Le Comité européen de la protection des données (CEPD) a officiellement adopté le 17 janvier 2023, un rapport synthétisant l’ensemble des conclusions des travaux réalisés pour répondre aux questions sur les bannières cookies. L’association Noyb, fondée par Max Schrems et spécialisée dans la lutte pour la confidentialité des données personnelles, est à l’origine de ce rapport. Elle juge que les règles du RGPD sont encore trop largement outrepassées.

La CEPD se penche sur le cas des bannières cookies sous la pression de Noyb

Entre mai 2021 et août 2022, l’organisation non gouvernementale (ONG) Noyb a déposé plusieurs centaines de plaintes auprès de La Commission nationale de l’informatique et des libertés (CNIL) et de ses homologues européens. Ces plaintes avaient toutes un rapport avec l’acceptation ou le refus des cookies tiers sur les sites ainsi que les bannières permettant de mettre en avant cette information.

En réaction, le CEPD, qui regroupe tous les régulateurs européens de la protection des données, a ouvert un groupe de travail sur la question. Comme la CNIL l’explique dans son communiqué, son objectif était « d’analyser collectivement les différentes questions soulevées par ces plaintes ». Au lieu de passer par le mécanisme de « guichet unique » où chaque requête est résolue une à une, le CEPD a décidé de regrouper toutes les questions posées par Noyb et de les affecter à ce groupe de travail.

La CNIL ainsi que l’autorité autrichienne de protection des données ont piloté les treize réunions de travail autour des bannières cookies. Celles-ci ont abouti à l’adoption d’un rapport présentant les conclusions de l’ensemble des analyses effectuées.

Quelles réponses ont été apportées par la CEPD autour de ces bannières ?

Dans le rapport final adopté par le CEPD, il est noté que « la grande majorité des autorités considère que l’absence de toute option de refus/rejet des cookies au même niveau que celle prévue pour en accepter le dépôt constitue un manquement à la législation (article 5, alinéa 3 précité de la directive ePrivacy) ». C’est en effet le cas de la CNIL qui n’hésite pas à sanctionner les entreprises qui le font en France.

Pour ce qui est du design des bannières, le groupe de travail a conclu que « l’information délivrée doit permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ». En bref, fini les bannières farfelues où l’internaute ne comprend pas de quoi il s’agit, en pensant par exemple tomber sur un pop-up.

Les autorités européennes se sont mises d’accord sur le fait qu’elles ne pouvaient pas imposer à tous les sites web, un standard de couleur, de taille de police ou de contraste. En effet, pour des raisons d’esthétisme, certains sites internet privilégient certaines couleurs ou polices afin que cette bannière soit en accord avec le template qu’elles utilisent. Toutefois, en cas de plainte, les régulateurs procéderont à un examen minutieux de la bannière cookie afin de vérifier que son design « n’est pas manifestement trompeur pour les utilisateurs ».