Le 18 janvier 2023, le Comité européen de la protection des données (« EDPB ») a publié son rapport sur les travaux entrepris par la Cookie Banner Taskforce (le « rapport »).
Les positions reflétées dans le rapport résultent de la réponse coordonnée des autorités de protection des données de l’UE (« DPA ») aux plaintes déposées par l’organisation non gouvernementale cofondée par le militant de la protection de la vie privée Max Schrems, None of Your Business (« NOYB »), celui lié aux exigences des bannières de cookies dans l’UE.
Principaux enseignements du rapport
Le rapport aborde et présente la position du CEPD sur un certain nombre de pratiques passées sous le radar des autorités de protection des données de l’UE. Les principaux points à retenir du rapport incluent :
- Le CEPD rappelle que le mécanisme de guichet unique introduit par le règlement général de l’UE sur la protection des données (« RGPD ») ne s’applique pas aux questions liées aux cookies, car les règles relatives aux cookies sont énoncées dans la directive ePrivacy.
- L’utilisation de cases pré-cochées pour autoriser l’utilisation de cookies ne donne pas lieu à un consentement valable.
- Les pratiques trompeuses de « link design » qui ne contiennent qu’un lien pour refuser l’utilisation de cookies et les pratiques donnant l’impression aux utilisateurs qu’ils doivent consentir à accéder au site Web ou qui poussent clairement les utilisateurs à donner leur consentement sont interdites.
- Les pratiques trompeuses qui consistent à utiliser différentes couleurs et contrastes de boutons dans le but de mettre en évidence le bouton « tout accepter » au-dessus des options disponibles sont interdites. Alors que la validité d’un design doit être évaluée au cas par cas, tous les boutons doivent idéalement utiliser la même taille, la même couleur, la même police et le même contraste afin de garantir que le consentement est donné librement.
- Une grande majorité des DPA de l’UE considèrent qu’un bouton « tout rejeter » doit être inclus sur la première couche du bandeau cookie afin de s’assurer que l’utilisation des cookies est aussi facile à accepter qu’à refuser et que le consentement est en ligne avec les exigences de consentement GDPR. À cet égard, le CEPD indique que seules quelques APD considèrent qu’elles ne peuvent pas retenir une infraction dans ce cas car il ne s’agit pas d’une exigence explicite de la directive ePrivacy.
- Revendiquant le recours à la base juridique «intérêts légitimes» pour l’utilisation de cookies non essentiels (par exemple, cookies publicitaires ciblés) et ne pas recueillir un consentement valable pour l’utilisation de ces cookies est interdit. Le CEPD a également précisé que le non-respect des règles d’utilisation des cookies entraînera le non-respect de tout traitement ultérieur des données personnelles collectées par le biais des cookies.
- Les propriétaires de sites Web devraient mettre en place des solutions facilement accessibles permettant aux utilisateurs de retirer leur consentement à tout moment, par exemple par l’utilisation d’une petite icône flottante et visible en permanence, ou d’un lien placé sur un emplacement visible et normalisé.
- Il est interdit de catégoriser de manière inadéquate les cookies qui servent à des fins qui ne seraient pas considérées comme « strictement nécessaires » dans le groupe de cookies « strictement nécessaires ». Le groupe de travail a toutefois reconnu la difficulté pratique de classer les cookies utilisés sur un site Web, d’autant plus que les fonctionnalités des cookies changent régulièrement.
prochaines étapes
Le CEPD a précisé que les positions énoncées reflètent dans le rapport « seuil minimal » dans la mise en œuvre des règles sur les cookies dans l’UE et « Ne constituent pas des recommandations ou des conclusions autonomes pour obtenir le feu vert d’une autorité compétente. » Cela signifie que le rapport est indépendant des décisions qui ont été ou seront prises concernant les plaintes de NOYB. Le contenu du rapport devrait toutefois informer ou influencer les décisions des DPA concernant les cookies à l’avenir.
Lisez le rapport.