Le 9 février, l'autorité bavaroise de protection des données a publié un communiqué de presse (en allemand uniquement) sur les résultats d'une enquête à grande échelle, partiellement automatisée, sur les cookies. L'autorité soupçonne au moins 350 sites web et 15 applications d'enfreindre la législation européenne et de placer des cookies sans consentement.
Bien que l'enquête ne soit que préliminaire, certains aspects importants méritent d'être discutés.
- Pourquoi cette enquête est-elle importante ?
- Qu'est-ce qui n'allait pas avec les bannières de cookies ?
- Les bannières de cookies trompeuses sont-elles légales ?
- Pourquoi vois-je encore un grand nombre de bannières de cookies trompeuses ?
- Vue d'ensemble
- Réflexions finales
Pourquoi cette enquête est-elle importante ?
Le communiqué de presse souligne deux points importants. Premièrement, l 'autorité exige une option "rejeter tout" au premier niveau de la bannière de cookies, ce sur quoi insiste également le Conseil européen de la protection des données. Deuxièmement, l'autorité a utilisé des outils automatisés pour l' enquête à grande échelle et envisage d'explorer davantage leur utilisation à l'avenir.
Commençons par les bannières de cookies. Quels sont les problèmes constatés par l'autorité et comment pouvez-vous les éviter sur votre propre site web ?
Qu'est-ce qui n'allait pas avec les bannières de cookies ?
Selon l'autorité, la plupart des bannières de cookies n'offraient pas d'option "rejeter tout" dans la première couche. Cela peut sembler un point mineur, mais ce n'est pas le cas, et voici pourquoi.
Permettez-moi de vous poser une question : à quand remonte la dernière fois où vous avez trouvé difficile ou déroutant d'accepter les cookies d'un site web ? La réponse est probablement jamais. Refuser les cookies est généralement ennuyeux, déroutant et fastidieux. En revanche, les accepter est un jeu d'enfant.
C'est le résultat d'une volonté délibérée. La législation européenne exige le consentement pour les cookies (avec des exceptions étroites qui ne s'appliquent pas vraiment à l'analyse du web). Les sites web ne peuvent pas vous pister sans votre consentement, c'est pourquoi ils s'efforcent de rendre le processus de rejet des cookies aussi difficile et ennuyeux que possible.
Généralement, l'option "rejeter les cookies" se trouve à un niveau plus profond de la bannière de cookies et est noyée parmi d'autres options inutiles et déroutantes. Cela transforme la bannière de cookies en un petit puzzle ennuyeux : soit vous prenez le temps de le résoudre, soit vous acceptez tous les cookies et passez à autre chose. Il existe d'autres astuces dans la boîte à outils des bannières de cookies, mais la principale consiste à cacher l'option "rejeter tout" dans une deuxième couche.
L'astuce fonctionne. De nombreux utilisateurs n'ont tout simplement pas la culture numérique nécessaire pour comprendre le langage et la présentation volontairement déroutants des bannières de cookies. Nous parlons ici de millions de personnes qui sont systématiquement bousculées par des sites web non conformes ! Même les utilisateurs les mieux équipés cèdent souvent à la lassitude parce qu'il est ennuyeux et fastidieux de jouer au mini-jeu des cookies pour chaque site web.
Les bannières de cookies trompeuses sont-elles légales ?
Si je clique sur le bouton "Accepter tout" parce que je n'ai pas le temps, la patience ou les connaissances numériques nécessaires pour comprendre comment "résoudre" une fenêtre contextuelle de cookies trompeuse, je n'ai pas donné mon consentement librement et mon consentement est donc totalement dénué de sens au regard du GDPR.
C'est également la position du Comité européen de protection des données (c'est-à-dire l'institution européenne qui réunit les autorités chargées de la protection de la vie privée). Un document récent de l'EDPB insiste sur le fait que les fenêtres contextuelles de cookies doivent permettre de rejeter facilement le consentement, en présentant une option "rejeter tout" dans la première couche. Bien que cette position ne soit pas entièrement unanime, elle est celle de la grande majorité des organismes de protection de la vie privée en Europe, et l'autorité bavaroise y fait expressément référence dans son communiqué de presse.
Concrètement, cela signifie que les autorités européennes n'aiment vraiment pas les bannières de cookies trompeuses. Il ne s'agit pas seulement d'enfouir le bouton "rejeter" dans la deuxième couche, mais aussi d'utiliser toute la panoplie.
Pourquoi vois-je encore un grand nombre de bannières de cookies trompeuses ?
