Ces dernières années, les 18 autorités de protection des données de l’Union européenne ont été saisies d’une véritable avalanche de plaintes relatives au design et aux caractéristiques des bannières cookies. Les bannières cookies sont les bandeaux qui s’affichent à l’arrivée sur un site internet pour recueillir votre consentement sur le dépôt des cookies.
En réaction, un groupe de travail nommé « task force », notamment piloté par la CNIL, a été créé pour analyser les différentes problématiques détectées.
Le 17 janvier 2023, le CEPD a rendu un rapport synthétisant les conclusions du « task force ».
Ce rapport rappelle que :
- aucun cookie ne peut être déposé sans consentement,
- le consentement doit être exprimé par une action positive de l’utilisateur
- l’objet de la bannière, l’objectif du consentement et la manière de consentir aux cookies doivent être énoncés de façon claire
- le propriétaire d’un site internet ne peut en aucun cas concevoir la bannière cookies de façon à ce que les utilisateurs aient l’impression qu’ils sont obligés de donner leur consentement pour avoir accès au contenu du site
Le CEPD précise que les pratiques suivantes sont prohibées, nous ne pouvons que vous alerter car nous constatons que la majorité d’entre elles ne sont pas respectées :
- Les bannières ne présentant pas de bouton de refus
- Pré-cocher la case « accepter » sur le bandeau des cookies
- L’option de refus des cookies est matérialisée par un lien ou par une formulation dans un paragraphe de texte dans la page d’accueil
- Rendre le bouton « accepter » plus visible grâce au jeu de couleurs et contrastes, ou a contrario rendre le bouton « refuser » illisible
- Classer comme « essentiels » les cookies et traitements qui utilisent des données à caractère personnel et qui servent des finalités qui ne sont pas considérées comme « strictement nécessaires »
- L’absence d’option de retrait sur le site internet
Cependant, le « task force » a considéré qu’il était impossible d’imposer un standard en termes de couleurs et de contrastes à tous les sites internet.
Les autorités de contrôles nationales devront donc se borner à effectuer un contrôle au cas par cas, afin de déterminer si le design de la bannière cookie influence l’utilisateur.
Ce rapport et les conclusions qui en découlent devraient permettre d’harmoniser le traitement des plaintes par les différentes autorités de contrôle européennes.
Cette piqûre de rappel sur les bonnes pratiques en matière de bannières cookies fait écho au grand nombre de plaintes reçues par les autorités de contrôle comme la CNIL. Pour rappel, en réponse à cette volonté de renforcer les contrôles, la CNIL a désormais externalisé les audits de sites internet.
L’avis de la CEPD va donc avoir des répercussions importantes, y compris pour les petites et moyennes entreprises, jusqu’ici davantage épargnées par les audits de sites internet.