Plaintes de noyb sur les bandeaux cookies non conformes au RGPD : ce qu’il faut savoir

Le 31 mai 2021, le groupe de défense de la protection des données personnelles <a href= »https://noyb.eu/ »><em>noyb</em></a> a lancé une nouvelle initiative visant à identifier les sociétés dont les bandeaux cookies ne sont pas conformes au RGPD selon eux. Dirigé par Max Schrems, l’activiste autrichien militant pour la protection des données personnelles, le rôle de noyb est d’opérer en tant qu’ONG de l’application de la protection des données personnelles dans notre écosystème. Le 10 août 2021, <em>noyb</em> a annoncé avoir déposé 422 <a href= »https://noyb.eu/en/noyb-files-422-formal-gdpr-complaints-nerve-wrecking-cookie-banners »>plaintes officielles relatives au RGPD</a>.

<em>noyb</em> est en train d’identifier les 10 000 principaux sites web européens dont les bandeaux cookies ne sont pas conformes, selon eux. À ce jour, ils ont identifié des sites comme Google, Twitter et plus de 500 autres.

<a href= »https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints »>Selon <em>noyb</em></a>, ce n’est que le début. Le groupe affirme son intention d’utiliser un système automatisé pour déposer jusqu’à 10 000 plaintes en 2021 dans un effort de mettre sous les projecteurs ce qu’ils considèrent comme des violations largement répandues du RGPD dans le cadre de l’utilisation de bandeaux cookies illégaux.

Chez Sourcepoint, nous savons que la conformité au RGPD est cruciale, non négociable et complexe. Bien que ce soit un sujet que toutes les entreprises devraient elles-mêmes examiner de plus près, poursuivez votre lecture pour découvrir notre perspective sur la nouvelle initiative de <em>noyb</em>.

Qui est <em>noyb</em> ?

Le centre européen pour les droits numériques, également appelé <em>noyb</em> (None of Your Business), est une organisation à but non lucratif créée en 2017 par l’activiste autrichien militant pour la protection des données personnelles, avocat et auteur, Max Schrems.

Au cours de ces dernières années, Schrems s’est fait connaître dans le monde de la protection des données personnelles en questionnant les pratiques de protection des données personnelles de géants de la technologie, comme Facebook et pour avoir intenté une action visant à changer la manière dont les <a href= »https://money.cnn.com/2016/02/02/technology/data-privacy-europe-us/index.html »>données sont transférées</a> de l’Espace économique européen vers certains pays, comme les États-Unis.

Depuis 2018, <em>noyb</em> a porté devant les tribunaux européens de nombreuses affaires relatives aux pratiques de protection des données personnelles et de technologie publicitaire. L’ONG évoque le principe de minimisation des données personnelles du RGPD pour faire reculer les sociétés qui semblent forcer les visiteurs à créer un compte et qui ont recours à ce que <em>noyb</em> appelle un « consentement forcé », où les utilisateurs doivent consentir pleinement à l’utilisation de leurs données personnelles afin de continuer à utiliser un service.

Pourquoi <em>noyb </em>a-t-il l’intention de déposer 500 plaintes relatives à la conformité des bandeaux cookies au RGPD ?

Le RGPD était censé représenter un tournant majeur dans la manière dont les entreprises gèrent les données des utilisateurs. Toutefois, du point de vue de <em>noyb</em>, au lieu de donner aux utilisateurs un contrôle total de leurs données personnelles, on a observé l’émergence de bandeaux cookies délibérément complexes sur les sites utilisant des « dark patterns » pour influencer les utilisateurs à consentir à l’utilisation de leurs données personnelles.

<em>« Toute une industrie de consultants et de designers mettent au point des parcours d’utilisateurs délibérément complexes afin de garantir des taux de consentement imaginaires. Le fait de frustrer les utilisateurs au point de leur faire cliquer sur OK est une infraction évidente des principes du RGPD. En vertu de la loi, les sociétés doivent aider les utilisateurs à exprimer leur choix et concevoir des systèmes de manière équitable. Les sociétés admettent ouvertement que seulement 3 % de l’ensemble des utilisateurs veulent accepter les cookies, mais qu’il est possible de pousser plus de 90 % d’entre eux à cliquer sur le bouton Accepter. »</em>

