Bannières cookies : l’EDPB publie des exemples de pratiques non conformes

L’EDPB (ou CEPD en français) a publié un rapport sur le travail effectué par sa « Cookie Banner Taskforce », concernant les bannières de cookies. Ce rapport, issu de la coopération entre les différentes autorités de protection des données européennes, est le résultat de cette collaboration mise en place en vue de traiter des plaintes concernant des bannières cookies reçues par l’organisation NOYB.

Le rapport énumère une série de pratiques communes observées sur les bannières cookies de sites web présents dans l’espace européen, et se prononce sur leur conformité avec les différentes règles applicables (en particulier : la directive ePrivacy, et le RGPD). Il peut permettre d’aiguiller les responsables de sites web et d’applications dans leur manière de recueillir le consentement (ou le refus) de l’utilisateur à ce que des cookies (et/ou d’autres technologies similaires) soient lus ou déposés sur son appareil.

Le rapport de la taskforce se penche entre autres sur les pratiques suivantes :

• Les cases pré-cochées. La taskforce a rappelé que les cases pré-cochées ne constituent pas un consentement valable au sens du RGPD ou de l’ePrivacy, quel que soit le niveau de la bannière dans lequel la case à cocher est incluse.
• Design trompeur. La taskforce a attiré l’attention sur divers types de pratiques trompeuses en termes de mise en page de la bannière. 
• L’intérêt légitime. Certains sites web font appel à l’intérêt légitime, et non au consentement, pour des traitements de données ultérieurs au dépôt ou à la lecture de cookies. Le rapport rappelle que l’intérêt légitime ne peut pas constituer la base légale pour le dépôt de cookies lui-même, et que si le dépôt ou la lecture des cookies ne sont pas conformes à la directive ePrivacy, les traitements ultérieurs qui en découlent ne peuvent pas être conformes au RGPD.
• L’absence d’un bouton de type « refuser tout » au même niveau que le bouton « accepter tout ». La majorité des autorités de protection des données, en ce compris l’APD, a considéré qu’il s’agissait là d’un manquement et que l’utilisateur d’un site web devait pouvoir accéder à l’option d’accord ou de refus du dépôt/lecture de cookies sur son appareil de manière simultanée. 

Voici un exemple de bonne pratique :

Voici un exemple de pratique non conforme :

L’APD tient à rappeler que la portée du RGPD et de l’article 5.3 de l’ePrivacy est large et concerne également d’autres types de technologies (comme, entre autres, l’utilisation du « local storage »).

Elle souligne également le fait que le rapport inclut uniquement, de manière non exhaustive, des exemples de violations flagrantes. Il ne peut donc pas être déduit que toute pratique non listée dans le rapport serait automatiquement conforme aux règles en vigueur.

Lisez le rapport complet sur le site de l’EDPB.

L’APD encourage fortement les organisations à revoir leurs bannières cookies à la lumière des recommandations contenues dans le rapport.