Consentement aux cookies : les Cnil européennes harmonisent leurs règles
La Cnil et ses homologues européens ont fait savoir ce mercredi 18 janvier qu'ils ont adopté un rapport qui contribuera à harmoniser la manière d'instruire les plaintes au sujet des bannières de consentement au dépôt des cookies. Noyb, l'association autrichienne de défense de la vie privée à l'origine de ces plaintes, s'en félicite : "Nous sommes très heureux de voir ces décisions écrites noir sur blanc pour la première fois même si pour l'instant seul le projet du rapport est consultable en ligne et non la version définitive. Nous attendons avec impatience cette dernière qui devrait contribuer à ce que les autorités rendent leur décision aux plaintes en instruction plus rapidement", déclare au Journal du Net Ala Krinickytè, juriste de l'association. "A noter cependant qu'il s'agit du plus petit dénominateur commun entre toutes ces autorités et que chacune peut être davantage stricte si elle le souhaite", complète-t-elle.
"Il s'agit du plus petit dénominateur commun entre toutes ces autorités. Chacune peut être davantage stricte"
Ce document est le résultat du travail d'un groupe dédié au sein du Comité européen de protection des données (CEPD) qui planchait depuis septembre 2021 sur différentes questions relatives à la manière de collecter le consentement aux cookies. Il a été créé pour faciliter le traitement de deux plaintes collectives déposées par Noyb en mai 2021 et en août 2022 auprès de 18 autorités de protection des données européennes contre plus de 600 sites pour leur affichage jugé non conforme des bannières de consentement des cookies.
Trois points principaux sont traités : les modalités d'acceptation et de refus au dépôt des cookies, la question de l'intérêt légitime pour le consentement à de fins de personnalisation du contenu et des publicités et le design des bannières. Pour le premier point, "la grande majorité des autorités considère que l'absence de toute option de refus/rejet des cookies au même niveau que celle prévue pour en accepter le dépôt constitue un manquement à la législation", indique la Cnil dans un communiqué. Quand on consulte le texte cependant, cette analyse est présentée de manière un peu imbriquée et mériterait une simplification dans sa version définitive : "Nous voyons une intention de défendre la présence systématique d'un bouton "rejeter" chaque fois qu'il y a un bouton "accepter". Le texte du projet de rapport pourrait être légèrement clarifié pour s'assurer qu'il reflète cette intention", déclare la juriste.
"Nous voyons une intention de défendre la présence systématique d'un bouton Rejeter chaque fois qu'il y a un bouton Accepter"
Ala Krinickytè salue particulièrement le fait que le rapport précise clairement que tout site web doit permettre à l'utilisateur de retirer un consentement avec la même facilité qu'il a eu pour le donner. Elle félicite également le fait que le rapport indique qu'il est peu probable que les opérateurs de sites web puissent s'appuyer sur une base juridique d'intérêt légitime pour traiter des données personnelles à des fins de personnalisation de contenu ou de publicité personnalisée.
S'agissant du design des bannières, les autorités ont conclu qu'elles ne peuvent imposer à tous les sites web un standard en termes de couleur ou de contraste. Pour que la législation soit respectée, "l'information délivrée doit permettre aux internautes de comprendre ce à quoi ils consentent et comment exprimer leur choix" : c'est l'examen au cas par cas de la bannière qui permettra de déterminer "si le design choisi (ex. couleur/contraste) n'est pas manifestement trompeur pour les utilisateurs", indique la Cnil. Noyb considère cependant que ce n'est pas suffisant : "Il serait important que le CEPD fournisse des indications plus concrètes sur ce que doit être un design équitable", précise la juriste.
Sur le fond, rien de révolutionnaire puisque les conclusions sont en ligne avec ce que la Cnil appliquait déjà en France. "Je ne pense pas que ce rapport accélérera les choses en France, car la Cnil a déjà beaucoup d'avance sur ces questions. En revanche cela sensibilisera davantage les groupes et éditeurs européens", analyse Alexandra Iteanu, responsable du pôle RGPD et data au sein du cabinet Iteanu Avocats.
C'est la première fois que les autorités européennes décident d'adopter une grille commune d'analyse sur ce sujet qui ne relève pas directement du RGPD. "Même si le dépôt de cookies et autres traceurs relève spécifiquement de la directive ePrivacy, le CEPD a considéré que le nombre de plaintes et de pays concernés ainsi que l'importance du sujet pour la protection de la vie privée des internautes justifiaient une certaine coordination à l'échelle européenne", peut-on lire dans le communiqué publié par l'autorité française.
Selon Noyb, sur l'ensemble de ces plaintes, 38 concernent la France dont deux seulement ont été classées parce que les sites web concernés ont modifié leurs bannières de façon à se rendre conformes.