En août 2022, l’organisation noyb a déposé une nouvelle série de réclamations relatives aux cookies. Sa cible : un groupe de propriétaires de sites web dont les bandeaux cookies ne respectaient pas les normes juridiques de l’UE en matière de consentement et qu’elle accuse d’avoir ignoré ses demandes de mise en conformité ou de ne pas avoir fait tout le nécessaire.
Dans cet article, nous nous intéresserons de près aux réclamations déposées par noyb et aux mesures à prendre pour éviter que votre société se retrouve dans son collimateur. Poursuivez votre lecture pour en savoir plus sur noyb et les réclamations qu’elle a déposées, mais aussi pour déterminer si votre société est concernée. Si vous préférez passer directement à l’action pour éviter de vous exposer à une réclamation de noyb et à une amende, consultez notre liste de vérification.
MISE À JOUR Le Comité européen de la protection des données (CEPD) a adopté trois décisions de règlement des litiges fondées sur l’article 65 du RGPD à l’égard de Meta Platforms Ireland Limited suite à trois réclamations déposées par noyb à l’encontre de Facebook, Instagram et Whatsapp il y a 4,5 ans. Cliquez ici pour en savoir plus →
Qu’est-ce que noyb ?
Réclamations de noyb relatives aux cookies : le contexte
En mai 2021, l’organisation européenne noyb a lancé une campagne de grande ampleur pour en finir avec les violations de la vie privée. Son objectif : adresser jusqu’à 10 000 réclamations à des sites web qui violent de manière flagrante les restrictions imposées par l’UE en matière de cookies. Les propriétaires des sites web ciblés par cette campagne reçoivent également des conseils gratuits pour se mettre en conformité.
Un peu plus d’un an après le lancement de cette campagne, noyb vient de déposer une nouvelle série de 226 réclamations auprès de 18 autorités de protection des données (APD) à travers l’UE.
noyb cible principalement les sites web dont le bandeau cookies contient des paramètres trompeurs et ceux qui ne permettent pas aux utilisateurs de refuser le suivi (en violation flagrante des règles sur le consentement).
noyb a mis au point un système pour détecter différents types de violations et générer des réclamations RGPD. Après examen des résultats par son équipe juridique, l’organisation adresse par email une réclamation informelle aux entreprises présumées responsables de violations. Celles-ci disposent de 60 jours pour se conformer à la loi en modifiant leurs paramètres. À défaut, *noyb dépose une réclamation formelle auprès de l’autorité de protection des données compétente*. Les entreprises s’exposent ainsi à des amendes pouvant aller jusqu’à 20 millions d’euros, conformément au RGPD.
D’après les résultats partagés par noyb en mai 2021 (https://noyb.eu/fr/noyb-depose-422-plaintes-officielles-au-titre-du-gdpr-concernant-des-bannieres-de-cookies), 81 % des sites analysés ne proposaient pas d’option « refuser » au premier niveau du bandeau cookies, tandis que 73 % utilisaient des couleurs et contrastes trompeurs pour amener les utilisateurs à cliquer sur l’option « accepter ». Enfin, 90 % des sites ne permettaient pas aux utilisateurs de retirer leur consentement aussi facilement qu’ils l’avaient donné.
En 2021, noyb a envoyé des réclamations informelles à plus de 500 entreprises européennes qui utilisaient selon elle des bandeau cookies non conformes. L’organisation a récemment déposé une deuxième série de réclamations pour lutter contre les bandeaux cookies trompeurs et les dark patterns. Dans les prochains mois, elle poursuivra son objectif d’analyse, d’examen, d’avertissement et d’application de la loi (mais aussi des bonnes pratiques) ciblant jusqu’à 10 000 sites web.
La campagne de noyb consiste à adresser des réclamations informelles aux sites non conformes en leur proposant de l’aide pour remédier aux dark patterns et autres problèmes liés au consentement. Comme l’a déclaré le président de noyb, Max Schrems, dans un communiqué,
Nous voulons amener les entreprises à se mettre en conformité, idéalement sans déposer de réclamation. Toutefois, si une entreprise continue de violer la loi, nous sommes prêts à faire respecter les droits des utilisateurs.
Note : seuls les sites qui ont systématiquement ignoré les rappels de l’organisation et ses instructions détaillées de mise en conformité font l’objet de réclamations officielles auprès de l’autorité de protection des données compétente.
Réclamations de noyb relatives aux cookies : liste de vérification
D’après noyb, « la plupart » des sites web ayant fait l’objet de réclamations officielles ne permettaient pas aux utilisateurs de retirer leur consentement au suivi. Si 30 % des sites web rappelés à l’ordre par noyb ont ajouté un bouton permettant de refuser les cookies, les autres n’ont toujours pas remédié à certaines violations, comme des choix de conception trompeurs. Comme l’explique Max Schrems :
Au lieu de proposer des choix simples de type oui ou non, les entreprises utilisent toutes les méthodes imaginables pour manipuler les utilisateurs. Nous avons identifié plus d’une quinzaine d’abus courants. Celui qui revient le plus, c’est l’absence de bouton « refuser » sur la page initiale.
À partir des réclamations déposées par noyb, nous avons compilé une liste de vérification facile à suivre pour vous assurer de la conformité de votre bandeau cookies :
👉 Donnez aux utilisateurs un moyen de retirer leur consentement. Pour ce faire, veillez à activer le widget de confidentialité dans votre Privacy Controls et Cookie Solution.
👉 Ne laissez aucune place à l’ambiguïté. Pour concevoir un bandeau cookies univoque, il vous suffit de modifier votre bandeau cookies conforme dans votre tableau de bord.
