Le CEPD adopte le rapport final de la « task force » dédiée aux bannières cookies (« cookie banner »)
Le 17 janvier 2023, la CNIL et ses homologues européens ont adopté le rapport synthétisant les conclusions du groupe de travail chargé de coordonner les réponses aux questions sur les bannières cookies soulevées par les plaintes de l’association NOYB.
Une action coordonnée au niveau européen
Entre mai 2021 et août 2022, 18 autorités de protection des données de l'Union européenne et de l'Espace économique européen (EEE), dont la CNIL, ont été saisies par l’association NOYB de plusieurs centaines de plaintes relatives au design et aux caractéristiques de bannières cookies.
En réaction, un groupe de travail rassemblant toutes les autorités de protection des données européennes volontaires a été créé pour analyser collectivement les différentes questions soulevées par ces plaintes, quand bien même le mécanisme de coopération prévu par le RGPD (mécanisme de « guichet unique ») n’a pas vocation à s’appliquer aux opérations de lecture et/ou écriture d’informations dans le terminal des utilisateurs.
En effet, même si le dépôt de cookies et autres traceurs relève spécifiquement de la directive ePrivacy (l'article 5(3) - transposé dans la loi Informatique et Libertés à l’article 82), le CEPD a considéré que le nombre de plaintes et de pays concernés ainsi que l’importance du sujet pour la protection de la vie privée des internautes justifiaient une certaine coordination à l’échelle européenne.
Les principaux points d’attention qui ont fait l’objet d’échanges portent sur les modalités d'acceptation et de refus au dépôt de cookies et le design des bannières.
La CNIL pilotait ces travaux avec l’autorité autrichienne. 13 réunions de travail ont eu lieu et ont permis d’aboutir à l’adoption d’un rapport présentant les conclusions des analyses effectuées.
Ce rapport fait notamment état du fait que la grande majorité des autorités considère que l’absence de toute option de refus/rejet des cookies au même niveau que celle prévue pour en accepter le dépôt constitue un manquement à la législation (article 5(3) précité de la directive ePrivacy). La CNIL avait déjà pris position en ce sens dans ses lignes directrices et à l’occasion de plusieurs sanctions.
S’agissant plus particulièrement du design des bannières, les autorités ont conclu que l’information délivrée doit permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix.
Les autorités s’accordent à considérer qu’elles ne peuvent imposer à tous les sites web un standard en termes de couleur ou de contraste. Un examen au cas par cas de la bannière doit être effectué pour déterminer si le design choisi (ex. couleur/contraste) n’est pas manifestement trompeur pour les utilisateurs.
Ces travaux et les éléments d'harmonisation retenus vont permettre aux autorités de finaliser l'instruction des plaintes dont elles ont été saisies.
Le rapport résumant les analyses et conclusions du groupe de travail est disponible sur le site du CEPD.
Pour approfondir
- EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force [en anglais] - CEPD
- Refuser les cookies doit être aussi simple qu’accepter : la CNIL poursuit son action et adresse de nouvelles mises en demeure
- Le Comité européen de la protection des données (CEPD)
- [EN] EDPB adopts final report of outcome of the cookie banner task force