La majorité des bannières cookies sont non conformes selon le CEPD

Le Comité européen de la protection des données CEPD qui assure la cohérence de l’application du RGPD a adopté le 17 janvier 2023, le rapport du groupe de travail sur les bannières de cookies. 

Ce groupe de travail a été créé en 2021, à la suite de plus de 700 plaintes qui avaient été déposées auprès des différentes autorités de protection des données.

Les mesures publiées dans ce rapport ne sont pas contraignantes. « Elles reflètent le dénominateur commun convenu par les autorités dans leur interprétation des dispositions applicables de la Directive ePrivacy et des dispositions du RGPD ». Elles visent à coordonner les actions des régulateurs dans le traitement des plaintes.

Le document confirme que le cadre d’application est uniquement la législation nationale transposant la directive ePrivacy relative aux cookies. Autre élément important, le rapport confirme que le cadre applicable au traitement, c’est-à-dire le lieu et l'accès à des informations stockées dans un terminal, est le RGPD.

Les bannières actuelles de cookies sont illicites majoritairement

Les membres du groupe de travail ont rappelé que, par défaut, aucun cookie nécessitant un consentement ne peut être installé sans consentement.

Le consentement doit être exprimé par une action positive et volontaire de la part de l'utilisateur

Sont ainsi considérées comme des pratiques illégales :

L’absence de bouton « accepter » le stockage des cookies et un bouton qui permet à la personne concernée d'accéder à d'autres options, mais sans contenir immédiatement dès le premier niveau, de bouton pour « refuser » les cookies.

L'absence d'options de « refus/rejeter/ne pas consentir » sur n'importe quelle couche avec un bouton de consentement sur la bannière de cookies n'est pas conforme aux exigences d'un consentement valide et constitue donc une infraction.

Peu d'autorités ont estimé qu'elles ne pouvaient pas retenir une infraction même si ePrivacy ne mentionne pas explicitement une « option de refus » au dépôt de cookies.

Interdiction de cases pré-cochées

Les options pré cochées sur la deuxième couche ou deuxième écran du bandeau cookie après que l'utilisateur ait cliqué sur le bouton "Paramètres" du premier écran, est une pratique considérée comme trompeuse. En effet, cette pratique force l’internaute et n’apporte pas de consentement volontaire et éclairé.

Le design destiné à tromper

Certaines bannières de cookies contiennent un lien pour « refuser » le dépôt de cookie alors qu’il devrait avoir clairement un bouton « refuser ».

Les membres du rapport considèrent nécessaire la mise en place d’une indication claire sur le sujet de la bannière, sur l'objet du consentement demandé et sur la manière de consentir aux cookies.
Pour que le consentement soit valide, l'utilisateur doit être en mesure de comprendre à quoi il consent et comment le faire.

Afin qu'un consentement valide soit donné librement, le propriétaire de site web ne doit pas concevoir de bannières de cookies de manière à donner aux utilisateurs l'impression qu'ils doivent autoriser leur consentement pour accéder au contenu du site web. Les responsables de traitement ne doivent pas forcer l'utilisateur à donner leur consentement (un moyen pourrait être au contraire de permettre la poursuite de la navigation sans cookies dès le premier niveau notamment par exemple).

La CNIL s’était déjà prononcée sur le sujet des "cookies et traceurs" précisant qu’il est nécessaire d’offrir « aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité » que l’acceptation. C’est-à-dire, « accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement ».

La CNIL estime que les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir contre plusieurs actions pour « paramétrer » un refus de consentir présentent, un risque d’influencer le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement.

La pratique de couleur de boutons trompeuse ou de faible contrastes

La configuration des bandeaux et la confection des boutons et des contrastes doivent être claires et mettre en évidence simplement les options de choix.

Il convient que les couleurs utilisées ne soient pas manifestement trompeuses pour les utilisateurs. Elles ne doivent pas entrainer d'erreur involontaire et, à ce titre, le consentement serait dans ce cas invalide.

Détournement de l’intérêt légitime

Un bandeau qui met en avant la possibilité d' « accepter » l'opération de lecture/écriture au premier niveau ou premier écran, mais qui ne comporte pas d'option de « refus » à ce niveau, peut conduire l'utilisateur à croire qu'il n'a aucune possibilité de s'opposer au dépôt de cookies, et accessoirement aux traitements ultérieurs qui en résultent.

Autre point, à un deuxième niveau du bandeau, le responsable de traitement ne peut pas s’appuyer abusivement sur des intérêts légitimes pour différentes activités de traitement telles que, par exemple, « Créer un profil de contenu personnalisé » ou « Sélectionner
des publicités personnalisées ».

Il ne peut pas être considéré qu'il « existe un intérêt légitime supérieur pour de telles activités de traitement » affirment les auteurs du rapport.

Les cookies classés de manières inexactes

Certains responsables du traitement classent comme « essentiels » ou « strictement nécessaires » les cookies et les opérations de traitement qui utilisent des données à caractère personnel et servent des finalités qui ne seraient pas considérées comme « strictement nécessaires » au sens de l'article 5, de la Directive ePrivacy ou dans le sens ordinaire de « strictement nécessaire » ou « essentiel » dans le cadre du RGPD.

Selon le rapport, il est alors de la responsabilité des propriétaires de sites web de prouver la nécessité des éléments et de fournir aux autorités compétentes sur demande et d'en démontrer le « caractère essentiel » des cookies répertoriés.

Les auteurs du rapport, rappellent à ce titre   l’avis n°04/2012 sur l'exemption de consentement aux cookies du WP 29

L’absence d’option et d’icone permanentes pour gérer son consentement

Les responsables du traitement doivent offrir sur leur site internet une option permettant à l’utilisateur de retirer ou de gérer à tout moment son consentement.

Il est nécessaire d’afficher de manière permanente une petite icône flottante et visible sur toutes les pages du site Web afin de permettre aux personnes concernées de revenir sur leurs paramètres de confidentialité et consentement à tout moment.

Pour rappel, les responsables de traitement doivent détenir la preuve de validité du consentement.

La CNIL par exemple recommande notamment les modalités suivantes, non exclusives :

Les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;

- Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;

- Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

- Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

Nous sommes à votre disposition pour vous accompagner dans la conformité de vos cookies et RGPD.

Vous pouvez nous demander le document gratuit relatif aux bannières conformes  selon les dernières mesures exposées précédemment à cette adresse : contact[@]prorisk-cyber.com

Patrice Remeur pour Prorisk cyber