👉 Affichez un bouton « refuser » lors de la première visite des utilisateurs sur votre site.
👉 Ne précochez pas les options de votre bandeau cookies. Veillez à sélectionner tous les paramètres de conformité pour configurer automatiquement un bandeau cookies conforme.
👉 Affichez un bouton « refuser », et non un simple lien.
La conformité peut être très simple. Pour vous aider à mettre votre site web en conformité, iubenda propose des solutions logicielles conçues par une équipe juridique. Simplifiez-vous la vie et préparez votre entreprise aux prochaines évolutions juridiques.
iubenda et l’importance de la conformité en matière de protection des données en ligne
La campagne de noyb a acquis une certaine popularité au sein des communautés d’information en ligne. Pourtant, noyb demande seulement aux entreprises de respecter les obligations imposées par des autorités de protection des données dans toute l’Europe. Son action vise plus précisément à lutter contre les dark patterns ainsi qu’à offrir aux utilisateurs des choix clairs et des décisions plus éclairées.
Depuis des années, iubenda propose des solutions simples et efficaces pour respecter la réglementation en matière de protection des données. En parallèle, elle s’est toujours intéressée de près aux bonnes pratiques internationales et efforcée de sensibiliser les entreprises à ces sujets.
Comment répondre aux exigences vérifiées par noyb avec la Privacy Controls et Cookie Solution
Notre Privacy Controls et Cookie Solution vous aide à vous conformer pleinement aux exigences du RGPD, de la directive ePrivacy, et bien plus. Elle vous permet de personnaliser librement votre bandeau cookies et vos paramètres. De plus, pour vous donner une longueur d’avance, la configuration automatique par défaut prévue pour le RGPD met votre site en conformité avec les principales exigences vérifiées par le système de noyb. Bien sûr, elle vous permet aussi de respecter les règles imposées par le RGPD lui-même et les APD nationales.
Voyons de plus près comment paramétrer correctement votre bandeau cookies en nous appuyant sur la liste des « types de violations » de noyb.
Dans le configurateur de la Privacy Controls et Cookie Solution, cliquez sur Modifier dans la section RGPD, puis sur Configuration manuelle. Vérifiez que l’option « Afficher le bouton Refuser » est sélectionnée.
Notre solution est conçue pour respecter systématiquement le principe du consentement. Vérifiez simplement que l’option « Proposer un contrôle segmenté grâce à la collecte du consentement par catégorie » est activée.
Notre configuration par défaut garantit la même visibilité (en termes de couleur, d’apparence et d’importance visuelle) aux boutons « Accepter » et « Refuser ». Vous pouvez toutefois les personnaliser dans la section Style et texte, sous Thème (cliquez sur Modifier).
Note : la « même importance visuelle » de ces boutons est obligatoire dans plusieurs pays. Par conséquent, nous vous recommandons vivement d’utiliser la même configuration graphique pour les deux boutons.
Notre solution ne permet pas l’utilisation d’un lien ou d’autres options qui peuvent masquer la fonctionnalité de personnalisation ou la rendre difficile à trouver.
Le bouton « En savoir plus et personnaliser » est lié au bouton « Accepter ». Il est présent par défaut. Vous pouvez toutefois gérer l’activation de ces boutons dans la Configuration manuelle de la section RGPD.
En termes d’apparence et de couleurs, le bouton « En savoir plus et personnaliser » n’est pas obligatoirement identique aux boutons « Accepter » et « Refuser ». Vous pouvez le personnaliser dans la section Style et texte, sous Thème (cliquez sur Modifier).
Vérifiez simplement que ce bouton est clairement visible et non masqué par d’autres choix graphiques (par exemple, la couleur de fond et le texte).
Ces conseils ne vous intéresseront que si vous avez activé la configuration du TCF de l’IAB. Dans ce cas, vous devez limiter les finalités pour n’autoriser que le consentement comme base juridique valide du traitement des données.
Sous « TCF de l’IAB », cliquez sur « Modifier », puis cochez la case « Délimiter les finalités » et sélectionnez l’option « Consentement uniquement » pour chaque finalité.
Note : certaines APD nationales, comme celles de l’Italie et de la Belgique, ont exclu l’intérêt légitime des bases juridiques valables. Il est donc important de choisir « Consentement uniquement » si vous opérez dans ces pays. Pour en savoir plus sur les exigences propres à chaque pays, consultez notre
Notre solution de gestion des cookies peut reconnaitre et bloquer un large éventail de cookies, à l’exception des cookies strictement nécessaires. Vous pouvez tout de même identifier manuellement les scripts soumis à l’obligation de consentement préalable.
Veillez à mettre en place le blocage préalable de tous les cookies non essentiels. Pour éviter une violation, vous devrez peut-être modifier la catégorie que vous avez affectée à un script qui installe des cookies. Consultez notre guide sur le balisage manuel pour en savoir plus.
Par défaut, notre solution intègre un widget de confidentialité qui permet aux utilisateurs de consulter et modifier facilement leurs préférences de confidentialité.
Dans les options du Widget de confidentialité (sous Style et texte), vous pouvez personnaliser l’emplacement, le format et les couleurs de votre widget ou ajouter un lien d’accès aux préférences de confidentialité et de suivi dans le pied de page de votre site.
Les étapes détaillées ci-dessus peuvent vous être utiles pour éviter de vous retrouver dans le collimateur de noyb ou pour vérifier que vos paramètres sont conformes aux exigences du RGPD.