Le Comité européen de la protection des données (CEPD) a mis en place un groupe de travail pour examiner les pratiques courantes des bannières de cookies sur les sites web. Leurs conclusions ont confirmé que la plupart des pratiques de conception trompeuses utilisées dans les bannières de cookies sont illégales au regard du droit européen de la vie privée.

Principales conclusions

Le groupe de travail a identifié plusieurs pratiques non conformes largement répandues sur internet. Les bannières qui ne comportent pas de bouton « tout refuser » au premier niveau, celles qui utilisent une mise en avant visuelle pour orienter les utilisateurs vers l'acceptation, et les designs nécessitant plusieurs clics pour refuser les cookies ont tous été jugés contraires aux exigences en matière de consentement. Le principe fondamental établi est que refuser les cookies doit être aussi simple que de les accepter.

Pourquoi c'est important

Le CEPD est l'organe qui réunit toutes les autorités de protection de la vie privée de l'UE et de l'EEE, ce qui rend ses orientations hautement autoritaires. Lorsque le Comité prend position sur la conformité des bannières de cookies, les autorités nationales sont susceptibles de suivre dans leurs décisions d'application.

Le dilemme du consentement

Les conclusions du groupe de travail créent un véritable dilemme pour les sites web utilisant des analyses et de la publicité basées sur les cookies. Les bannières de cookies conformes qui présentent aux utilisateurs un choix juste et transparent entraînent systématiquement des taux de refus élevés. Les organisations doivent choisir entre la conformité légale avec des taux de collecte de données plus faibles, ou l'utilisation continue de designs manipulateurs qui attirent de plus en plus l'attention des régulateurs et les amendes.