Les autorités bavaroises n'ont rien dit de nouveau. Nous disposons de ces règles sur le consentement aux cookies depuis des décennies maintenant - elles sont plus anciennes que le GDPR lui-même.
C'est la mise en œuvre qui pose problème. De nombreuses autorités chargées de la protection de la vie privée en Europe font du bon travail, mais les limitations budgétaires et de personnel les empêchent d'en faire plus. Elles ne sont pas en mesure de poursuivre chaque site web utilisant une bannière de cookies non conforme.
C'est pourquoi l'utilisation d'outils automatisés est importante. L'automatisation d'une phase préliminaire du travail pourrait permettre aux autorités d'appliquer la loi plus efficacement et de menacer les entreprises avec des enquêtes à grande échelle comme celle lancée en Bavière.
C'est la première fois qu'une autorité européenne de protection de la vie privée utilise un logiciel pour automatiser une partie du travail d'enquête, mais cette stratégie n'est pas totalement nouvelle dans le domaine de la protection de la vie privée : l'ONG noyb a utilisé avec succès des outils similaires pour des litiges à grande échelle contre la non-conformité des cookies, malgré des effectifs et des moyens techniques modestes.
En résumé, les outils automatisés ne remplacent pas un financement adéquat, mais ils peuvent néanmoins être d'une grande aide. Ils constituent un outil très intéressant et nous espérons que les autorités prendront exemple sur la Bavière et exploreront leur utilisation.
(Et soyons clairs : personne ne se verra infliger une amende simplement parce que l'ordinateur le dit ! L'autorité n'a automatisé que la partie la plus "stupide" du travail. Les amendes ne pourront être infligées qu'après une enquête humaine sur chaque cas, et les sites web pourront se défendre dans le cadre d'une procédure juridique appropriée).
Vue d'ensemble
Toute cette discussion sur la conception des fenêtres pop-up peut sembler être du pinaillage, mais ce n'est pas le cas. La conception trompeuse des bannières de cookies est le symptôme d'un problème plus large.
Les entreprises aiment suivre les utilisateurs, mais les utilisateurs n'aiment pas être suivis. 96 % des utilisateurs d'iPhone ont refusé la collecte de données par des tiers dès qu'Apple leur en a donné la possibilité. En 2022, 35 % des internautes du monde entier utilisaient un bloqueur de publicité, bien que cette fonction ne soit pas intégrée aux navigateurs par défaut.
Parce que les utilisateurs n'aiment pas être suivis, l'industrie des technologies publicitaires doit faire appel à une fiction de consentement tout en utilisant toutes les astuces possibles pour extorquer ce consentement. Cette fiction joue un rôle crucial dans la manière dont l'industrie des technologies publicitaires légitime l'utilisation d'outils de suivi invasifs et nuisibles dans un monde de plus en plus soucieux de la protection de la vie privée.
Cette stratégie est également à l'œuvre dans d'autres scénarios. Google prétend que les utilisateurs d'Android ont tous consenti à être suivis par le biais de leurs identifiants publicitaires, alors qu'ils n'ont jamais été invités à le faire. Meta prétend que vous êtes "libre" de consentir à être profilé, sans tenir compte du fait que l'alternative est de payer 250 euros par an.
Mais le GDPR rend cette fiction difficilement tenable. C'est la raison pour laquelle les autorités de régulation font la nique à Meta au sujet de son modèle commercial depuis un certain temps déjà, et que les procès contre l'utilisation abusive de Google Analytics et d'autres outils de suivi similaires sont de plus en plus fructueux au niveau européen (par exemple, la récente victoire, qui pourrait changer la donne, contre le géant de l'informatique publicitaire Criteo).
Réflexions finales
Un pas après l'autre, l'élan est enfin donné contre la surveillance en ligne. Il est encore possible d'échapper aux règles, mais cela devient de plus en plus risqué.
Si vous voulez vous assurer que votre bannière de cookies est conforme, consultez notre blog sur le sujet. Mais ne vous y trompez pas : la conformité de la conception des bannières de cookies entraîne une baisse significative des taux d'acceptation. C'est pourquoi tant de sites web enfreignent les règles claires que nous avons établies !
Il existe donc un compromis fondamental pour les analyses basées sur les cookies. Vous pouvez avoir de bons taux d'opt-in ou la conformité.
Nous avons conçu Simple Analytics pour que vous n'ayez pas à choisir. Nous vous donnons toutes les informations dont vous avez besoin sur les performances de votre site web sans utiliser de cookies et sans collecter la moindre donnée personnelle. Notre logiciel est léger et facile à apprendre, avec une interface utilisateur intuitive et un assistant IA pratique.
Si cela vous convient, n'hésitez pas à nous essayer !