par le biais d'une bannière de cookies conforme au GDPR. L'essentiel se résume à une règle simple : ne pas tromper l'utilisateur.

Le document n'est pas juridiquement contraignant, mais il aura certainement un impact sur l'application des règles en matière de cookies. En fait, il pourrait bien être le point de départ d'une répression des bannières de cookies trompeuses dans toute l'Europe.

  1. Qu'est-ce que l'EDPB et le groupe de travail sur les bannières de cookies ?
  2. De quels cookies parlons-nous ?
  3. Que dit le rapport ?
  4. Allons-nous assister à une répression des bannières de cookies ?
  5. Conclusions
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Entrons dans le vif du sujet !

Qu'est-ce que l'EDPB et le groupe de travail sur les bannières de cookies ?

Commençons par un peu de contexte. Le Comité européen de protection des données (CEPD ) est un organe indépendant de l'Union européenne qui veille à l'application cohérente de la législation européenne en matière de protection des données dans les États membres. Il est composé de représentants de toutes les autorités de protection des données (APD) de l'Espace économique européen, ainsi que du Contrôleur européen de la protection des données (essentiellement une APD qui supervise les institutions de l'UE).

Le Conseil publie fréquemment des lignes directrices, qui ne sont pas juridiquement contraignantes mais qui ont une grande influence dans la pratique. L'organe dispose également d'autres pouvoirs fondés sur le GDPR, tels que le règlement des désaccords entre les DPA (comme dans les récentes décisions concernant Meta, que nous avons couvertes sur notre blog).

L'EDPB a mis en place le groupe de travail sur les bannières de cookies en 2021 afin d'assurer une approche cohérente d'une série de plaintes déposées par l'ONG de défense de la vie privée noyb, dans le but de pousser les autorités à une application plus stricte du GDPR et de la directive sur la vie privée et les communications électroniques. La stratégie semble porter ses fruits et noyb semble assez satisfaite du résultat.

Le rapport du groupe de travail n'est pas contraignant et ne doit pas être considéré comme "la loi". Ceci étant dit, l'EDPB est composé de représentants des DPA, et les DPA elles-mêmes décident des plaintes concernant les cookies, donc le document est une bonne indication de la façon dont les cas pourraient être traités à partir de maintenant.

real-cookie-banners.png

De quels cookies parlons-nous ?

Pour être clair, les bannières de cookies concernent les cookies non essentiels. Il s'agit d'une distinction importante, car la directive européenne sur la vie privée et les communications électroniques impose le consentement pour les cookies, sauf s'ils sont nécessaires à la communication ou à la fourniture d'un service demandé par l'utilisateur (cookies dits "essentiels").

Par exemple, les détaillants en ligne utilisent des cookies pour suivre les articles dans le panier d'un utilisateur. Ces cookies sont considérés comme des cookies essentiels et ne nécessitent pas de consentement. De même, les cookies utilisés à des fins de sécurité ne nécessitent pas de consentement. En revanche, les cookies non essentiels, tels que les cookies d'analyse du web et les cookies de marketing, nécessitent toujours un consentement. C'est la raison pour laquelle vous voyez tant de bannières de cookies sur l'internet.

Les sites web ont besoin de votre consentement pour les cookies non essentiels. En même temps, ils craignent (à juste titre) que vous n'acceptiez pas d'être suivi lorsqu'un choix transparent vous est proposé. C'est pourquoi de nombreuses bannières de cookies sont intelligemment conçues pour rendre le processus de refus des cookies aussi déroutant et ennuyeux que possible. Il s'agit là d'un exemple de conception trompeuse: des choix de conception d'interface utilisateur douteux destinés à pousser ou à tromper l'utilisateur pour qu'il entreprenne une action souhaitée. Nous avons déjà abordé ce sujet sur notre blog il y a quelque temps.

Le rapport du groupe de travail se lit comme un bon résumé des exemples les plus courants de conception trompeuse dans les bannières de cookies et incarne une position très claire : ne pas le faire.

Que dit le rapport ?

Tout d'abord, la grande majorité des autorités chargées de la protection des données ont convenu que les bannières de cookies devaient offrir à l'utilisateur une option derejet sur la première couche (ou une option compréhensible et clairement formulée dans le même sens).

