Contexte
Le 17 janvier 2023, le CEPD – qui réunit la CNIL et ses homologues européens – a adopté le rapport de son groupe de travail baptisé « Cookie Banner Task Force ».
Ce groupe de travail a été mis en place à la suite des nombreuses plaintes (226) adressées par l’association NOYB auprès de 18 « CNIL européennes », concernant les caractéristiques et le design trompeurs de bannières cookies, couramment rencontrées sur le Web.
Portée
L’objectif du groupe de travail est d’adopter des positions communes ou partagées par le plus grand nombre d’autorités, afin d’unifier autant que possible le traitement des plaintes adressées par NOYB.
Ces plaintes relèvent de la compétence nationale de chaque Etat-membre.
En effet, le dépôt et la lecture de cookies et autres traceurs ne sont pas régulés par le RGPD, mais par la directive ePrivacy du 12 juillet 2022 et par le droit national de chaque état-membre (en France, il s’agit de l’article 82 de la loi Informatique & Libertés).
Officiellement, ce rapport n’est pas juridiquement contraignant. Toutefois, on peut supposer que les conclusions du rapport seront suivies par la CNIL et une majorité de ses homologues.
Il s’agit donc d’un document très utile pour toutes les organisations qui utilisent des cookies et traceurs sur leur site web ou application mobile, puisque le groupe de travail sanctionne de nombreuses pratiques trompeuses en matière d’affichage ou de fonctionnement des bannières cookies.
Les mauvaises pratiques épinglées par la Cookie Banner Task Force
1) ABSENCE DE BOUTON « TOUT REFUSER » SUR LA BANNIERE COOKIES
❌ Une large majorité d’autorités estiment qu’une bannière cookies qui ne présente pas directement (au premier niveau) d’option pour refuser immédiatement les cookies doit être considérée comme non conforme à la réglementation ePrivacy.
Il n’y a toutefois pas consensus des autorités à ce sujet.
Un exemple de bannière qui pourrait être considérée comme trompeuse:
2) CASES PRÉ-COCHÉES
Le groupe de travail relève que plusieurs organisations utilisent des cases de consentement pré-cochées sur le deuxième niveau des bannières cookies, c’est-à-dire après avoir cliqué sur un bouton « Paramétrer » ou « Gérer mes choix ».
❌ Le groupe de travail conclut que les cases pré-cochées ne permettent pas de recueillir un consentement valable.
Un exemple de bannière qui pourrait être considérée comme trompeuse:
3) DESIGN TROMPEUR – BOUTON « ACCEPTER » ET LIEN « REFUSER / NE PAS ACCEPTER »
Le groupe de travail relève également que certaines bannières cookies comportent un bouton pour « Accepter les cookies » mais un lien hypertexte pour « Refuser » ou « Continuer sans accepter ».
Le groupe de travail ne fait pas de différence entre les liens de refus prenant directement en compte le choix de l’internaute ou le renvoyant vers un panneau de paramétrage (second niveau).
❌ Le groupe de travail considère que le design d’une bannière cookies ne doit pas laisser croire aux internautes qu’ils doivent donner leur consentement ni les pousser à le donner afin de pouvoir continuer leur navigation sur le site ou l’application.
A titre d’exemples, le groupe de travail indique que les pratiques suivantes ne permettent pas de recueillir un consentement valable :
- la seule alternative à l’acceptation des cookies consiste à fournir un lien, avec une formulation du type « Refuser » ou « Continuer sans accepter », noyé dans un paragraphe de la bannière cookies et sans mise en avant visuel permettant d’attirer l’attention de l’internaute sur cette option ;
- la seule alternative à l’acceptation des cookies consiste à fournir un lien, avec une formulation du type « Refuser » ou « Continuer sans accepter », placé en dehors de la bannière cookies et sans mise en avant visuel permettant d’attirer l’attention de l’internaute sur cette option.
