Le CEPD adopte le rapport final de la « task force » dédiée aux bannières cookies !
Le 17 janvier 2023, la CNIL et ses homologues européens ont adopté le rapport final de la task force dédiée aux bannières cookies. Ce groupe de travail a été créé pour analyser les questions soulevées par les plaintes de l'association NOYB qui ont été déposées entre mai 2021 et août 2022. Les principaux points d'attention étaient les modalités d'acceptation et de refus au dépôt de cookies et le design des bannières. Le rapport final indique que la majorité des autorités considèrent que l'absence de toute option de refus/rejet des cookies constitue un manquement à la législation. Le rapport final est disponible pour les autorités de protection des données.
La taskforce a tenu treize réunions pour coordonner leurs actions dans le traitement des plaintes reçues de NOYB. Les points suivants ont été notés :
Cadre juridique applicable
Les délégations ont confirmé que le cadre applicable pour les plaintes concernant le placement ou la lecture de cookies est uniquement le droit national transposant la directive “vie privée et communications électroniques”. Pour les activités de traitement ultérieur entreprises par le responsable des données, c’est-à-dire le traitement qui a lieu après le stockage ou l’accès aux informations stockées dans l’équipement terminal d’un utilisateur, le cadre applicable est le GDPR.
Application de l'OSS
Les délégations ont rappelé que le mécanisme OSS ne s’applique pas aux questions liées à la directive “vie privée et communications électroniques”. Pour les cas où le RGPD s’applique, ils ont privilégié la position selon laquelle l’article 4 (23) (b) peut s’appliquer, mais ne s’applique pas en soi aux plaintes contre les propriétaires de sites web simplement parce qu’on peut accéder au site web en question depuis tous les États membres.
Pratique : “Pas de bouton de rejet sur la première couche”
Les membres du groupe de travail ont rappelé que, par défaut, aucun cookie nécessitant un consentement ne peut être installé sans consentement et que le consentement doit être exprimé par une action positive de l’utilisateur. Certains ont noté que certaines bannières de cookies affichées par plusieurs responsables du traitement ne contiennent pas de bouton pour rejeter les cookies, ce qui pourrait être considéré comme une infraction à la directive “vie privée et communications électroniques”.
Pratique : “Cases précochées”
Les membres ont confirmé que les cases précochées pour l’opt-in ne constituent pas un consentement valable au sens du GDPR ou de l’article 5, paragraphe 3, de la directive “vie privée et communications électroniques”.
Pratique : “Conception trompeuse du ‘lien’”
Les membres ont convenu qu’il devrait y avoir une indication claire de l’objet de la bannière, de l’objectif du consentement demandé et de la manière de consentir aux cookies. Pour qu’un consentement valide soit donné librement, les membres du groupe de travail ont convenu qu’en aucun cas un propriétaire de site web ne doit concevoir des bannières de cookies d’une manière qui donne aux utilisateurs l’impression qu’ils doivent donner leur consentement pour accéder au contenu du site web ni qui pousse clairement l’utilisateur à donner son consentement.
Pratiques : “Couleurs trompeuses des boutons" et "contraste trompeur des boutons"
Les membres ont discuté de la configuration de certaines bannières de cookies qui utilisent des couleurs ou des contrastes trompeurs pour les boutons d’acceptation ou de refus, et ont convenu que cela peut constituer une violation des règles de consentement valide.
Les membres de la taskforce ont discuté d’une pratique de consentement pour les cookies dans laquelle certains responsables de traitement proposent une option pour accepter le dépôt de cookies au premier niveau de la bannière, mais pas d’option pour refuser. Au deuxième niveau, une distinction est faite entre le refus des cookies et l’objection potentielle à un traitement ultérieur basé sur l’intérêt légitime du responsable de traitement. Les membres ont convenu que pour déterminer si ce type de traitement est licite, il faut déterminer si le stockage/accès aux informations par les cookies est conforme à la directive “vie privée et communications électroniques” et si tout traitement ultérieur est conforme au GDPR. Ils ont également confirmé que la base juridique pour le placement/lecture des cookies ne peut pas être l’intérêt légitime du responsable de traitement. Les membres ont convenu de reprendre les discussions sur ce type de pratique s’ils rencontrent des cas nécessitant une discussion plus approfondie pour assurer une approche cohérente.
Pratique : “Intérêt légitime revendiqué, liste des finalités”
Il apparaît que certains responsables de traitement mettent en place un bandeau qui ne comporte pas d’option de refus pour les cookies et présentent un traitement ultérieur comme relevant d’un intérêt légitime. Les membres du groupe de travail ont convenu que pour déterminer si le traitement est licite, il faut vérifier si le stockage/l’accès aux informations par le biais de cookies est effectué conformément à la directive “vie privée et communications électroniques” et si tout traitement ultérieur est effectué dans le respect du GDPR.
Pratique : “Cookies essentiels » classés de manière inexacte
Il apparaît que certains responsables du traitement classent des cookies comme “essentiels” alors qu’ils ne le sont pas, ce qui peut entraîner une confusion pour les utilisateurs et une non-conformité avec les règles sur les cookies. Les membres du groupe de travail ont convenu de reprendre les discussions sur ce type de pratique s’ils rencontrent des cas concrets où une discussion plus approfondie serait nécessaire pour assurer une approche cohérente.
Pratique : “Aucune icône de retrait”
Il apparaît que certains responsables de traitement ne mettent pas en place d’icône de retrait pour permettre aux utilisateurs de retirer facilement leur consentement aux cookies. Les membres du groupe de travail ont convenu que cette pratique est contraire aux exigences en matière de consentement valable, car elle ne permet pas aux utilisateurs de retirer leur consentement de manière aisée. Les membres du groupe de travail ont recommandé que les responsables de traitement mettent en place une icône de retrait pour permettre aux utilisateurs de retirer facilement leur consentement.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
