Connexion
Abonnez-vous

Bannières cookies trompeuses : nouvelle salve de mise en demeure de la CNIL… et ensuite ?

Le 12 décembre 2024 à 13h48

Dans un communiqué, la CNIL annonce que, « en réaction à plusieurs plaintes d’internautes, [elle] met en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses ». Le problème se situe lors du recueil du consentement avec une incitation des « internautes à accepter les cookies ».

Or, rappelle à juste titre la Commission, le dépôt des cookies ne peut se faire qu’après le consentement de l’utilisateur (sauf exceptions) et que « refuser les cookies doit être aussi simple que les accepter ». La loi n’impose pas de manière de faire, mais les éditeurs doivent en plus s’assurer que « l’information figurant sur la bannière [soit] claire et complète ».

2021, 2024 : même « combat » ?

Rien de neuf sous le Soleil, la CNIL avait déjà mis en demeure des sites en mai 2021, après une période de « grâce » de trois ans puisque le RGPD est entré en application le 25 mai 2018. Plus de trois ans plus tard, la CNIL en est encore à des mises en demeure sans sanction pécuniaire ni nommer les fautifs, qui ont donc un mois pour se mettre en conformité.

Il y a peu, Mathias Moulin (secrétaire général adjoint de la CNIL) confirmait une impression latente depuis des années : « Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».

Comme pour répondre aux accusations de ne pas assurer correctement sa mission, la CNIL affirme que lorsqu’elle reçoit une plainte, elle « analyse au cas par cas les bandeaux de recueil du consentement ». À l’issue de ses analyses, elle a décidé de mettre en demeure plusieurs éditeurs de modifier leur bannière dans un délai d’un mois, sans préciser lesquels.

La CNIL ne donne aucune indication sur la suite des événements. Si des sites ne se mettent pas en conformité, passera-t-elle par la case sanction ? Impossible à dire en l’état. Un rappel des risques pour les acteurs concernés n’aurait certainement pas fait de mal. En 2021, elle rappelait que les sites visés risquaient des « sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires » s’ils ne se mettaient pas en conformité.

Les griefs contre les bandeaux

Deux griefs sont principalement formulés contre les éditeurs : « la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter » et « ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations ».

La CNIL dresse une liste des mauvaises pratiques. L’option pour accepter est mise en avant de « manière disproportionnée » avec des choix de couleur, de taille et de police, tandis que l’option pour refuser « se confond avec les mentions d’information en raison de son emplacement » ou bien elle est « accolée à d’autres paragraphes » et bien moins visible.

La CNIL pointe aussi du doigt le fait que « l’option d’acceptation est présentée plusieurs fois dans la bannière alors que celle relative au refus n’est présente qu’une seule fois ». Si besoin, de la documentation sur les cookies est disponible par ici et par là.

Le 12 décembre 2024 à 13h48

Commentaires (31)

votre avatar
A quoi bon ? De toutes façons, une fois que les cookie-walls sont acceptés, la partie est pliée.
votre avatar
Deux griefs sont principalement formulés contre les éditeurs : « la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter » et « ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations ».
Même chose avec la collecte des données de télémétrie dans les logiciels.
Voire carrément la collecte des données perso pour nourrir les IA.

Et tout ca me dérange beaucoup plus qu'un cookie que je peux purger manuellement/automatiquement.
votre avatar
Sauf que on parle du commun des mortels là. Toi tu es averti et capable, ce qui est loin d'être le cas de tout le monde.
Personnellement, c'est cookie wall ont déjà changé mes comportements. J'arrête maintenant de naviguer sur des sites qui utilisent les darkpattern. C'est étrangement dérangeant de ne pouvoir lire les liens que m'envoient mes amis mais ma qualité de vie ne s'en trouve que peu changée.