– <a href= »https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints »>Max Schrems, président de <em>noyb</em></a>

<em>Noyb</em> considère certains des bandeaux cookies récemment implémentés comme une infraction directe du RGPD plutôt que comme un problème relevant de l’expérience utilisateur. Afin de remédier à ces pratiques de consentement qu’elle juge problématiques, l’organisation a créé un système automatisé pour examiner les sites individuels à la recherche de toute violation potentielle et pour créer un projet de plainte en vertu du RGPD. Le projet de plainte est alors envoyé par e-mail à la société avec un guide détaillé par étapes avec des recommandations pour aider les sociétés à mettre à jour leur bandeau cookies conformément au règlement. À partir de ce moment, la société dispose de 30 jours pour remédier aux violations, faute de quoi <em>noyb</em> affirme qu’ils déposeront officiellement la plainte auprès de l’autorité de protection des données compétente. La société s’expose alors à une amende pouvant aller jusqu’à <a href= »https://gdpr.eu/fines/ »>20 millions € ou 4 % de ses revenus annuels </a>(la somme la plus élevée étant retenue). L’organisation a déclaré que son objectif était de favoriser la conformité, mais qu’elle déposerait officiellement une plainte si une société continuait d’enfreindre le RGPD.

Qui est concerné par les plaintes de <em>noyb</em> relatives aux bandeaux cookies ?

Parmi les 500 plaintes initiales déposées par <em>noyb</em>, on retrouve chez les sociétés concernées des géants de la technologie, tels que Google et Twitter et même des sites locaux avec un trafic proportionnellement élevé. Les sociétés de ce groupe incluent 560 sites Internet de 33 pays, y compris dans chaque État membre de l’UE/EEE, à l’exception de Malte et du Liechtenstein. Aucune liste complète n’a encore été publiée à ce jour.

<em>noyb</em> concentre actuellement son attention sur les pages populaires en Europe. Il est cependant important de noter que toute société dont le site Internet est consulté par des utilisateurs basés dans l’UE/EEE doit respecter le RGPD en ce qui concerne les données personnelles recueillies auprès de ces utilisateurs dans le cadre de la loi. <em>noyb</em> envisage d’utiliser son système automatisé pour créer 10 000 plaintes supplémentaires grâce aux dons de milliers de membres soutenant l’organisation.

Il ne fait aucun doute que l’application du RGPD va rester une priorité pour les sociétés et les utilisateurs individuels et que les tribunaux européens, ainsi que les autorités régionales de protection des données personnelles, vont continuer à faire évoluer leur application de la loi.

En quoi cela concerne-t-il les éditeurs ?

Les éditeurs recueillant le consentement des utilisateurs par le biais de bandeaux cookies sont tenus de respecter les directives émises par leur autorité locale de protection des données. Afin de se conformer aux réglementations qui évoluent et aux conseils sur la protection des données personnelles émises par leur autorité locale de protection des données et afin de répondre aux questions d’organisations comme <em>noyb, </em>les éditeurs doivent pouvoir répondre rapidement et adapter leurs expériences de consentement en conséquence<em>.</em>

En août 2021, <em>noyb</em> <a href= »https://noyb.eu/en/news-sites-readers-need-buy-back-their-own-data-exorbitant-price »>a annoncé</a> avoir déposé des plaintes supplémentaires en vertu du RGPD contre des éditeurs basant les expériences de choix de compensation sur le <a href= »https://digiday.com/media/glimpse-internet-future-spiegel-offers-anti-tracking-browsing/ »>modèle PUR</a>, qui propose un abonnement avec peu de publicités. Avec l’émergence des réglementations et des contestations judiciaires, une solution CMP personnalisable et flexible s’avère encore plus cruciale pour les éditeurs qui doivent pouvoir mettre à jour et optimiser les bandeaux cookies sans compromettre l’expérience de l’utilisateur et veiller à pouvoir faire leur travail tout en offrant des choix clairs aux utilisateurs.

Que doivent faire les éditeurs ?

