Bannières cookies : des clarifications nécessaires par le CEPD

Sans surprise, les bannières cookies des sites internet donnent lieu depuis la directive ePrivacy à de nombreuses plaintes. Près d’une vingtaine d’autorités de protection des données européennes, dont la CNIL, ont ainsi été saisies de plusieurs centaines de plaintes à ce sujet par l’association NOYB (organisation autrichienne relative à la protection de la vie privée).

Le Comité Européen de la Protection des Données (CEPD) a donc pris le sujet à bras-le-corps en constituant une « Task force » dédiée, pour apporter des réponses harmonisées au niveau européen.

Le rapport de cette Task force précisant les bonnes pratiques en la matière a été adopté par le CEPD le 17 janvier 2023.

Si ce rapport n’apporte aucune solution nouvelle, il a le mérite de clarifier certains points :

• Consentement aux cookies : le CEPD rappelle qu’il est obligatoire de disposer de boutons de refus et d’acceptation des cookies. Ces boutons doivent être placés au même niveau et être aussi facilement accessibles et visibles l’un que l’autre (en termes de contrastes et de couleurs notamment). Le consentement doit être donné par une action positive, une case pré-cochée n’est donc pas valide. Le CEPD estime utile de rappeler que le consentement doit pouvoir être retiré à tout moment et facilement (icône par exemple).

• Design des bannières : le support visuel doit être clair, simple et lisible pour l’utilisateur. La bannière ne doit pas donner l’impression que refuser les cookies pourrait empêcher l’utilisateur d’accéder au site. Il est important que l’utilisateur comprenne qu’il peut refuser les cookies s’il le souhaite (à l’exception des cookies techniques nécessaires au fonctionnement du site comme la taille de l’écran d’ordinateur pour afficher correctement le site internet sur l’écran). Pour que le consentement de l’utilisateur soit valide, la bannière doit fournir des informations claires (types de cookies, finalité et responsable de traitement).

Les sanctions prévues en cas de non-respect de la directive ePrivacy sont identiques à celles prévues par le RGPD : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel.

Ainsi, même si le rapport du CEPD n’est pas juridiquement contraignant, il est fortement recommandé aux éditeurs de sites internet et d’applications mobiles de faire évoluer leurs pratiques en matière de bannières cookies pour en tenir compte.

Ces éclaircissements vont en effet être utilisés par les autorités compétentes (la CNIL en France) pour finaliser l’instruction des plaintes dont elles ont été saisies à ce sujet et, sans nul doute, serviront également à unifier dans l’Union Européenne autant que possible le traitement des plaintes futures.