par Les bannières de consentement aux cookies qui utilisent des astuces de conception flagrantes pour essayer de manipuler les internautes afin qu’ils acceptent de transmettre leurs données à des fins de publicité comportementale, au lieu de donner aux gens un choix libre et équitable de refuser ce type de suivi effrayant, font face à une réaction coordonnée de la part de l’Union européenne. régulateurs de la protection des données de l’Union.
Un groupe de travail de plusieurs DPA, dirigé par la CNIL française et l’autorité autrichienne, a passé plusieurs mois sur un travail commun d’analyse des bannières de cookies. Et dans un rapport publié cette semaine, ils sont parvenus à un certain consensus sur la manière d’aborder les plaintes concernant certains types de schémas sombres de consentement aux cookies dans leurs juridictions respectives – un développement qui devrait rendre plus difficile le vol de conceptions trompeuses dans l’UE.
Le groupe de travail a été convoqué en réponse à des centaines de plaintes stratégiques, déposées entre 2021 et 2022 par le groupe européen de défense des droits à la vie privée, noyb – qui a développé son propre outil pour aider à automatiser l’analyse des bannières de cookies des sites Web et générer des rapports et des plaintes (une astuce intelligente de une petite organisation à but non lucratif pour étendre son impact stratégique).
Les cookies et autres technologies de suivi relèvent de la directive ePrivacy de l’UE, ce qui signifie que la surveillance des bannières de cookies est généralement décentralisée vers les régulateurs des États membres. Cela signifie à son tour qu’il peut y avoir différentes applications des règles dans le bloc, selon l’endroit où le site Web en question est hébergé. (Les régulateurs de certains États membres, par exemple, permettent aux sites d’actualités d’offrir aux utilisateurs le choix entre accepter le suivi des publicités pour accéder (gratuitement) au contenu ou payer un abonnement pour obtenir un accès sans suivi — bien que de tels « paywalls de consentement aux cookies » demeurent controversé et il est peu probable qu’il réussisse avec chaque DPA.)
Compte tenu du degré de consensus signalé par le groupe de travail, cela suggère qu’il y aura une certaine harmonisation dans la manière dont les DPA appliquent les plaintes liées à la conception des bannières de consentement aux cookies – avec, par exemple, la grande majorité des autorités convenant que l’absence d’un «refuser tout ‘ au même niveau qu’un bouton ‘tout accepter’ est une violation d’ePrivacy. Donc, plus d’application contre les sites qui tentent d’enterrer une option pour refuser le suivi semble probable.
Le groupe de travail a également convenu que les flux de consentement qui comportent des options pré-vérifiées (c’est-à-dire comme une autre tactique pour essayer de pousser l’accord) ne sont pas non plus un consentement valide – ce qui ne devrait surprendre personne étant donné que le plus haut tribunal européen a déjà clarifié la nécessité d’un consentement actif pour le suivi des cookies tous le chemin du retour en 2019.
Au cours des cinq dernières années environ, depuis l’entrée en vigueur d’une autre loi de l’UE renforçant les règles relatives au consentement – à savoir le règlement général sur la protection des données (RGPD) – les DPA ont certainement accordé plus d’attention aux consentements des cookies. Y compris les plaintes sur la fréquence à laquelle les règles étaient bafouées se sont accumulées.
Cela a conduit de nombreuses personnes à mettre à jour (et à resserrer) leurs directives sur cette question, ce qui rend plus difficile pour les sites de prétendre que les règles relatives au suivi du consentement ne sont pas claires.
Les mesures d’application se sont également intensifiées, certains organismes de surveillance étant très actifs – comme la CNIL française qui, depuis 2020, a infligé une amende à une série de géants de la technologie (dont Amazon, Google, Meta, Microsoft et TikTok) pour une variété d’infractions liées aux cookies. , y compris de multiples sanctions (et amendes) concernant l’utilisation de schémas sombres pour tenter de manipuler le consentement.