Une pratique qui m'hérisse les poils ce sont ces bandeaux avec 2 bases juridiques différentes le consentement et l'intérêt légitime. Jamais compris d'où ils sortaient.
votre avatar
Tu fais comment ?
votre avatar
Je refuse tout quand je vois que j'ai 12 chapitres à lire pour donner mon accord. Ils se privent de mes données légalement en tout cas. Habituellement, j'accepte les cookies de suivi d'activité sur le service mais pas plus.
votre avatar
Attention de bien lire la question posée, avant de refuser. Il y a des sites qui inversent la question. Au lieu de demander si l'utilisateur accepte le dépôt de cookies, Ils questionnent sur le refus de celui-ci. Résultat, tout décocher ou bien clicker sur "tout refuser" revient à accepter les cookies, en refusant le refus...
votre avatar
:reflechis:
votre avatar
Il n'existe pas de système d'IA qui peut vérifier la conformité d'un bandeau ?
Ça pourrait être utile pour pouvoir faire à la fois de la pédagogie (analyse de la capture d'écran par l'éditeur qui sait donc à quoi s'attendre) et de la répression (on passe un site à la moulinette et si non conforme, paf, amende.
votre avatar
Malheureusement, les modèles d'IA doivent être entrainés et l'imagination humaines déborde pour créer de nouvelles façons d'être malhonnête.
votre avatar
Même si tu entraîne ton IA avec peu de cas "bons" et beaucoup de "mauvais" pour que ton IA soit assez peu "flexible" sur les mises en forme ?
votre avatar
Mais comment font ces plaignants pour que leurs plaintes arrivent à ce stade ? Y a-t-il une méthode pour éviter le classique "anéfé clôturé" ? C'est aeris qui les a toutes faites, donc la CNIL n'ose pas l'envoyer ch... et se rattrapent sur les autres ?
votre avatar
Personnellement je n'ai jamais trouvé où et comment déposer une plainte/signalisation à la CNIL...
votre avatar
votre avatar
Leur site est très mal foutu.
Je me suis mis ce lien en marque-page :
https://www.cnil.fr/fr/plainte/internet/connaitre-les-informations-detenues-par-un-site
votre avatar
Ils utilisent un « dark pattern » pour nous empêcher d'accéder au graal: le formulaire de signalement. C'est une véritable quête. Attention, utiliser un lien qui mène directement au formulaire, c'est tricher.
votre avatar
Ces bandeaux nous emmerdent.
On peut déjà régler finement les cookies qu'on veut ou pas dans les paramètres de navigateur.
Si tata Jeanine ne sait pas paramétrer son navigateur, elle apprend.
Ce nivellement par le bas est une plaie.
votre avatar
Je ne suis pas tata Jeanine, mais non, je ne suis pas d'accord. J'ai autre chose à faire que "régler finement les cookies qu'on veut ou pas dans les paramètres de navigateur."
Je préfère répondre non une fois de temps en temps qu'essayer de comprendre à quoi correspond chaque cookie pour savoir s'il est technique et l'accepter ou s'il contient une donnée personnelle et le bloquer.
Toutes les bannières de cookies seraient sans dark patern, ce serait facile à gérer : on répond oui ou non ou plus finement si on veut, mais le vrai problème, c'est que ces bannières ne sont pas conformes. La CNIL devrait sévir rapidement pour nous faciliter la vie. Vu le temps que lessites ont eu pour se mettre en conformité et les explication déjà données par la CNIL, ils n'ont aucune excuse. Donc, qu'on les punisse.

En passant, j'aimerais que la CNIL se penche sur des cas concrets de bandeaux demandant de payer ou d'accepter de se faire pister. Elle s'est fait rembarrer par le Conseil d'État pour sa soft law sur le sujet, mais elle peut sévir pour mettre en place une jurisprudence. Il devient parfois difficile de lire une information sur un sujet tellement il y a de sites qui font ça. Et là, on n'est plus dans le cas où on peut récupérer l'information par un autre site.
votre avatar
Moi ce qui me choque aussi dans les bandeaux, c'est quand le nombre de partenaires est affichés. Généralement, on ne parle pas de 1 ou 2 partenaires, mais plus d'une centaine. J'ai même vu une fois plus d'un millier de partenaires !
votre avatar
Le seul moyen de traiter les problèmes c'est d'imposer au navigateur un standard sous forme d'API que l'ensemble des sites web devrait utiliser. Cela permettrait d'avoir la même interface pour l'ensemble des sites sur un navigateur sans tromperie et de pouvoir configurer le navigateur pour refuser l'ensemble des cookies non essentiels
votre avatar
Genre Do Not Track, tu veux dire ?
Ça n'a pas bien pris grâce à Google. ^^
votre avatar
À tel point que Firefox a abandonné le Do Not Track.
Donc, vouloir s'appuyer sur le navigateur et le bon vouloir des sites plutôt que des lois, c'est utopique.
votre avatar
J'ai toujours l'option dans les préférences, moi...
votre avatar
Ce sera fait pour la version de février : la 135. Ils ont prévenu à l'avance.
votre avatar
OK, merci.
En même temps, je crois que ce n'est pas suivi pour la plupart des cas, du coup ça vaut pas forcément le coût de le maintenir.
votre avatar
Je parle d'un blocage pure et simple des cookies sans le consentement de l'utilisateur. Consentement qui serait uniquement accessible au site par une api standard fournis pas le navigateur.

Donc pas un standard que le site pourrait complétement ignorer.
votre avatar
Impossible techniquement, car rien ne différencie techniquement un cookie "technique" (exemple : un cookie de connexion) d'un cookie "fonctionnel" (exemple : tu préfères le site en thème noir) ou d'un cookie de pistage.

Or, tu ne peux pas raisonnablement demander son autorisation à l'utilisateur pour lui "donner/demander" un cookie technique/fonctionnel, et si tu autorises à ce que ceux-là passes automatiquement, alors il suffit de faire passer un cookie de pistage pour un simple cookie technique.
votre avatar
Je trouve les dessins de @Flock excellents, mais celui du vengeur masqué botteur de c*l pour représenter la CNIL n'est pas crédible.
Elle tient plus du bisounours qui te dit "Bouh, c'est pas bien ce que tu fais. Faut pas recommencer sinon je vais être obligé de te faire un câlin, attention !"
votre avatar
Globalement d'accord avec Swiper et Scandinave, je me fais la réflexion suivante : ne serait-il pas tellement plus simple que la configuration par défaut des navigateurs facilite les choses ?