Un exemple de bannière qui pourrait être considérée comme trompeuse:
4) DESIGN TROMPEUR – COULEURS / CONTRASTES DES BOUTONS
Le groupe de travail relève aussi que certaines bannières cookies utilisent des couleurs ou des contrastes sur les boutons « Accepter » et « Refuser » qui tendent à mettre davantage en évidence le bouton « Accepter » et/ou à invisibiliser le bouton « Refuser ».
Le groupe de travail indique qu’il n’est pas possible d’établir de norme générale ni d’imposer des couleurs aux organisations. Ce type de design trompeur doit être examiné au cas par cas.
❌ Toutefois, le groupe de travail considère que les bannières cookies ne doivent pas présenter le choix « Refuser » sous la forme d’un bouton où le contraste entre le texte et le fond du bouton est si minime que le texte en devient illisible.
Un exemple de bannière qui pourrait être considérée comme trompeuse:
5) INTERET LEGITIME REVENDIQUE DANS LA LISTE DES FINALITES
Le groupe de travail relève que les bannières cookies de certaines organisation effectue une distinction entre les opérations de dépôt et de lecture de cookies, d’une part, et les traitements ultérieurs qui reposeraient sur l’intérêt légitime de l’organisation, d’autre part.
❌Le groupe de travail rappelle que le dépôt et la lecture des cookies ne peut pas reposer sur l’intérêt légitime de l’organisation, mais nécessite le recueil d’un consentement.
❌ Ensuite, il rappelle que si le consentement au dépôt et à la lecture des cookies n’est pas valable, alors le traitement ultérieur fait par l’organisation ne sera pas conforme au RGPD.
Un exemple de bannière qui pourrait être considérée comme trompeuse:
6) COOKIES CLASSÉS COMME « ESSENTIELS » DE MANIÈRE INEXACTE
Le groupe de travail relève que certaines organisations classifient leurs cookies comme étant « essentiels » ou « strictement nécessaires » alors que la finalité de ces cookies ne permet pas de rentrer dans cette exception.
Le groupe de travail note qu’il est difficile d’établir une liste précise et définitive des cookies pouvant relever de la catégorie des cookies essentiels.
Il appartient donc aux organisations de documenter et d’être en mesure de prouver que les cookies classés comme étant essentiels le sont effectivement.
🔎Le groupe de travail renvoie également à l’avis 04/2012 du Groupe de travail de l’Article 29 à propos de l’exemption du consentement aux cookies.
7) ABSENCE D’ICONE DE RETRAIT
Le groupe de travail relève que certaines organisations n’affichent pas, de façon permanente, un outil permettant de faire réapparaitre la bannière cookies afin de modifier les paramètres (notamment pour retirer le consentement).
Le groupe de travail estime que les organisations doivent mettre en place des solutions facilement accessibles aux internautes pour retirer leur consentement, à tout moment.
✔️ Elle suggère notamment – sans l’imposer – l’utilisation d’une icône, placé à un endroit visible et permettant d’afficher au survol la bannière cookies.
Cela doit permettre de satisfaire à deux conditions de validité du consentement, prévues à l’article 5(3) de la directive ePrivacy, à savoir :
- la possibilité de retirer son consentement à tout moment ;
- d’une manière aussi facile que de donner son consentement.
Bilan
Ce rapport permet d’entrevoir la position que la CNIL et ses homologues européens devraient suivre lors de leur prochain contrôle en matière de dépôt et lecture de cookies.
Les conclusions du rapport offrent donc des recommandations précieuses pour les organisations qui utilisent des cookies sur leur site web ou leur application mobile.
Il est recommandé de se conformer aux conclusions de ce rapport, même s’il n’est pas juridiquement contraignant.
En outre, les organisations françaises devraient suivre la recommandation « Cookies », les lignes directrices « Cookies » et la FAQ Cookies de la CNIL.
*
Le cabinet SHIFT avocats accompagne et conseille les entreprises en Droit des données personnelles depuis plus de 20 ans. Contactez-nous pour toute question: contact@shift-avocats.com.