Bannières de cookies
Des éclaircissements bienvenus sur un sujet à risque
Alors que les sanctions de la CNIL se multiplient à l’encontre des sites internet ne respectant pas les règles en matière de cookies publicitaires, le Comité européen de la protection des données (CEPD) vient de publier son rapport final dédié aux bannières de cookies.
C’est désormais une approche harmonisée et plus lisible qui est mise en avant par la « task force » européenne.
Des campagnes de contrôle régulières et ciblées depuis avril 2021
Pour rappel, conformément à l’article 4 du RGPD, le consentement des internautes à l'insertion de traceurs doit être libre, spécifique, éclairé et univoque. Les conditions d’obtention d’un consentement valide en matière de cookies ont été largement précisées, aussi bien par le CEPD lors de l’actualisation de ses lignes directrices du 4 mai 2020 que par la CNIL, qui a publié le 1er octobre 2020 la version définitive de ses lignes directrices concernant l’usage des cookies ainsi que ses recommandations.
Les recommandations de la CNIL portent notamment sur la preuve du recueil valable du consentement de l’internaute mais également sur l’insertion d’un bouton « tout refuser » et la conservation du choix de l’utilisateur en matière de cookies.
Un délai de près d’un an et demi, soit jusqu’au 31 mars 2021, a été laissé aux sites internet pour se mettre en conformité.
De lourdes amendes en cas de manquement : les décisions récentes
Le contrôle des cookies fait partie des priorités de la CNIL, avec à la clé des campagnes de contrôle ciblées et des injonctions de mise en conformité de plus en plus nombreuses. Si les décisions de la CNIL visent toujours principalement les mêmes géants de l’Internet, et souvent pour des manquements similaires en matière de bannières de cookies, les enseignements à en tirer valent pour tous.
En décembre 2020, la CNIL rappelait déjà l’obligation de rendre le refus des cookies aussi facile que leur acceptation, prononçant des sanctions à l’encontre de deux acteurs majeurs d’internet à hauteur de 100 et 35 millions d’euros.
Plus récemment, le 19 décembre 2022, une amende de 60 millions d’euros a été infligée par la CNIL à un autre acteur, qui a payé cher le défaut de mise en place d’un mécanisme permettant à ses utilisateurs de refuser les cookies aussi facilement que de les accepter sur son moteur de recherches.
Un seul clic permettait d’accepter les cookies tandis que les refuser impliquait de cliquer à deux reprises ; la CNIL a considéré que ce mécanisme plus complexe portait atteinte au libre consentement des utilisateurs.
Le montant de l’amende a été justifié par la CNIL en raison notamment du nombre de personnes concernées par le traitement et par les importants bénéfices que la société perçoit des revenus publicitaires indirectement générés à partir des données collectées par le dépôt de cookies.
Une dizaine de jours plus tard, le 29 décembre 2022, la CNIL a sanctionné TikTok à hauteur de 5 millions d’euros pour ne pas avoir mis en place un bouton permettant le refus immédiat des cookies, mais également pour ne pas avoir informé de façon suffisamment précise les internautes des finalités des différents cookies.
« Cookies wall » : les dernières recommandations de la CNIL
La problématique de l’acceptation des cookies soulève aussi des questions concernant la pratique du « mur de traceurs » (cookie wall), conditionnant l’accès à un service à l’acceptation, par l’internaute, du dépôt de cookies ou d’une autre contrepartie, généralement financière.
Saisie de manière récurrente sur la régularité de cette pratique, la CNIL a rendu publics, le 16 mai 2022, les critères d’évaluation qu’elle a mis en place pour apprécier leur légalité.
Pour rappel, le Conseil d’Etat avait jugé que la légalité de cette pratique ne pouvait être tranchée de manière générale, mais devait être appréciée au cas par cas, à l’aune de l’existence d’alternatives satisfaisantes permettant l’accès au site même en cas de refus des cookies (CE, 19 juin 2020, n° 434684). C’est l’objet des nouveaux critères d’évaluation mis en place par la CNIL.
Le premier de ces critères consiste à mesurer si l’utilisateur qui refuse les cookies peut accéder au même type de contenu sur un site tiers (alternative équitable). Si ce n’est pas le cas, la CNIL recourt à un deuxième critère reposant sur l’alternative payante, où l’accès au site est conditionné par le paiement d’une contrepartie financière (paywall), sous réserve que cette somme demeure raisonnable, sans toutefois fixer de plafonds, le tarif raisonnable devant s’analyser au cas par cas.