Il s'agit là d'un point important. De nombreuses bannières n'offrent pas directement une option de rejet, mais présentent à l'utilisateur des choix tels qu'accepter tout ou personnaliser dans la première couche. Pour rejeter les cookies, l'utilisateur doit cliquer sur l'option de personnalisation et accéder à une deuxième couche de la bannière contenant des informations plus détaillées, où l'option de rejet des cookies non essentiels est finalement proposée. Les bannières de cookies qui ne comportent pas d'option de rejet immédiatement accessible sont déroutantes et exploitent injustement la fatigue du clic au détriment de l'utilisateur. Nous sommes impatients de les voir disparaître.

Pour être clair, offrir à l'utilisateur un contrôle plus fin sur les cookies est acceptable, tant que vous proposez une option de rejet dans la première couche. Ainsi, une première couche offrant un choix à trois voies, comme accepter tout/rejeter tout/personnaliser, est acceptable, à condition que les trois options soient également visibles et accessibles.

Le rapport condamne également d'autres pratiques courantes, notamment

  • l'utilisation de cases pré-cochées pour recueillir un consentement valide. Nous disposons déjà d'une jurisprudence sur la question des cases pré-cochées1, mais certains sites web les utilisent quand même.
  • masquer le bouton de rejet avec de petites polices, des couleurs peu contrastées, etc.

En résumé, toute astuce visant à inciter l'utilisateur à accepter les cookies est probablement illégale.

Allons-nous assister à une répression des bannières de cookies ?

Nous ne pouvons pas prédire l'avenir, mais nous l'espérons, et nous avons de bonnes raisons de le penser.

Comme nous l'avons expliqué, le rapport décrit un terrain d'entente trouvé par les autorités de protection des données elles-mêmes. Le document n'est peut-être pas contraignant, mais il est probable que les autorités de protection des données s'y tiendront lorsqu'elles appliqueront les règles.

En outre, la situation en France est encourageante. À peu près au même moment où le rapport a été publié, la Commission nationale de l'informatique et des libertés (CNIL) a infligé des amendes à TikTok et à Microsoft pour violation de la directive "vie privée et communications électroniques" (nous avons rédigé un article sur ces affaires ici). Dans les deux cas, les infractions concernaient l'absence d'un bouton de rejet dans la première couche des bannières de cookies, ce qui s'avère être l'un des problèmes abordés par le groupe de travail de l'EDPB. La CNIL est une autorité de protection des données influente et ses décisions peuvent constituer un exemple à suivre.

Enfin, quelques autorités de protection des données réticentes ne pourront pas freiner l'application de la législation. Contrairement au GDPR, la directive ePrivacy ne laisse aucune place au forum shopping, car les règles de compétence sont radicalement différentes. Les autorités chargées de la protection des données peuvent infliger des amendes aux entreprises pour toute violation de la directive "vie privée et communications électroniques" commise dans leur juridiction, quel que soit le lieu d'établissement de l'entreprise. Par conséquent, les États membres où l'application de la législation est insuffisante ne constituent pas un refuge pour les entreprises non conformes opérant sur le marché européen.

Conclusions

Conclusion : si vous utilisez des cookies d'analyse web ou de marketing sur votre site web, vous devez vous en tenir aux indications du rapport et proposer une bannière de cookies transparente et conforme. Cela signifie que vos cookies sont faciles à rejeter et que de nombreux utilisateurs les rejetteront probablement. Il n'y a aucun moyen de contourner ce problème.

À moins, bien sûr, que vous ne supprimiez complètement les cookies et que vous obteniez toutes les informations dont vous avez besoin, sans porter atteinte à la vie privée de vos utilisateurs. C'est notre vision : chez Simple Analytics, nous nous efforçons de fournir à nos clients des informations sans suivre les utilisateurs ni collecter de données personnelles. Si cela vous convient, n'hésitez pas à nous essayer!

1 : CJUE C-673/17 Planet49.

GA4 est complexe. Essayez Simple Analytics

GA4 c'est comme être dans un cockpit d'avion sans brevet de pilote

Commencer l'essai de 14 jours