Dans un communiqué, la CNIL annonce que, « en réaction à plusieurs plaintes d’internautes, [elle] met en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses ». Le problème se situe lors du recueil du consentement avec une incitation des « internautes à accepter les cookies ».
Or, rappelle à juste titre la Commission, le dépôt des cookies ne peut se faire qu’après le consentement de l’utilisateur (sauf exceptions) et que « refuser les cookies doit être aussi simple que les accepter ». La loi n’impose pas de manière de faire, mais les éditeurs doivent en plus s’assurer que « l’information figurant sur la bannière [soit] claire et complète ».
2021, 2024 : même « combat » ?
Rien de neuf sous le Soleil, la CNIL avait déjà mis en demeure des sites en mai 2021, après une période de « grâce » de trois ans puisque le RGPD est entré en application le 25 mai 2018. Plus de trois ans plus tard, la CNIL en est encore à des mises en demeure sans sanction pécuniaire ni nommer les fautifs, qui ont donc un mois pour se mettre en conformité.
Il y a peu, Mathias Moulin (secrétaire général adjoint de la CNIL) confirmait une impression latente depuis des années : « Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
- La CNIL n’a « pas une logique punitive », Free bat un record sur les plaintes
- Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics
Comme pour répondre aux accusations de ne pas assurer correctement sa mission, la CNIL affirme que lorsqu’elle reçoit une plainte, elle « analyse au cas par cas les bandeaux de recueil du consentement ». À l’issue de ses analyses, elle a décidé de mettre en demeure plusieurs éditeurs de modifier leur bannière dans un délai d’un mois, sans préciser lesquels.
La CNIL ne donne aucune indication sur la suite des événements. Si des sites ne se mettent pas en conformité, passera-t-elle par la case sanction ? Impossible à dire en l’état. Un rappel des risques pour les acteurs concernés n’aurait certainement pas fait de mal. En 2021, elle rappelait que les sites visés risquaient des « sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires » s’ils ne se mettaient pas en conformité.
Les griefs contre les bandeaux
Deux griefs sont principalement formulés contre les éditeurs : « la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter » et « ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations ».
La CNIL dresse une liste des mauvaises pratiques. L’option pour accepter est mise en avant de « manière disproportionnée » avec des choix de couleur, de taille et de police, tandis que l’option pour refuser « se confond avec les mentions d’information en raison de son emplacement » ou bien elle est « accolée à d’autres paragraphes » et bien moins visible.
La CNIL pointe aussi du doigt le fait que « l’option d’acceptation est présentée plusieurs fois dans la bannière alors que celle relative au refus n’est présente qu’une seule fois ». Si besoin, de la documentation sur les cookies est disponible par ici et par là.
Commentaires (10)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousAujourd'hui à 14h15
Aujourd'hui à 14h30
Voire carrément la collecte des données perso pour nourrir les IA.
Et tout ca me dérange beaucoup plus qu'un cookie que je peux purger manuellement/automatiquement.
Aujourd'hui à 16h06
Personnellement, c'est cookie wall ont déjà changé mes comportements. J'arrête maintenant de naviguer sur des sites qui utilisent les darkpattern. C'est étrangement dérangeant de ne pouvoir lire les liens que m'envoient mes amis mais ma qualité de vie ne s'en trouve que peu changée.
Une pratique qui m'hérisse les poils ce sont ces bandeaux avec 2 bases juridiques différentes le consentement et l'intérêt légitime. Jamais compris d'où ils sortaient.
Aujourd'hui à 16h42
Ça pourrait être utile pour pouvoir faire à la fois de la pédagogie (analyse de la capture d'écran par l'éditeur qui sait donc à quoi s'attendre) et de la répression (on passe un site à la moulinette et si non conforme, paf, amende.
Aujourd'hui à 16h44
Aujourd'hui à 17h59
On peut déjà régler finement les cookies qu'on veut ou pas dans les paramètres de navigateur.
Si tata Jeanine ne sait pas paramétrer son navigateur, elle apprend.
Ce nivellement par le bas est une plaie.
Aujourd'hui à 19h04
Je préfère répondre non une fois de temps en temps qu'essayer de comprendre à quoi correspond chaque cookie pour savoir s'il est technique et l'accepter ou s'il contient une donnée personnelle et le bloquer.
Toutes les bannières de cookies seraient sans dark patern, ce serait facile à gérer : on répond oui ou non ou plus finement si on veut, mais le vrai problème, c'est que ces bannières ne sont pas conformes. La CNIL devrait sévir rapidement pour nous faciliter la vie. Vu le temps que lessites ont eu pour se mettre en conformité et les explication déjà données par la CNIL, ils n'ont aucune excuse. Donc, qu'on les punisse.
En passant, j'aimerais que la CNIL se penche sur des cas concrets de bandeaux demandant de payer ou d'accepter de se faire pister. Elle s'est fait rembarrer par le Conseil d'État pour sa soft law sur le sujet, mais elle peut sévir pour mettre en place une jurisprudence. Il devient parfois difficile de lire une information sur un sujet tellement il y a de sites qui font ça. Et là, on n'est plus dans le cas où on peut récupérer l'information par un autre site.
Aujourd'hui à 19h42
Aujourd'hui à 18h45
Aujourd'hui à 18h49
Elle tient plus du bisounours qui te dit "Bouh, c'est pas bien ce que tu fais. Faut pas recommencer sinon je vais être obligé de te faire un câlin, attention !"