La « bannière cookies » demeure sans aucun doute le symbole plus visible du changement de paradigme en matière de données personnelles. Ce pop-up a eu un impact immédiat et important sur l’expérience de navigation sur internet des européens.

Ces bannières sont rendues nécessaires par la directive européenne e-privacy. Cette dernière pose le principe d’un consentement préalable de l’utilisateur au dépôt de tout cookie ou traceur non strictement nécessaire (comprendre, les traceurs publicitaires) sur son terminal.

Le RGPD a rendu plus strict encore cette obligation, en précisant les conditions de validité de ce consentement : libre, spécifique, éclairé, univoque et retirable à tout moment par l’utilisateur avec la même simplicité qu’il l’a accordé.

Les bannières cookies et autres outils de recueil du consentement visent donc à assurer la conformité des éditeurs de sites internet avec ces obligations.

Ces éditeurs ont toutefois été nombreux à rechercher tous les moyens d’influencer via cet outil le choix de l’internaute vers une acceptation des cookies.

Ces choix de design, qui rendent l’acceptation évidente ou masquent le plus possible la possibilité d’un refus, sont regroupés sous l’appellation de dark patterns. Ils font aujourd’hui l’objet d’un rapport du CEPD qui liste les pratiques les plus courantes et les condamne.

1 – Pas de bouton de rejet dès l’apparition de la bannière :

Le CEPD identifie en premier lieu les outils qui proposent, sur le premier écran présenté à l’internaute, un bouton « accepter » et un bouton « options supplémentaires ». En reléguant la possibilité du refus à un écran subsidiaire, une telle pratique ne permettrait pas la collecte d’un consentement valide au regard des critères du RGPD.

2 – Cases pré-cochées :

D’autres sites présentent une liste des catégories de cookies, l’internaute devant alors décocher les cases correspondant aux traceurs auxquels il ne souhaite pas consentir. Les membres de la taskforce rappellent, à l’unanimité, qu’une telle pratique entre en contradiction directe avec le RGPD (considérant 32 : « Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. »).

3 – Usage de liens trompeurs :

Le CEPD condamne par ailleurs l’usage de simples liens hypertextes, peu visibles, en lieu et place du bouton de rejet des cookies. Cette pratique donne l’impression aux utilisateurs qu’ils sont dans l’obligation de consentir pour accéder au site web.

4 – Usage de boutons incitatifs :

La taskforce identifie également le cas des bannières ou l’option « tout accepter » est clairement mise en valeur – que ce soit par une opposition de couleur, de taille, ou tout autre contraste par rapport au refus. Pour qu’un consentement soit conforme aux critères du RGPD, les deux options doivent apparaître comme des possibilités égales.

5 – Usage trompeur des définitions légales :

Le CEPD rappelle que les traitements de données reposant sur les cookies non-essentiels font l’objet d’un consentement obligatoire, auquel ne sauraient échapper les éditeurs de sites en faisant le choix d’une autre base légale comme l’intérêt légitime. De même, la notion de cookie essentiel, exempté du consentement, est strictement définie et ne saurait inclure les cookies servant au traçage publicitaire.

6 – Absence d’icône de retrait du consentement

La Taskforce pointe également l’absence, sur de nombreux sites, d’une interface facilement accessible pour retirer le consentement. L’usage d’une icône flottante visible en permanence ou d’un lien hypertexte présent sur toutes les pages du site constituent sur ce point des bonnes pratiques.

Ce rapport, rédigé suite aux nombreuses plaintes de l’association NOYB quant aux bannières de cookies, constitue une reconnaissance par les autorités de contrôle européenne de mauvaises pratiques qui pourront être sanctionnées à l’avenir.

Les éditeurs de sites webs ont donc tout intérêt à s’assurer de l’absence, sur leur propre bannière, des comportements listés.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion de vos sites webs et de votre conformité avec la réglementation en matière de données personnelles.

Pour toute question, n’hésitez pas à nous contacter.