Tout reste différent – le tribunal de grande instance de Cologne concernant les bannières de cookies
Le délégué externe à la protection des données (DPO) est régulièrement confronté à la question du service marketing : “La bannière de cookie telle qu’elle est actuellement est-elle conforme au RGPD ? Le DPO répond alors avec sa précision habituelle par “cela dépend.”
Il faut tout d’abord se pencher sur l’objectif des pop-ups si populaires. Lors de la première visite d’un site web, il convient d’informer sur l’utilisation éventuelle de mécanismes de suivi et de sources externes de données, et surtout de saisir les préférences du visiteur.
Est-il possible de savoir d’où viennent les visiteurs du site, quelles pages ils ont consultées et quel est le taux de clics sur les différentes offres ? À cela s’ajoute la saisie des autorisations de présentation de contenus externes comme Twitter, YouTube ou d’autres fournisseurs de données externes. Derrière tout cela se trouve généralement l’équipe marketing de l’entreprise, qui souhaite transmettre des informations de la manière la plus facile possible afin de présenter au mieux son propre produit.
Il n’est pas possible d’écrire sur les bannières de cookie sans aborder les différentes évolutions et décisions prises ces dernières années.
Au printemps 2022, YouTube a adapté sa bannière de cookies sous la pression de l’autorité française de contrôle de la protection des données (CNIL). Un “refus global” doit désormais être possible dès la première page de la bannière. En outre, l’Europe s’est prononcée sur le design trompeur (aussi connu sous le terme de « nudging ») comme les boutons d’acceptation et de refus de la même couleur. Il ne faut pas non plus oublier le succès de Max Schrems et de son organisation NOYB, qui ont déposé plusieurs plaintes auprès des autorités de contrôle européennes. Désormais, Google Analytics, avec ses mécanismes opaques, n’était plus considéré comme aussi simple à utiliser. Par conséquent, l’utilisation basée sur le consentement de cet outil de suivi est devenue la norme. Un autre point était la possibilité d’accéder directement aux mentions légales sans consentement ou refus préalable.
Le tribunal de grande instance de Cologne a maintenant rendu une décision qui concrétise quelque peu les directives relatives aux bannières de cookies. Mais seulement un peu. Au lieu de fournir, comme espéré, une indication sur la solution parfaite dans le jugement portant le numéro de dossier 33 O 376/22, le tribunal de Cologne n’a pu confirmer que partiellement les points de plainte de l’association de protection des consommateurs de Rhénanie-du-Nord-Westphalie.
Ainsi, le choix de “…uniquement avec les cookies nécessaires” était caché dans le texte courant et donc insuffisant en termes de taille, de forme et de présentation pour être considéré comme un choix réel et équivalent…. Parallèlement, le tribunal a considéré que la demande de l’association de protection des consommateurs était trop large, à savoir qu’elle devait inclure “une option de refus équivalente à la déclaration de consentement en termes de forme, de fonction et de couleur, de même rang et de même facilité d’utilisation”. Le refus a donc la même forme que le consentement ? Les juges de l’état fédéré n’ont apparemment pas voulu aller aussi loin et ont fait référence au manque d’indications dans le RGPD ou dans ses considérants. La procédure engagée par les défenseurs des consommateurs contre Deutsche Telekom contenait également quelques décisions relatives à la transmission de données à des agences de renseignements commerciaux et à Google. Mais là aussi, le tribunal a estimé que les demandes présentées étaient trop larges et/ou infondées.
Que faire maintenant avec les bannières de cookies ? En plus des innombrables recommandations et décisions, il faut toujours faire appel au bon sens et informer honnêtement et simplement. Le choix de l’acceptation ou du refus doit être clairement affiché. Sans nudging ou refus sur cinq (5) niveaux. Concevoir des bannières de cookies conformes à la protection des données n’est pas une science fulgurante ou un livre aux sept sceaux. Mais c’est quelque chose qu’il faut toujours garder à l’esprit. C’est là que nous aidons nos clients.
Et c’est passionnant, comme la protection des données.
