Blog Données personnelles
L’EDPB met à jour ses lignes directrices sur le consentement en matière de cookies
Afin de répondre à certaines questions persistantes en matière de cookies, le Comité européen de la protection des données (EDPB) a publié, ce lundi 4 mai, une version légèrement modifiée de ses lignes directrices sur le consentement au sens du RGPD.
Cette nouvelle version reprend dans leur intégralité les lignes directrices adoptées par le G29 le 10 avril 2018 et approuvées par l’EDPB lors de sa première séance plénière, à l’exception des paragraphes 38 à 41 et 86, ayant trait :
- à la validité du consentement en présence d’un « cookie wall » (pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi) ; et
- au caractère ambigu du « scrolling » (déroulement de la page).
Sans surprise, ces deux techniques ne permettent pas d’obtenir un consentement valide au sens du RGPD.
Sur la question des cookies walls tout d’abord, l’EDPB confirme que l’accès à des services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur à l’accès ou l’inscription d’informations dans son équipement (ordinateur, smartphone…). Ainsi, la pratique qui consiste pour l’éditeur d’un site Internet à mettre en place un script bloquant la visibilité du contenu du site, sauf à ce que le visiteur accepte les cookies, n’est pas conforme au RGPD dès lors que le visiteur n’est pas présenté avec un véritable choix. C’est la position qu’avait également retenu la CNIL dans ses propres lignes directrices du 4 juillet 2019.
En pratique, la CNIL préconise dans son projet de recommandation (dont l’adoption a été, rappelons-le, reportée en raison de la crise sanitaire actuelle), de prévoir la possibilité pour l’utilisateur d’accepter ou refuser les cookies finalité par finalité, et d’intégrer une croix de fermeture sur l’interface de recueil du consentement, ou permettre à l’utilisateur de faire disparaître celle-ci en cliquant en dehors de l’interface, par exemple.
Il s’agit là d’un point de crispation avec les acteurs du marketing digital qui considèrent que le seul choix qui devrait être laissé à l’utilisateur est celui de « tout accepter » ou de « paramétrer ses préférences ». Selon eux, « la CNIL crée un droit au refus des cookies qui n’existe ni dans le RGPD ni la directive e-Privacy en vigueur ». En outre, « les droits de refuser à consentir ou de retarder ultérieurement son choix (par un clic en dehors de l’interface ou sur la croix notamment) ne constituent pas des droits accordés aux personnes concernées. Si les textes imposent le recueil du consentement, ils n’accordent cependant qu’un droit d’opposition ou d’effacement ultérieur. De plus, en interdisant la pratique du ‘cookie wall’ au motif qu’elle porterait préjudice aux utilisateurs, la CNIL érige le droit à la protection des données personnelles en principe absolu et intangible en contradiction avec les dispositions en vigueur ».
S’agissant du scrolling, l’EDPB réaffirme, sur le fondement du considérant 32 du RGPD, que le fait de faire défiler une page web (ou toute autre action similaire) ne satisfait en aucun cas l’exigence d’une action claire et positive de la part de la personne concernée. Initialement, le G29 avait justifié cela par le manque de visibilité de certains bandeaux d’information qui indiquaient qu’en poursuivant sa navigation, l’utilisateur accepte l’utilisation de cookies. De ce fait, le comportement de l’utilisateur pouvait être considéré comme ambigu : a-t-il bien vu le bandeau d’information et poursuit-il sa navigation en pleine connaissance de cause. L’EDPB reprend cette idée en indiquant simplement que « ces actions peuvent être difficiles à distinguer d’une autre activité ou interaction de l’utilisateur et, par conséquent, il ne sera pas non plus possible de déterminer qu’un consentement sans ambiguïté a été obtenu ». L’EDPB ajoute qu’il serait par ailleurs « difficile de permettre à l’utilisateur de retirer son consentement aussi facilement qu’il l’a donné ».
En pratique donc, mieux vaut privilégier le recours à des cases à cocher, décochées par défaut, ou des interrupteurs (« sliders »), désactivés par défaut (pour autant que le choix exprimé par l’utilisateur soit aisément identifiable), conformément aux recommandations de la CNIL.
Ce renforcement des droits des utilisateurs, qui implique une diminution du tracking sur les sites éditeurs, et les mesures prises et/ou annoncées par les navigateurs (en septembre 2019, Mozilla a annoncé que Firefox bloquerait désormais tous les cookies tiers par défaut ; en janvier 2020, Google a annoncé qu’il bloquera les cookies tiers sur son navigateur Chrome d’ici 2022), poussent le marché vers un nouvel écosystème sans cookie tiers. Les acteurs devront se réorganiser intelligemment pour pérenniser leur modèle économique.