par Gabriel Avigdor

Votre bannière pour les cookies est-elle conforme aux règles sur la vie privée et la protection des données ?

Est-ce que le termes “dark patterns” et “designs trompeurs” (deceptive designs) vous sont familiers dans le cadre des bannières pour les cookies et la directive européenne e-Privacy ? Non? Alors cette affaire allemande et ses enseignements pourraient vous intéresser. Le présent article résume le jugement rendu par le Landgericht Rostock et qui analyse dans quelle mesure une bannière pour les cookies est conforme aux règles sur la vie privée. Elle apporte des précisions intéressantes et confirme certains principes aujourd’hui bien établis en matière de configuration de bannière. L’affaire Advocado, du 15 septembre 2020 (ref. 3 O 762/19) est résumée en allemand et analysée en anglais).

Nous commençons cet article de blog avec le fondement des règles sur la vie privée dans le domaine des cookies.

_______________________________

INTRODUCTION

Avant de commencer, rappelons ce que sont les cookies et à quoi servent les différentes lois dont nous allons discuter dans cet article.

_______________________________

LA BANNIERE SUR LES COOKIES, C’EST QUOI?

Lorsque l’on parle de bannières sur les cookies, on ne vise pas la notice d’information sur les cookies qui est souvent une page séparée à laquelle il faut se référer pour plus d’informations. On désigne ici le pop-up (très agaçant) qui s’ouvre à l’arrivée sur une page internet. Ces bannières sont celles qui contiennent le résumé des finalités et catégories de cookies est un élément clé puisqu’il s’agit de la première information et impression créée pour l’internaute. Très souvent, le texte utilisé dans les bannières pour les cookies est un copier-coller d’autres sites internet. Et bien pensez-y à deux fois avant de le faire pour des sites web européens. Cette exigence est d’autant plus importante si les cookies permettent la collecte de données personnelles et de les partager avec des tiers, même s’il s’agit de plugins de média sociaux, pour être utilisé pour de la publicité ou pour du marketing.

Les sociétés qui permettent ces activités sont dans le collimateur des autorités qui sont en train de sévir assez durement. En effet, les autorités de protection des données européennes sont devenues très sensibles à la qualité du texte rédigé, à sa pertinence et aux finalités qui doivent rester transparentes. Vu qu’il est très facile de le faire, les autorités sont en train de scanner activement les sites internet pour vérifier la conformité aux règles e-Privacy et RGPD en matière de cookies et publicité ciblée. J’en parlais dans cet article sur les pratiques de publicités avec les avertissements de Simon McDougall de sanctionner après une période de grace qui est échue depuis mars 2020.

_______________________________

L’AFFAIRE ADVOCADO EXPLIQUE COMMENT PENSER
LE DESIGN D’UNE BANNIERE SUR LES COOKIES 

Dans ce jugement allemand, le tribunal explique la manière avec laquelle les bannières pour les cookies doivent être présentées aux utilisateurs. Ou plutôt, faudrait-il dire comment elles ne doivent pas être présentées et éviter les “dark patters” considérés comme illicites. Le jugement saisi l’opportunité de juger du rôle et des obligations des parties en matière de transparence, en particulier la qualité de responsables conjoints du traitement des données personnelles (art. 26 RGPD) entre le responsable du site internet et les tiers à qui les données peuvent être transmises via des plugins ou des cookies. Dans ce contexte, il clarifie que la société (ou l’individu) responsable d’un site internet doit soigneusement informer les internautes des plugins utilisés afin d’éviter d’agir illicitement et contraires aux lois européennes sur la protection des données.

En premier lieu, le Landgericht Rostock confirme que les cookies non-nécessaires requièrent le consentement des utilisateurs. Seuls les cookies et technologies de traçage similaires strictement nécessaires à la fourniture du service ou des fonctionnalités utilisées par le visiteur d’un site sont exemptes du consentement préalable. Jusqu’ici, rien de nouveau sous le soleil depuis l’affaire Planet49, affaire rendue le 1er octobre 2019 la Court de Justice de l’Union Européenne (CJUE).