La meilleure chose que les éditeurs puissent faire est de consulter les directives de leur autorité de contrôle afin d’identifier les exigences applicables à leur société. Toutes les exigences de <em>noyb</em> <em> </em> n’ont pas encore été mises à disposition, mais jusqu’à présent la liste comprend (selon la taxonomie de <em>noyb</em> :

• Type A : Aucune option de refus dans le message de premier niveau
  • <em>noyb</em> fait valoir que l’utilisateur doit pouvoir refuser toutes les finalités de traitement dans le message de premier niveau au lieu d’avoir à cliquer sur le message de second niveau.
• Type B : Options de consentement pré-cochées au second niveau

• Type C : Conception de lien trompeuse
  • Exemple : le bouton menant à l’option de refus des finalités de traitement pertinentes utilise un lien texte, tandis que l’appel à l’action Accepter utilise un bouton normal.
• Type D : Couleurs de bouton trompeuses
  • Exemple : la couleur de fond du bouton Plus de détails est la même que celle du bandeau, ce qui fait qu’il ne ressort pas, tandis que le bouton Accepter est d’une couleur différente, ce qui le met bien en évidence.
• Type E : Contraste de bouton trompeur
  • Exemple : le rapport de contraste des boutons Plus de détails et Accepter est inférieur aux normes minimales de W3C relatives à l’accessibilité des contenus web (WCAG 2.0), qui exige un rapport minimum de 4,5:1 pour le texte.
• Type H : Intérêt légitime déclaré
  • Le responsable du traitement se fonde sur l’intérêt légitime aux fins publicitaires et le seul moyen de s’opposer à ces finalités se trouvait dans le message du second niveau.
• Type I : Classification erronée des cookies

• Type K : Il est plus difficile de retirer son consentement que de le donner.
  • Aucune option visible pour retirer le consentement dans le bandeau ou ailleurs sur la page.

Ressources pour les clients de Sourcepoint

Si vous ne pensez pas répondre aux exigences de <em>noyb</em> décrites ci-dessus et souhaitez mettre à jour votre implémentation de CMP, veuillez consulter les articles suivants du Centre d’assistance pour de plus amples informations. Comme toujours si vous avez d’autres questions, n’hésitez pas à les poser à votre Technical Account Manager.

• Type A : <a href= »https://documentation.sourcepoint.com/consent_mp/message/message-gdpr-tcf-v2/create-web-and-mobile-first-layer-message-gdpr-tcf-v2#navigate-web-and-mobile-first-layer-message-builder »>Ajout du bouton Refuser dans le message de premier niveau</a>
• Type B : <a href= »https://documentation.sourcepoint.com/consent_mp/message/message-gdpr-tcf-v2/create-web-and-mobile-first-layer-message-gdpr-tcf-v2#navigate-web-and-mobile-first-layer-message-builder »>Mise à jour des éléments de l’interface utilisateur du message</a>
• Type H : <a href= »https://documentation.sourcepoint.com/consent_mp/vendor-lists/gdpr-tcf-v2-vendor-list/how-to-create-a-vendor-list-tcf-v2/manage-publisher-purposes-and-restrictions-on-vendors-for-gdpr-tcf-v2″>Remplacer l’intérêt légitime par le consentement comme base légale des finalités du traitement du fournisseur tiers</a>
• Type K : <a href= »https://documentation.sourcepoint.com/consent_mp/privacy-manager/privacy-manager-gdpr-tcf-v2/web-and-app/web-and-mobile-privacy-manager-gdpr-tcf-v2-javascript-code »>Ajout d’un lien vers le gestionnaire de la protection des données personnelles dans votre pied de page pour permettre aux utilisateurs de retirer leur consentement aussi facilement qu’ils le donnent</a>

Il est encore une fois important de vous adresser à votre autorité locale de protection des données pour obtenir des directives plus spécifiques sur la conformité au RGPD et aux législations et réglementations locales sur la protection des données personnelles.

Au titre de prestataire de services de gestion du consentement, notre but est de veiller à ce que nos produits restent pertinents et continuent de devancer les réglementations en évolution constante. Nous vous tiendrons donc informé(e) des mises à jour logicielles et de toute amélioration des fonctions de gestion du consentement. Pour découvrir comment la plateforme de Sourcepoint peut vous aider à vous adapter rapidement aux pratiques du RGPD en constante évolution, <a href= »https://sourcepoint1.wpengine.com/schedule-a-demo/?utm_source=Blog&amp;… »>réservez une démonstration ! </a>