L’activité d’application de la CNIL a également comporté des ordonnances correctives qui ont contribué à forcer certains changements de conception majeurs – y compris Google révisant la bannière de cookie qu’il affiche dans toute l’UE l’année dernière pour (enfin) proposer une option de haut niveau “tout refuser”. Ce qui est tout à fait la victoire.
Et étant donné que la CNIL a joué un rôle de premier plan dans la coordination des travaux du groupe de travail, il semble qu’une partie de sa convention déteint sur les autres DPA.
Dans un communiqué de presse accompagnant l’adoption par le comité européen de la protection des données du rapport de la taskforce en début de semaine et résumant les résultats, le régulateur français écrit : « Ce rapport indique notamment que la grande majorité des autorités considèrent que l’absence de possibilité de refus/ refuser/ne pas consentir aux cookies au même niveau que celui prévu pour accepter leur stockage constitue une violation de la législation (article 5(3) de la directive ePrivacy). La CNIL avait déjà pris une telle position dans ses lignes directrices et dans le cadre de plusieurs sanctions »,
Outre l’accord sur la nécessité d’accompagner un bouton “Tout accepter” d’un bouton “Tout refuser”, la taskforce a convenu que la conception des bannières de cookies doit fournir aux internautes suffisamment d’informations pour leur permettre de comprendre ce qu’ils sont consentir et comment exprimer son choix.
Et que les bannières cookies ne doivent pas être conçues de manière à donner aux utilisateurs “l’impression qu’ils doivent donner leur consentement pour accéder au contenu du site, ni qui poussent clairement l’utilisateur à donner son consentement”, comme l’indique le rapport.
Ils se sont également mis d’accord sur quelques exemples de conceptions de cookies qui ne pas conduire à un consentement valide – par exemple lorsque la conception est telle que “la seule action alternative offerte (autre que l’octroi du consentement) consiste en un lien derrière un libellé tel que “refuser” ou “continuer sans accepter” intégré dans un paragraphe de texte dans le cookie bannière, en l’absence de support visuel suffisant pour attirer l’attention d’un utilisateur moyen sur cette action alternative » ; ou lorsque “la seule alternative proposée (autre que l’octroi du consentement) consiste en un lien derrière une mention telle que ‘refuser’ ou ‘continuer sans accepter’ placé en dehors du bandeau cookie où sont présentés les boutons d’acceptation des cookies, en l’absence de suffisamment support visuel pour attirer l’attention des utilisateurs sur cette action alternative hors cadre ».
Donc, fondamentalement, ils ont obtenu un consensus sur l’exclusion de certains motifs sombres de bannières de cookies courants.
Mais sur les astuces visuelles – telles que l’utilisation de couleurs de surbrillance qui pourraient être sélectionnées pour attirer l’attention sur un bouton “tout accepter” et rendre plus difficile la vue d’une option de refus, le groupe de travail a décidé que l’analyse au cas par cas du look et la sensation (et le potentiel pour que ce type de choix de conception soit manifestement trompeur) serait nécessaire dans la plupart des cas. Et ils ont convenu qu’il ne leur appartenait pas d’imposer une norme générale de bannière (vis-à-vis de la couleur et/ou du contraste) aux contrôleurs de données.
Ils ont également convenu que refuser tous les boutons conçus de manière à rendre le texte “illisible pour pratiquement n’importe quel utilisateur” pourrait être “manifestement trompeur” pour les utilisateurs.
Parmi les autres problèmes auxquels le groupe de travail s’est attaqué, citons un ajout plus récent à l’enfer du consentement aux cookies – dans lequel les sites peuvent chercher (également) à revendiquer un “intérêt légitime” pour le traitement des publicités. Ajout parfois d’un tas de bascules supplémentaires à côté des boutons de base juridique du consentement qui ne sont généralement affichés que dans un sous-menu secondaire (ou autre), et où le niveau supérieur n’offre pas d’option “tout refuser” – obligeant plutôt les utilisateurs à cliquer dessus dans les paramètres pour dénicher ce gâchis déroutant de bascules (parfois avec celles de LI pré-vérifiées).