Rappel de l’arrêt Planet49, clé de la conformité aux cookies

Selon la jurisprudence Planet49, la CJUE avait rendu un arrêt longuement attendu permettant de clarifier les exigences du consentement en matière de cookies, notamment le fait que le consentement implicite n’était plus possible. Un consentement explicite pour les cookies non-nécessaires (optionnels) selon les exigences du RGPD est nécessaire. Bien que de nombreuses questions soient restées sans réponses, l’affaire Planet49 clarifiait notamment que:

• le consentement implicite par la navigation sur le site internet n’est pas valable
• le consentement est nécessaire pour les cookies non strictement nécessaires
• aucun cookie ne doit être placé sur le terminal (device) d’un utilisateur avant que le choix soit effectué par l’utilisateur (condition du “zero cookie load”)
• les cases pré-cochées pour les cookies optionnels sont interdites 
• la collecte des données personnelles n’est pas un critère pour l’application des règles selon la directive e-Privacy; la loi protège les utilisateurs contre le stockage d’une technologie de traçage. Cela s’applique même si les données sont statistiques et aucune donnée personnelle n’est collectée, ni transmise à des tiers 
• les exigences du consentement s’appliquent selon les règles du RGPD (et donc le calcul des sanctions) et non de la directive e-Privacy (voir plus bas sur des sanctions récentes en France)

Avec ces clarifications, les responsables du traitement de données personnelles ont des obligations et actions claires pour se conformer aux règles européennes sur les cookies, identifier les données collectées, modifier les notices sur les cookies, etc.

_______________________________

CE QU’IL FAUT SAVOIR DE L’AFFAIRE ADVOCADO

Premièrement, ce jugement rappelle les fondements de l’arrêt Planet49 précité. En particulier, les cookies non-essentiels requièrent le consentement et aucun cookie non-essentiel ne doit être déployé avant que l’utilisateur n’exprime son choix. Le consentement doit offrir des choix clairs pour chaque catégorie aux internautes. Ces obligations doivent absolument être connues du responsable d’un site internet pour mettre en place ses bannières et notices sur les cookies. Mais là où cette décision va plus loin, c’est qu’elle explique quel designs sont non-conformes aux lois européennes concernant les bannières sur les cookies.

Résumé des faits

Advocado Gmbh est une société qui gère un site internet permettant de rechercher un juriste ou un avocat. La configuration de la bannière sur les cookies comportait au départ des cases “pré-cochées” pour tous les cookies, dont des cookies publicitaires. Il en découle qu’en continuant de surfer sur le site internet, l’utilisateur consentait à l’utilisation de cookies optionnels (non-essentiels) lesquels était activés par défaut.

Cette bannière était clairement illégale et non-conforme aux prescriptions de la directive e-Privacy et du RGPD. En cours de procédure, Advocado Gmbh a modifié sa bannière en supprimant les cases pré-cochées pour les cookies non-essentiels, mais en indiquant “accepter tout / rejeter tout. Par contre, le button “accepter tout” était mis en avant avec une jolie couleur verte, alors que le bouton “rejeter tout” l’était dans un gris clair. La fédération allemande des organisations de protection des consommateurs (vzbv) a initié une plainte contre la société Advocado pour pratiques trompeuses.

Est-ce évident ou pas tant que ça ?

Qu’est-ce qu’un dark pattern?

Un “dark pattern” est une pratique apparaissant comme neutre mais qui influence le choix de l’utilisateur de manière trompeuse vers une action qui lui est défavorable. Une telle pratique aboutit à procurer un avantage à la société qui met en place ce “dark pattern” au détriment de l’utilisateur qui aurait pu porter son choix sur une action plus favorable. Dans le domaine de la vie privée et des cookies, tel est le cas d’un utilisateur qui consent à la collecte de ses données ou au placement d’un traceur sur son terminal parce qu’il est poussé à le faire permettant à des tiers de bénéficier de ces données.

En effet, un dark pattern utilise un certain format pour influencer la navigation des utilisateurs sur un site internet. Les couleurs, formes, emplacements ou la taille de police sont utilisées d’une façon à donner l’impression d’un choix tout en influençant le comportement de l’utilisateur à accepter les cookies. Cela incite et, donc force indirectement (ou convainc inconsciemment) le visiteur à cliquer sur “accepter”. Ceci est créé sciemment alors que juridiquement l’utilisateur doit pouvoir continuer à naviguer sur le site sans être tracé ou au moins choisir de l’être. Le Landgericht Rostock explique donc qu’il appartient aussi au responsable d’un site internet d’être transparent, juste (bonne foi), de rédiger des textes sans ambiguïté et de manière concise dans les pop-ups / bannières sur les cookies et sans influencer le choix par des biais.