- Pourquoi le clic sur chaque lien pointant vers un domaine autre que celui qui a servi la page ne force-t-il pas l'ouverture d'un onglet différent ? (TabMixPlus, en son temps, disposait de cette option)
- Pourquoi le contenu venant d'un domaine autre que celui qui a servi la page n'est-il pas bloqué par défaut ? Comme pour la configuration de certains pare-feu (tout bloquer par défaut, ouvrir au compte-gouttes selon les besoins), le navigateur pourrait présenter une liste des domaines demandés, suggérer des autorisations/blocage, et les mémoriser.
- Pourquoi chaque domaine/onglet n'est-il pas géré avec son propre lot de cookies, isolé des autres, pour empêcher le cross-site tracking ? Pour Firefox, l'extension "Facebook Container" fait un peu ça; pourquoi ne pas généraliser/systématiser le principe ? Notamment, pourquoi une extension comme "Multi-account Container" n'est pas intégrée au navigateur et activée par défaut avec un "silo" par domaine ?

En combinant ces extensions, une configuration fine de µBlock, NoScript et Stylus, les sessions privées, et l'usage de plusieurs navigateurs, je m'approche de cette cible; mais ce n'est effectivement pas "tata Jeanine" qui ferra ça.

J'ai pour maxime "Le site propose, le navigateur dispose". Pour moi, tout passe par une "bonne éducation" (entendre "des fonctionnalités et une configuration") de ce dernier Out of The Box.
Plutôt que d'attendre des sites qu'ils agissent, ce serait bien plus simple de tout miser sur le seul maillon qu'on peut "éduquer" à sa guise.
votre avatar
- Pourquoi le clic sur chaque lien pointant vers un domaine autre que celui qui a servi la page ne force-t-il pas l'ouverture d'un onglet différent ? (TabMixPlus, en son temps, disposait de cette option)

Cela risque de perturber le comportement de beaucoup de site, qui s'organise en sous-domaine. Qui plus est, la double authentification peut aussi s'en retrouver impactée. Pour une double authentification, il vaut mieux que le site A auquel on souhaite se connecter, redirige vers le site B, qui redirige ensuite vers le site A en cas de succès, le tout, dans le même onglet, au lieu d'avoir au final 3 onglets différents.
Pourquoi le contenu venant d'un domaine autre que celui qui a servi la page n'est-il pas bloqué par défaut ?
Plus de CDN donc, de domaine séparé pour les assets (pratique pour la mise en cache), d'intégration de systèmes de paiements, etc.
Pourquoi chaque domaine/onglet n'est-il pas géré avec son propre lot de cookies, isolé des autres, pour empêcher le cross-site tracking ?
Plus d'[authentification unique]fr.wikipedia.org Wikipedia
votre avatar
Je ne prétend pas que ce serait l'idéal, mais ...

"... le tout, dans le même onglet, au lieu d'avoir au final 3 onglets différents."
Si le focus est toujours sur le dernier onglet ouvert, ça change peu de chose.

"Plus de CDN donc, de domaine séparé pour les assets (pratique pour la mise en cache),"
J'ai souvenir d'avoir utilisé une extension qui gérait un cache local pour des contenus choisis (notamment les .js courant et les fontes venant de Google). Le problème venait de la configuration préalable un peu rasoir. S'il suffisait d'autoriser, comme pour l'accès à la webcam, "oui pour cette fois" lors su premier accès à la page d'origine, le cache local ferait l'affaire.
PS : Internet marchait avant les CDN et leur propres problèmes.

"Plus ... d'intégration de systèmes de paiements, etc."
Comme pour la configuration "à la volée" des pare-feu, autoriser un site de vente en ligne à rediriger sur Paypal (exemple) "jamais - cette fois - toujours" et mémoriser localement le choix ne me parait incompréhensible pour "tata Jeanine".

"Plus d'authentification unique"
Voir ci-dessus, et si je souhaite me connecter avec un service tiers, je dois autoriser "toujours" l'accès à ce service la première fois que je veux m'en servir pour un site.

Je ne suis pas certains d'avoir tous les éléments techniques, mais dans l'idée, je pense qu'on peux faire plus simple et plus clair en gérant en local, par domaine/site et dans des container isolés, un système deny/allow très protecteur dès le départ (par défaut, donc), qu'on éduque au fur et à mesure des besoins.
Sans parler qu'étant local et intégré au navigateur, il serait unifié pour tous les sites, ce qui faciliterai sa prise en main par tati Jeanine
votre avatar
Je ne suis pas certains que proposer toujours plus de complexité soit une bonne chose. Entre les utilisateurs qui ne comprendront pas et ceux qui répondront oui par dépit...

Bannières cookies trompeuses : nouvelle salve de mise en demeure de la CNIL… et ensuite ?

  • 2021, 2024 : même « combat » ?

  • Les griefs contre les bandeaux

Fermer