D'où viennent tous ces boutons de "refus" !
De plus en plus de sites web ont ajouté une option permettant de dire "non" aux cookies et autres traceurs - comme le prévoit le GDPR. D'où vient cette tendance ?
En mars 2021, noyb a scanné le web à la recherche de bannières de cookies illégales et a déposé plus de 700 plaintes à travers l'Europe. Un dernier scan montre une évaluation détaillée après un an et demi : plus de 50 % des sites ont amélioré leurs bannières, dans de nombreux cas, sans que noyb ne les ait jamais contactés
Contexte et collecte de données À l'aide d'un logiciel spécialement développé, noyb a scanné plus de 3 600 sites web en mars 2021 et a collecté des données pour savoir si les bannières de consentement sur ces sites violaient le GDPR. Sur la base de ces données, plus de 700 plaintes ont été déposées contre les pages les plus visitées dont les bannières présentaient des violations du GDPR, comme l'absence de bouton "rejet" ou des designs trompeurs. Cela a déclenché un processus de remise en question massive chez de nombreux fournisseurs de logiciels de bannières et sites web. Les paramètres par défaut ont été modifiés pour une version plus conforme au GDPR à titre préventif, même si aucune plainte n'avait même été déposée
"Cette vague de plaintes a eu un effet préventif massif. Des entreprises nous disent qu'elles ont déjà changé leur position sur les bannières de cookies après l'annonce de notre vague d'application - même si elles n'ont pas reçu de plainte elles-mêmes." - Max Schrems, président de la noyb
Cette vague de plaintes s'est accompagnée d'autres mesures d'application de la part des autorités de protection des données ; par exemple, la CNIL française a introduit des lignes directrices et a exigé de Google qu'il introduise un bouton de "rejet", ce qui a également été considéré comme un signe pour de nombreuses entreprises d'ajuster leurs bannières et a conduit à d'importantes améliorations mesurables en France
Des améliorations significatives En octobre 2022, soit un an et demi plus tard, le balayage a été répété et des valeurs de comparaison ont été calculées pour 1 631 sites web. Celles-ci montrent des améliorations significatives pour les utilisateurs : 56 % de toutes les pages scannées ont changé pour le mieux au cours de l'année et demie écoulée et ont cessé d'utiliser des couleurs trompeuses pour les liens et les boutons et des sous-catégories pré-cochées. La violation la plus fréquente était aussi la plus ennuyeuse : 82 % (1 377) de tous les sites web ne disposaient pas d'un bouton permettant de rejeter tous les cookies en mars 2021. Les utilisateurs devaient plonger dans des sous-menus pour trouver une option de "rejet" cachée. 574 (41%) des sites web analysés ont maintenant introduit un bouton de "rejet" après nos vagues de plaintes. Le nombre total de cookies installés a également diminué d'environ 10 % - contrairement aux tendances récentes.
"Nous avons vu des sites web changer de design illégal après seulement quelques mois. Après un an et demi, on peut constater un changement de comportement, même sur des sites que nous n'avons jamais contactés. Nous constatons un effet classique de prévention générale." - Ala Krinickytė, avocat spécialisé dans la protection des données chez noyb
L'avertissement augmente la conformité Sur ces 1 631 sites web, la noyb a envoyé un projet de plainte à 483 d'entre eux et leur a donné jusqu'à 60 jours pour réparer leurs violations. Près de la moitié de toutes les violations ont été corrigées dans ce groupe. Plus de la moitié d'entre eux disposent désormais d'un bouton "rejet", plus de 70 % n'ont plus de catégories pré-cochées et deux tiers ont modifié les couleurs et les liens trompeurs
La dissuasion fonctionne. En plus des sites web qui ont reçu des plaintes, d'autres sites web qui n'ont pas reçu d'avertissement de la part de noyb sont devenus plus conformes au GDPR. 543 des 1 148 sites web de cet échantillon qui n'avaient pas reçu de plainte ont amélioré leurs bannières de cookies. 78 sont désormais entièrement conformes au GDPR. Le nombre total de cookies définis et ceux contenant des données personnelles ont également diminué de manière significative
"La plupart des gens respectent normalement la loi. Dans le domaine de la protection des données, ce n'est pas toujours le cas - mais on peut y parvenir en appliquant la loi de manière visible pour le public." - Ala Krinickytė, avocat spécialisé dans la protection des données chez noyb
D'autres plaintes sont prévues. Dans les mois à venir, noyb poursuivra l'objectif de se débarrasser des bannières de cookies trompeuses et étendra le projet aux sites utilisant des plateformes de gestion du consentement (CMP) . Dans une prochaine étape, noyb est développer davantage son logiciel pour lancer des actions similaires sur d'autres violations de la vie privée aussi.
À l'heure actuelle, noyb attend toujours les premières décisions concernant les plaintes déposées en août 2021, même si de nombreuses affaires ont considérablement progressé. Le Conseil européen de la protection des données (EDPB) a lancé une groupe de travail pour coordonner les autorités de protection des données pour ces cas, nous pouvons donc espérer une approche coordonnée
Méthodologie
- Au 24/03/2021, 3 672 sites web utilisant Onetrust comme CMP et présentant des violations du GDPR ont été étudiés
- Ce balayage a servi de base pour les deux vagues de plaintes, où seuls les sites web les plus visités par domaine de premier niveau ont été enquêtés. En outre, des plaintes ont également été déposées contre 20 sites de haut rang, indépendamment du CMP utilisé. Tous ces sites ont d'abord reçu un projet de plainte et 60 jours pour modifier les paramètres. Si la bannière n'était pas modifiée conformément à la loi, noyb déposait officiellement une plainte
- Le 4/10/2022, le balayage a été répété selon le même principe. Au cours de ce processus, 2 137 pages web ont été trouvées. 1 631 pages étaient représentées à la fois dans le premier et le second scan et sont donc utilisées pour cette comparaison. Comme certains sites web n'existent plus, utilisent un fournisseur CMP différent ou une version différente de OneTrust qui ne peut pas être détectée par notre logiciel, le nombre a diminué.