En définitive, le Tribunal allemand bannit les mauvaises pratiques qui consistent en un “dark pattern” afin d’éviter de tromper les utilisateurs. Une fenêtre pop-up qui s’ouvrent lorsqu’un utilisateur visite le site Internet et qui influencent l’utilisateur dans son choix et le poussent à consentir est illicite. Toutefois, le jugement apporte encore de nombreux autres points concernant ces pratiques qui ne sont pas tous retranscrits ici.

_______________________________

TOP 5 DES POINTS A RETENIR DE CE JUGEMENT  POUR UNE BANNIERE COOKIES

Dans cette affaire du 15 septembre 2020, le tribunal a considéré que:

1. Le consentement était nécessaire pour les traceurs utilisés à des fins d’analyse et marketing.

Cela s’applique d’autant plus lorsque des données personnelles sont collectées pour transmission à des tiers qui peuvent les monnayer (voir la sanction de €10 millions contre Grindr par l’autorité de protection des données de Norvège).

• A noter: Les cookies Google analytics requiert aussi le consentement. De manière indirecte, le tribunal considère que si aucune donnée personnelle n’est collectée via Google Analytics et qu’aucune donnée personnelle n’est transmise à des tiers le consentement ne serait pas nécessaire car le risque pour la vie privée est faible. La CNIL a rendu des recommandations similaires sur les traceurs utilisés pour les mesures d’audience dans sa recommandation du 1er octobre 2020. Cette position est donc soutenable en Allemagne bien que cela n’ait pas été clairement ainsi exprimé.

Ma recommandation pour (Google) Analytics

Vous ne devriez pas partir du principe que parce que les données sont agrégées, le consentement n’est pas nécessaire et il faut procéder à une analyse au cas pas cas.

Idéalement, il faudrait:

• (a) s’assurer d’analyser les lignes directrices de chaque pays européen avant d’implémenter une bannière, ou plus pragmatiquement
• (b) utiliser une approche harmonisée pour tous les pays en implémentant un système le plus favorable à la vie privée (privacy-by-default). Cette seconde solution est moins favorable, mais bien plus simple à implémenter.

Par exemple, rien que pour l’Allemagne, il existe 16 agences de protection des données. Certaines adoptent des approaches plus strictes que d’autres (Berlin vs Bavière) et le consentement pourrait être exigé même les cookies d’analyse de mesure d’audience sans collecte de données personnelles.

2. Une bannière sur les cookies avec les cases pré-cochées, même si l’utilisateur peut les désélectionner et cliquer sur “voir plus”, est illicite.

Une bannière pour les cookies qui offre une option accepter tout / rejeter tout, mais dont le terme “accepter tout” est en surbrillance est illégal. De plus, il est interdit déposer par défaut les cookies sur le terminal (téléphone, ordinateur). Il en découle les recommendations suivantes :

• Les bannières cookie (pop-up) requièrent d’être transparent et le design doit être clair, conforme à la bonne fois, concis, précis et justes pour se conformer à la directive e-Privacy et au RGPD.

• Ne faites pas de copier-coller du texte d’une bannière d’un site concurrent sans analyser ce que votre site fait en réalité.

• La collecte et le dépôt de cookies nécessaires pour le fonctionnement du site et de ses fonctionnalités ne pose pas de problème. Tout le reste, requiert le consentement. Par conséquent, le design d’une bannière est important pour respecter le principe de privacy-default (protection des données par défaut) et permettre un choix clair et non intrusif.  Cela doit être immédiatement compréhensible par l’utilisateur et il doit comprendre son choix.

• Ne pas utiliser de couleurs qui suggèrent de cliquer sur l’acceptation de cookies. Influencer le choix de l’utilisateur constitue un dark pattern qui ne respecte pas les règles européennes sur la protection des données. Cela veut aussi dire que ces règles ne sont pas directement applicables en Suisse.

• Cliquer sur le bouton “Accepter tout” requiert qu’aucun cookies ne soit présélectionné.  De même aucun cookie non-essentiel (optionnel et non nécessaire pour faire fonctionner le site ou ses options) ne doit être déposé avant un tel choix. L’utilisateur doit pouvoir ainsi naviguer sans être tracé tant qu’il n’a pas choisi. Par contre, l’option des différents choix sur les cookies doit être disponible facilement. Il est aussi possible d’empêcher l’utilisateur de naviguer tant qu’il n’a pas fait son choix (ceci n’est pas un cookie wall). Un cookie wall serait de forcer à accepter les cookies pour pour voir le site. La légalité de ce concept (cookie wall) n’est pas encore affirmé ni confirmé au niveau européen.

