Dans une nouvelle étude menée conjointement par l’Université d’Aarhus, l’Université Catholique de Louvain et le Massachusetts Institute of technology, des chercheurs ont rapporté que la plupart des bannières, ou barrières de demande de consentement aux cookies, diffusées aux internautes au sein de l’Union européenne, peuvent bafouer les règles appliquées en matière de confidentialité, et donc par la même occasion, les droits des internautes. Globalement, c’est le RGPD, actif depuis deux ans, qui est totalement laissé de côté.

Le constat de l’étude est sans appel : le RGPD n’est pas respecté

Selon les chercheurs auteurs de l’étude, le constat est simple : “Les résultats de notre enquête sur les plateformes de gestion du consentement illustrent aujourd’hui la mesure dans laquelle les pratiques illégales prévalent”. La mise en oeuvre du RGPD dans ce domaine semble donc totalement faire défaut.

Les chercheurs relèvent que sur 10 000 sites visités, 90% d’entre eux ne respectent pas l’application du RGPD, à savoir qu’ils ne proposent donc pas le rejet du consentement aux cookies de manière simplifiée. Certains d’entre eux ont notamment pré-cochés les cases, sans afficher de bouton “tout rejeter” directement accessible pour l’utilisateur. Cette action nécessiterait sur beaucoup de sites plus de clics que pour l’acceptation du consentement, car le bouton se trouverait à un niveau secondaire du site. Seuls 12,6% des sites observés disposent du bouton “tout rejeter” affiché de façon simplifiée. Par ailleurs, le fait de pré-cocher les cases est également une pratique illégale dans la mesure où cela force l’utilisateur à donner son consentement, car il est plus rapide de valider les choix pré-enregistrés que décocher les cases. Cette pratique concerne plus de la moitié de l’étude, soit plus de 56% des sites.

Les traceurs d’activité utilisés par les sites posent également problème

Les sites internet utilisent, à eux tous, un nombre élevé de traceurs tiers d’activité, et cela pose problème dans le cadre du RGPD. Les sites utilisent pour certains des dizaines de traceurs tandis que d’autres ont recours à des centaines, parfois jusqu’à 542, sur un même site.

Face à cela, l’étude rapporte que les régulateurs européens ont détourné le regard depuis bien longtemps, voire même avant l’application du RGPD, qui date seulement de mai 2018. Avant cela, l’Europe disposait de règles, mises en place depuis 2002, qui auraient pu lui permettre de réguler ces pratiques. Il était en fait question d’une directive, qui a été modifiée il y a donc 18 ans et qui prévoit que “le stockage ou l’accès à des informations sur l’appareil d’un utilisateur qui n’est pas strictement nécessaire pour fournir un service explicitement demandé nécessite à la fois des informations claires et complètes ainsi qu’un consentement préalable”.

Pour les chercheurs, qu’il s’agisse des traceurs d’activités trop nombreux ou encore de la non conformité des bannières ou barrières questionnant le consentement aux cookies, les pratiques actuelles ne révèlent pas réellement de surprises, car selon eux, “cette étude surestime même la conformité, car nous ne nous concentrons pas sur ce qui arrive réellement au suivi lorsque vous cliquez sur des boutons”. Ils indiquent aussi qu’il est nécessaire pour les régulateurs de réagir au plus vite, car ces pratiques pourraient rapidement s’étendre aux applications mobiles, et les enjeux pourraient devenir encore plus importants dans la mesure où les smartphones sont utilisés de tous, et à longueur de journée.

Ainsi, aujourd’hui, nombreux sont les européens qui souhaitent et attendent la prise de position des régulateurs de la protection des données. Des mesures significatives sont souhaitées à l’encontre des nombreuses violations du RGPD.

En attendant, les chercheurs-auteurs de l’étude, ont mis au point une extension de navigateur, à même de répondre automatiquement aux fenêtres contextuelles, en fonction des préférences personnalisables de l’utilisateur. Cette extension se nomme Consent-o-Matic, elle est déjà disponible à la fois sur Firefox et sur Chrome. Open source est d’ores et déjà en mesure de prendre en charge les réponses automatiques à cinq fournisseurs CMP (parmi eux, QuantCast, OneTrust, TrustArc, Cookiebot ou encore Crownpeak).