Dans un communiqué, la CNIL annonce que, « en réaction à plusieurs plaintes d’internautes, [elle] met en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses ». Le problème se situe lors du recueil du consentement avec une incitation des « internautes à accepter les cookies ».
Or, rappelle à juste titre la Commission, le dépôt des cookies ne peut se faire qu’après le consentement de l’utilisateur (sauf exceptions) et que « refuser les cookies doit être aussi simple que les accepter ». La loi n’impose pas de manière de faire, mais les éditeurs doivent en plus s’assurer que « l’information figurant sur la bannière [soit] claire et complète ».
2021, 2024 : même « combat » ?
Rien de neuf sous le Soleil, la CNIL avait déjà mis en demeure des sites en mai 2021, après une période de « grâce » de trois ans puisque le RGPD est entré en application le 25 mai 2018. Plus de trois ans plus tard, la CNIL en est encore à des mises en demeure sans sanction pécuniaire ni nommer les fautifs, qui ont donc un mois pour se mettre en conformité.
Il y a peu, Mathias Moulin (secrétaire général adjoint de la CNIL) confirmait une impression latente depuis des années : « Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
- La CNIL n’a « pas une logique punitive », Free bat un record sur les plaintes
- Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics
Comme pour répondre aux accusations de ne pas assurer correctement sa mission, la CNIL affirme que lorsqu’elle reçoit une plainte, elle « analyse au cas par cas les bandeaux de recueil du consentement ». À l’issue de ses analyses, elle a décidé de mettre en demeure plusieurs éditeurs de modifier leur bannière dans un délai d’un mois, sans préciser lesquels.
La CNIL ne donne aucune indication sur la suite des événements. Si des sites ne se mettent pas en conformité, passera-t-elle par la case sanction ? Impossible à dire en l’état. Un rappel des risques pour les acteurs concernés n’aurait certainement pas fait de mal. En 2021, elle rappelait que les sites visés risquaient des « sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires » s’ils ne se mettaient pas en conformité.
Les griefs contre les bandeaux
Deux griefs sont principalement formulés contre les éditeurs : « la possibilité de refuser le dépôt d’un cookie n’est pas aussi facile que de l’accepter » et « ils incitent les internautes à consentir au dépôt de cookies par une présentation ambiguë ou trompeuse des informations ».
La CNIL dresse une liste des mauvaises pratiques. L’option pour accepter est mise en avant de « manière disproportionnée » avec des choix de couleur, de taille et de police, tandis que l’option pour refuser « se confond avec les mentions d’information en raison de son emplacement » ou bien elle est « accolée à d’autres paragraphes » et bien moins visible.
La CNIL pointe aussi du doigt le fait que « l’option d’acceptation est présentée plusieurs fois dans la bannière alors que celle relative au refus n’est présente qu’une seule fois ». Si besoin, de la documentation sur les cookies est disponible par ici et par là.