« Entre mai 2021 et août 2022, 18 autorités de protection des données de l'Union européenne et de l'Espace économique européen (EEE), dont la CNIL, ont été saisies par l’association noyb de plusieurs centaines de plaintes relatives au design et aux caractéristiques de bannières cookies », explique la CNIL.
Ce pour quoi le Comité européen de la protection des données (CEPD) a créé un groupe de travail, piloté par la CNIL et l'autorité autrichienne, et rassemblant toutes les autorités de protection des données européennes volontaires, afin d'analyser collectivement les différentes questions soulevées par ces plaintes « à l’échelle européenne » :
« 13 réunions de travail ont eu lieu et ont permis d’aboutir à l’adoption d’un rapport présentant les conclusions des analyses effectuées. Les principaux points d’attention qui ont fait l’objet d’échanges portent sur les modalités d'acceptation et de refus au dépôt de cookies et le design des bannières. »
Son rapport « fait notamment état du fait que la grande majorité des autorités considère que l’absence de toute option de refus/rejet des cookies au même niveau que celle prévue pour en accepter le dépôt constitue un manquement à la législation ».
Les autorités ont conclu, s’agissant plus particulièrement du design des bannières, que « l’information délivrée doit permettre aux internautes de comprendre ce à quoi ils/elles consentent et comment exprimer leur choix ».
Pour autant, les autorités s’accordent à considérer qu’ « elles ne peuvent imposer à tous les sites web un standard en termes de couleur ou de contraste », et qu' « un examen au cas par cas de la bannière doit être effectué pour déterminer si le design choisi (ex. couleur/contraste) n’est pas manifestement trompeur pour les utilisateurs ».
Le rapport résumant les analyses et conclusions du groupe de travail est disponible sur le site du CEPD, et devrait « permettre aux autorités de finaliser l'instruction des plaintes dont elles ont été saisies ».
Commentaires (14)
#1
A ce que je comprends, il n’était pas question des cookiewalls (marmiton, certains journaux, etc.), i.e. les contenus accessible qu’après acceptation des cookies. A priori le consentement n’est pas vraiment libre si on n’a pas trop le choix pour accéder au contenu.
#1.1
ce à quoi on te répondra que tu es libre de ne pas aller sur ces sites - perso je ne mets plus les pieds sur marmiton depuis qu’ils ont mis ce truc en place, et les autres je les ouvre dans la mesure du possible dans des sessions privées dédiées.
Je prends les cookies… mais ils ne restent pas. Je le fais à peu près systématiquement sur Les Numériques quand j’ai des trucs à y regarder, par exemple.
#1.3
Je vais régulièrement sur Marmiton sur mon Android, j’y trouve des recettes simples et sympatiques.
Quand au cookie-wall, avec uBlock Origin bien paramétré il disparaît tout simplement, laissant libre accès au site.
#1.4
c’est très bien pour toi si tu y trouves ton bonheur, perso ce cookie wall m’a incité à aller voir ailleurs et en général c’est pour le mieux.
Pour les préparations simples, j’ai ce qu’il faut comme livres de cuisine à la maison, aller chercher sur Marmiton et consorts étaient plutôt une marque de flemme…
#1.2
Tu as le choix en payant.
Je ne suis pas fan du principe (donc j’évite ces sites), mais ça me semble … honnête.
#1.5
Je ne trouve pas ça honnête vu qu’ils affichent sur leur site :
Et ils justifient ce changement :
Sauf que afficher de la publicité ne nécessite pas tant de cookies, à moins de choisir une publicité très suivies (comprendre très intrusives pour la vie privée des internautes). Donc c’est incomplet (malhonnête ?) de dire que la publicité est le source de revenu principale. C’est bien le fait de marchander le profiling des internautes dont il est question, encore une fois.
#2
” Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.”
article 42 du RGPD après un google rapide.
De mémoire l’interprétation en France avait été “l’abonnement à 2 euros par mois est pas si cher, ‘pouvez y aller”.
Je parie que la décision aurait été différente si c’est facebook, google ou amazon qui l’avait fait.
#2.1
Il n’y a eu aucun jugement en France à ce sujet.
Le Conseil d’État a juste dit que la CNIL ne pouvait pas écrire dans ses lignes directrices (soft law) que c’était interdit.
#2.2
À la suite de quoi la CNIL a publié des critères d’évaluation parlant de tarif raisonnable (souvent c’est 2 € qui est demandé).
J’avais lu mais je ne retrouve pas que ça avait été proposé après discussion avec l’IAB.
#2.3
Et comme je l’ai déjà dit, il n’y a pas là non plus de jugement ni de décision par la formation restreinte de la CNIL.
On aura une meilleure idée pour savoir si le cookie walls sont conforme ou non au RGPD quand des décision définitives auront été prononcées ou quand la CJUE aura été consultée sur le sujet.
#2.4
ah mais je ne demande que ça, la décision de la CJUE.
En attendant, et ça commence à faire longtemps (5 ans d’entrée en vigueur du RGPD le 25 mai 2023), c’est la solution bancale qui est en place : cookie wall, tu es surveillé ou tu payes.
Gagner du temps est souvent la solution de facilité
#3
on lira notamment cet article de 2021 qui n’a pas tant vieilli : https://www.pixeldetracking.com/fr/comment-les-editeurs-se-moquent-de-la-cnil
#4
J’ai commencé la lecture du rapport hier, et les deux premiers points (pas été plus loin pour le moment) me laissent à penser que beaucoup de cookie banners risquent d’être considérées comme non conformes si une plainte est instruite à leur sujet.
Par exemple celui de FranceInfo pourrait être considéré comme partiellement non conforme. Le rejet du dépôt de cookies étant indiqué sous forme d’un lien texte en haut à droite de celle-ci moins visible que le bouton “tout accepter” en bas. Mais je note comme bon point d’avoir gardé la même couleur pour “accepter” et “paramétrer” qui partagent celle de l’arrière-plan et ne sont dont pas spécialement mis en valeur non plus, ni différenciés.
#5
Mais sinon, il faut me corriger si je fais erreur, le profil d’un internaute ne se vend pas. C’est juste que la pub paie plus quand elle a accès à un profil pour proposer une publicité adaptée.
Si je vends une voiture, je paie plus l’espace de stockage si je sais qu’il va être diffusé auprès de quelqu’un qui a plus de chances d’acheter une voiture.
Je pense que les sites comme marmiton n’ont pas qu’une régie pub, donc en fonction du profil de l’internaute (obtenu via les cookies) ils vont afficher la pub la plus rentable.
Dire que les données personnelles sont vendues c’est un raccourcis, ce qui est vendu c’est un affichage de la pub auprès du profil le plus rentable.
Si marmiton n’a pas accès à ces données ils vendront des espaces de pubs plus génériques, éventuellement lié à l’activité (la cuisine) mais également moins cher.
C’est un peu plus compliqué, mais le marché de données personnelles existe plus dans le domaine des assurances (entre autre lié au médical) pour diminuer les risques.
Encore une fois je ne soutiens pas la démarche, j’évite ce genre de sites (je ne vais plus sur JVC depuis qu’ils ont mis ça en place), mais je trouve ça légitime, l’utilisateur n’est pas floué. Il paie avec ses
fessesdonnées personnelles ou avec des €.(par contre dire qu’ils veulent mettre à disposition de tous des recettes à titre gratuit est un mensonge vu qu’il y a une contrepartie que ce soit avec les données ou avec des €)