4. Confirmation que le depôt d’un cookie Google Analytics ou un pixel Facebook constitue une responsabilité conjointe pour la protection des données (art. 26 RGPD).

5. Ne pas fournir l’essence du contrat avec Google ou Facebook dans une cookie notice est contraire au RGPD.

La responsabilité conjointe du traitement des données personnelles est partagée entre les deux parties, comme confirmé par la jurisprudence européenne dans l’arrêt Facebook Fashion ID. Le propriétaire du site détermine le traitement des données sur son site et la plate-forme tierce reçoit des données via ce site. Pour ce traitement, les parties sont conjointement responsables ce qui implique d’indiquer dans la cookie notice le résumé des conditions et du but du transfert des données avec le tiers qui les reçoit via ce plugin.

Selon le Landgericht Rostock, les utilisateurs doivent recevoir une copie / extrait du contrat entre le site et le tiers. Ceci s’applique aux cookies tiers qui permettent la transmission de données personnelles. Vu que ces fournisseurs tiers utilisent des données pour leur propre compte, le tribunal a considéré que le site “Advocado” avait violé son obligation de fournir l’essence du contrat avec le tiers. Ceci est contraire aux obligations de responsabilité conjointe du traitement selon l’art. 26 RGPD. Ceci s’applique lors du dépôt d’un cookie Google Analytics ou un pixel Facebook.

• Cette précision est significative. D’une part elle confirme la position et les lignes directrices des autorités. D’autre part, elle sera difficile à mettre en place en pratique pour la plupart des responsables de sites internet. Ces obligations sont complexes à comprendre et à mettre en oeuvre. Il s’agit de fournir une information claire et intelligible pour tout visiteur tout expliquant ce que ces pixels et traceurs impliquent pour la vie privé.

6. Le responsable d’un site doit démontrer qu’il est conforme (fardeau de la preuve).

Cela implique que le responsable d’un site internet devra prouver qu’il a agencé sa bannière et fourni toutes les informations aux visiteurs et clients d’un site conformément aux lois sur la protection des données.  Cette exigence inclut l’utilisation de plugins tiers, comme Google Analytics ou un pixel Facebook. On le voit, il s’agit de points importants à prendre en compte pour l’industrie et la manière de configurer ses modules sur les cookies.  A noter que contrairement à ce que l’on pourrait penser, la conformité aux règles sur les cookies n’est pas si évidente en Allemagne. La loi allemande sur les télécommunications a été laissée de côté depuis quelques années. De ce fait, le mécanisme de sanction n’est pas facile à mettre en oeuvre et certains auteurs se demandent comment sanctionner sur la base de la loi actuelle.  Au vu des commentaires précités (résumé en allemand et analysé en ici en anglais), l’Allemagne n’est pas le pays le plus strict dans ce domaine.

_______________________________

SANCTIONS RECENTES SUR LA CONFORMITE A LA DIRECTIVE E-PRIVACY & RGPD

Pour illustrer l’importance de la conformité aux cookies, voici quelques affaires françaises récentes selon la directive e-Privacy. En effet, la CNIL a infligé des sanctions assez impressionnantes seulement sur la base des règles sur les cookies.

Amazon.fr sanctionné €35 millions par la CNIL:

Dans cette affaire, Amazon a violé la loi l’article 82 de la loi informatique et libertés (implémentant la directive e-Privacy) et le RGPD. En résumé:

• information lacunaire dans la bannière cookies sur l’utilisation de publicités
• pas de réel choix de refuser les cookies, et
• de nombreux cookies était déposés avant le choix possible par l’utilisateur.