En cas d’acceptation « en bloc » d’un certain nombre de cookies, et non finalité par finalité, ce qui affecte la liberté de choix de l’internaute, la CNIL précise que cela doit être justifié au regard des finalités poursuivies. Il faudra alors démontrer que le cookie wall est limité aux finalités qui permettent, une juste rémunération du service (dans le cas de la publicité ciblée) et ne concerne pas d’autres finalités non nécessaires pour accéder au site (par exemple la personnalisation du contenu).
Actualisation de la doctrine du CEPD
A la suite de plusieurs centaines de plaintes concernant les bannières de cookies, déposées par l’association NOYB auprès de 18 autorités européennes de protection des données entre mai 2021 et août 2022, un groupe de travail a été constitué pour analyser les questions soulevées par ces plaintes.
Cette coordination à l’échelle européenne n’a en principe pas vocation à s’appliquer aux problématiques liées au dépôt de cookies et autres traceurs qui relèvent spécifiquement de la directive ePrivacy, transposée en France dans la loi Informatique et Libertés (article 82). Néanmoins, le nombre élevé de plaintes et de pays concernés a justifié, selon le CEPD, le recours à ce mécanisme.
Le CEPD s’est prononcé sur différents points concernant les modalités d'acceptation et de refus du dépôt de traceurs et le design des bannières.
- Bouton « plus d’options » ne permettant pas directement le refus des cookies :
Le CEPD constate que la grande majorité des autorités européennes considère que l'absence d'options de refus équivalentes à celles proposées pour l’acceptation constitue un manquement.
- Pratique des cases pré-cochées :
Les autorités s’accordent à considérer que les cases pré-cochées ne constituent pas un consentement valable conformément au considérant 32 du RGPD selon lequel « il ne saurait y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».
- Conception de liens trompeurs :
Sur la pratique consistant à mettre à disposition des internautes un lien et non un bouton, le groupe de travail du CEPD a rappelé que dans tous les cas, il est nécessaire d’indiquer de façon claire l'objet de la bannière de cookies, sa finalité et ses modalités d’utilisation.
Si la seule alternative proposée au consentement est un lien derrière le mot « refus » mentionné hors de la bannière et si le support visuel ne permet pas clairement d’attirer l’attention de l’utilisateur sur cette mention hors bannière, alors le lien sera considéré comme trompeur.
- Couleurs et contrastes trompeurs :
Les membres du groupe de travail ont constaté que certaines bannières, par leurs couleurs et leurs contrastes, mettaient davantage en évidence le bouton « tout accepter ». Si une norme générale en matière de couleurs et/ou de contrastes ne saurait être imposée, une analyse au cas par cas doit être menée afin de vérifier la conformité des bannières. Par exemple, un bouton où le contraste entre le texte et l'arrière-plan serait si minime que le texte en serait illisible constitue un bouton trompeur.
- Sur l’intérêt légitime revendiqué en cas d’option de refus présentée ultérieurement :
Le CEPD constate que certains responsables de traitement mettent en place une bannière qui n’inclut pas une option de refuser les traceurs au « premier niveau » mais seulement ultérieurement et justifie cette modalité de refus en se basant sur la notion d’intérêt légitime. Les membres du groupe de travail ont indiqué que cette base juridique ne saurait justifier un tel procédé.
- Classification inexacte de « cookies essentiels » :
Bien que la classification des cookies puisse soulever des difficultés en pratique, le CEPD a mentionné l’existence d’outils permettant d'établir la liste des cookies utilisés par un site web et a rappelé que dans son avis n°04/2012 sur l'exemption du consentement aux cookies, le G29 indique les critères permettant d’évaluer quels cookies doivent être considérés comme essentiels.
- Icône de retrait du consentement :
Le CEPD rappelle que les sites internet doivent mettre en place des solutions facilement accessibles permettant aux internautes de retirer leur consentement à tout moment (exemple : icône). Si une solution type de retrait du consentement ne peut être imposée, une analyse au cas par cas doit être menée afin de vérifier que retirer son consentement est aussi aisé que le donner.
A travers les différentes problématiques soulevées, ce rapport va permettre aux autorités européennes de finaliser l’instruction des plaintes déposées mais également de guider les propriétaires de sites internet dans le design de leurs bannières cookies.
Points clés :
- Les lourdes sanctions prononcées par la CNIL en matière de bannières de cookies doivent amener les entreprises à questionner leurs pratiques.
- Les recommandations de la CNIL et plus récemment la position du CEPD apportent des précisions importantes en la matière. Le bon moment pour un bilan ?
Article paru dans Option Finance Innovation le 13/03/2023
Technologie, Media et Communication dans notre cabinet d’avocats :
Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.
|
|
|