“L’intégration de cette notion d’intérêt légitime pour le traitement ultérieur ‘dans les couches profondes de la bannière’ pourrait être considérée comme déroutante pour les utilisateurs qui pourraient penser qu’ils doivent refuser deux fois afin de ne pas voir leurs données personnelles traitées”, indique le rapport. observe à ce sujet.
Le groupe de travail a également convenu de la manière dont les régulateurs devraient déterminer si tout traitement ultérieur basé sur des cookies est licite – en disant que cela impliquerait de déterminer si “le stockage/l’accès à des informations via des cookies ou des technologies similaires est effectué conformément à l’article 5(3) ePrivacy directive (et les règles nationales de mise en œuvre) — tout traitement ultérieur est effectué conformément au RGPD. 24”.
« A cet égard, les membres de la taskforce ont estimé que le non-respect constaté de l’art. 5 (3) dans la directive ePrivacy (en particulier lorsqu’aucun consentement valide n’est obtenu le cas échéant), signifie que le traitement ultérieur ne peut pas être conforme au GDPR 5. En outre, les membres du GT ont confirmé que la base juridique pour le placement/lecture de les cookies en vertu de l’article 5, paragraphe 3, ne peuvent pas être les intérêts légitimes du responsable du traitement », ajoutent-ils dans le rapport.
Bien qu’ils semblent avoir largement réservé leur jugement sur la manière de gérer le nouveau fléau des basculements LI apparaissant dans les flux de consentement aux cookies – disant qu’ils “ont accepté de reprendre les discussions sur ce type de pratique s’ils rencontraient des cas concrets où une discussion plus approfondie serait nécessaire pour assurer un approche cohérente ».
Le groupe de travail a également discuté de ce qu’il faut faire à propos des sites qui cherchent à classer certains traitements de données non essentiels comme strictement nécessaires/essentiels – et ainsi les regrouper dans une catégorie qui ne nécessite pas de consentement en vertu de ePrivacy ou du RGPD. Cependant, ils ont estimé qu’il existe des difficultés pratiques pour déterminer quel traitement est strictement nécessaire.
“Les membres de la Taskforce ont convenu que l’évaluation des cookies pour déterminer ceux qui sont essentiels soulève des difficultés pratiques, notamment en raison du fait que les fonctionnalités des cookies changent régulièrement, ce qui empêche l’établissement d’une liste stable et fiable de ces cookies essentiels”, ont-ils déclaré. a écrit. “L’existence d’outils pour établir la liste des cookies utilisés par un site Web a été discutée, ainsi que la responsabilité des propriétaires de sites Web de maintenir ces listes, de les fournir aux autorités compétentes sur demande et de démontrer le caractère essentiel des cookies. listé. »
Sur une autre question — celle du retrait du consentement — ils ont convenu que les propriétaires de sites Web devraient mettre en place “des solutions facilement accessibles permettant aux utilisateurs de retirer leur consentement à tout moment”, donnant l’exemple d’une petite icône (“planante et visible en permanence”) ou d’un lien ” placé sur un lieu visible et normalisé ».
Cependant, ils ont encore une fois hésité à imposer une méthode standardisée spécifique permettant aux utilisateurs de retirer leur consentement aux propriétaires de sites, affirmant qu’ils ne pouvaient être tenus de mettre en œuvre des « solutions facilement accessibles » une fois le consentement recueilli.
« Une analyse au cas par cas de la solution affichée pour retirer son consentement sera toujours nécessaire. Dans cette analyse, il convient d’examiner si, par conséquent, l’exigence légale selon laquelle il est aussi facile de retirer que de donner son consentement est remplie », ont-ils ajouté.