Google.fr fines up to €100M by the CNIL:

En résumé Google a violé la loi française et le RGPD pour ses pratiques et configuration de ses bannières sur les cookies. En résumé:

• Google utilisait des cookies à des fins de publicité, les a placés automatiquement sur le terminal de l’utilisateur. Ceci était effectué sans requérir le choix préalable de l’utilisateur
• information insuffisante aux utilisateurs pour l’utilisation du moteur de recherche sur google.fr
• manquements à l’obligation de fournir un mécanisme d’« opposition » pour s’opposer aux cookies publicitaires

Carrefour.fr fined €3M by the CNIL: 

Les manquements de Carrefour étaient principalement ciblés sur le RGPD et sa conformité. Néanmoins, Carrefour avait placé des cookies Google Analytics et autres traceurs sur son site carrefour.fr pour des finalités qui n’étaient strictement nécessaires. Ici, Carrefour n’avait pas utilisé ces traceurs uniquement dans le but de rendre la communication électronique nécessaires pour fournir le service. Dans le cas particulier, Carrefour utilisait des cookies d’analyse de traffic avec les publicités de Google Adwords (Google Ads). Ces cookies étaient utilisés pour mesure le taux de conversion des utilisateurs pour optimiser les enchères des publicités et monnayer ces activités aux entreprises qui placent leur publicités. A noter que la CNIL a considéré considéré que cette violation se basait sur l’article  82 de la loi française informatique et libertés. Cette violation se base sur la directive e-Privacy Directive, mais le calcul de l’amende se basait sur le RGPD.

_______________________________

CONCLUSION

Il faut retenir de cet arrêt que le design de ces bannières est un élément clé à prendre en compte pour la conformité. Il s’agit de prêter attention à ne pas être trop créatif à cet égard pour ne pas tromper l’utilisateur par un design qui l’influencerait à consentir. Aussi, les sanctions pour ce genre d’activités sont possibles en Europe. La configuration de sa bannière sur les cookies n’est pas à négliger et devient vraiment importante.  Il s’agit de prêter attention non seulement à la configuration de la bannière, mais aussi à son design. Il est nécessaire de bien maîtriser quels cookies sont utilisés sur un site, dans quels buts, avec qui des données sont éventuellement partagées et selon quelles conditions contractuelles.

Une harmonisation très attendue

Les règles et exigences européennes sur les cookies (cookie law) est un domaine complexe, technique et juridique. De plus, les récentes affaires convergent vers de nombreux principes communs (Planet49, Advocado) même sans harmonisation légale. L’affaire Advocado et les décisions françaises démontrent que les règles sur les cookies sont devenues cruciales pour la conformité. L’entrée en vigueur du Règlement e-Privacy harmonisera les règles pour la protection des communications électroniques en Europe. Comme pour le RGPD, le Règlement e-Privacy (voir la dernière version en date). D’ici aux deux prochaines années, 2021-2022, il y aura d’importants changements. Ils permettront de mieux comprendre comment “naviguer” avec cette règlementation aujourd’hui éparse et difficile d’accès. De plus, avec le nouveau règlement e-Privacy, celui s’appliquera, comme pour le RGPD, en dehors de l’Europe. Les sites internet suisses qui ne respecteront pas le futur règlement e-Privacy, seront aussi sujets aux sanctions allant jusqu’à 4% du chiffre d’affaire annuel.

Constat aujourd’hui

Les autorités de protection des données sanctionnent et ne concèdent plus de délai de grâce en cas de non-conformité. De leurs côtés, les sociétés technologiques innovent et tentent de trouver de nouveaux modèles d’affaires ou des solutions technologiques pour aider entreprises à se conformer. Certains modèles sont focalisés sur la protection de la vie privée. Comme pour le RGPD, des technologies robustes existent et sont disponibles à moindre coûts pour gérer son site Internet et ses applications mobiles. D’autre part, les géants du nets réfléchissent à de nouveaux modèles comme avec Apple. Depuis plusieurs années Apple fait de la protection des données du marketing. En effet, Apple avait fait scandale auprès de la concurrence et des sociétés de publicités en introduisant une version de Safari qui bloque tous les cookies par défaut les cookies de sociétés tierces sur les appareils Apple.

Cependant, on peut raisonnablement se demander où vont mener ces initiatives. Vont-elles être au bénéfice des utilisateurs ou toujours plus au profit des GAFAM qui accroissent leur monopole ?

L’avenir nous le dira !

__

Gabriel Avigdor, CIPP/E

NTIC.ch

advocado cookiesamazon sanctionsarticle 26 RGPDbannière cookiescarrefour sanctions rgpdcomment configurer les cookiesconformité aux cookiesCookiesdark patterndeceptive designdirective e-privacyeprivacyFashion IDGDPRgoogle sanctions rgpdoneTrustpixel trackingplanet49pxel facebookresponsables conjointsRGPDsanctions cookiessanctions eprivacysanctions RGPDtechnologies de traçagetruste