noyb dépose 422 plaintes officielles au titre du GDPR concernant des "bannières de cookies" qui mettent les nerfs à rude épreuve
Dans le cadre d'un projet d'un an sur les "conceptions trompeuses" et les "modèles sombres", la noyb a pour objectif d'analyser, d'avertir et de faire appliquer le GDPR sur près de 10 000 sites web en Europe. Après avoir envoyé un avertissement écrit et un "projet de plainte" à plus de 500 entreprises le 31 mai, 42 % de toutes les violations ont été corrigées dans les 30 jours. Cependant, 82 % de toutes les entreprises n'ont pas complètement cessé de violer le GDPR. En conséquence, noyb a déposé 422 plaintes auprès de dix autorités de protection des données aujourd'hui.
42 % de toutes les violations du premier lot de 516 sites Web ont été corrigées. Dans le premier lot de plaintes, les entreprises ont remédié à 42 % des violations que noyb avait identifiées au printemps 2021. Parmi les entreprises qui violaient précédemment la loi à cet égard, 42 % ont ajouté une option de "rejet". 68 % ont supprimé les cases "pré-cochées". 46 % ont résolu les problèmes liés à l'utilisation de couleurs différentes pour les boutons "accepter" et "rejeter". 22 % ont renoncé à invoquer un "intérêt légitime" qui autoriserait le suivi sans le consentement de l'utilisateur. Au total, 1028 violations individuelles sur plus de 516 sites web ont été supprimées par les entreprises. Parmi les entreprises qui ont totalement cessé d'utiliser les "dark patterns" pour obtenir le consentement des utilisateurs, on trouve des marques mondiales comme Mastercard, Procter & Gamble, Forever 21, Seat ou Nikon
L'option "retrait" est le plus grand obstacle à la conformité. La plus grande résistance des sites Web concerne l'exigence du GDPR de rendre le retrait du consentement aussi facile que son obtention. Seuls 18 % ont ajouté une telle option (une "icône de retrait") sur leur site web.
Max Schrems, président de la noyb: "Nous avons constaté beaucoup d'améliorations sur de nombreux sites web et nous sommes très heureux des premiers résultats. Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques. Cependant, de nombreux autres sites web n'ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de "rejet", mais celle-ci reste difficile à lire. L'obligation d'afficher une option de retrait bien visible a clairement rencontré la plus grande résistance de la part des propriétaires de sites web.”
422 dossiers déposés auprès des APD dans dix pays Comme de nombreuses entreprises n'ont résolu que certaines violations, noyb ont quand même dû déposer des plaintes dans 422 des 516 cas, soit dans 82% de tous les projets de plaintes initiaux Il appartiendra donc aux autorités de protection des données (APD) d'examiner les plaintes de noyb et de faire appliquer la loi.
Max Schrems : "Dans les commentaires informels, nous avons entendu que les entreprises craignaient que leurs concurrents ne se conforment pas, ce qui créerait des avantages injustes. D'autres ont dit qu'elles voulaient une décision claire des autorités avant de commencer à se conformer. Nous espérons donc que les autorités de protection des données publieront bientôt des décisions et des sanctions."
Trente-six autres pages "majeures" ont entièrement résisté. Indépendamment du balayage des sites Web du premier lot, noyb a également examiné les sites Web mondiaux et nationaux plus importants qui utilisent des "bannières de cookies" personnalisées et ont nécessité un examen manuel. Cela inclut toutes les grandes plateformes comme Amazon, Twitter, Google ou Facebook. Toutes ont résisté à l'idée de fixer leurs bannières. noyb va donc déposer 36 plaintes supplémentaires concernant ces sites web. Ces pages ne sont pas incluses dans les statistiques ci-dessus, car leurs violations étaient quelque peu différentes de celles des pages scannées automatiquement.
Max Schrems : "Il ya une tendance selon laquelle les grands acteurs et les pages qui dépendent beaucoup de la publicité ont largement ignoré notre offre de régler les cas. Certains affirment ouvertement qu'il serait légal de manipuler les utilisateurs pour qu'ils cliquent sur 'OK'. Nous allons évidemment porter des affaires ici aussi."
Nécessité d'une harmonisation européenne. De nombreuses APD ont déjà publié des directives non contraignantes sur l'utilisation de "motifs sombres" dans les bannières de cookies. Si elles vont toutes dans le même sens, elles ne traitent souvent que de certains types de motifs sombres et restent muettes sur d'autres. noyb a fondé ses plaintes sur les différentes lignes directrices, mais les entreprises rejettent régulièrement les lignes directrices d'autres APD d'un autre État membre.
Max Schrems : "Nous avons besoin de règles paneuropéennes claires. À l'heure actuelle, une entreprise allemande estime que l'interprétation du GDPR par les autorités françaises ne s'applique qu'à la France, alors qu'elles opèrent sous la même loi au sein du même marché européen."
Rôle particulier de l'APD autrichienne. noyb a essayé de déposer des dossiers directement auprès de l'APD locale du site web chaque fois que cela était possible. Nous avons contacté les APD concernées au préalable. Environ 50 % de toutes les plaintes seront déposées auprès de l'autorité autrichienne de protection des données ("Datenschutzbehörde") qui, à son tour, devra relayer ces cas dans d'autres pays, car noyb n'est pas en mesure de déposer des plaintes dans les langues concernées. Dans une centaine de cas, il n'y a pas d'établissement dans l'UE, ce qui fait de l'autorité autrichienne de protection des données la seule autorité compétente, les plaignants étant basés à Vienne. Le fait qu'environ la moitié des cas passent par l'Autriche fait de la petite DPA autrichienne un acteur central dans cette affaire, ce qui est plutôt exigeant pour une autorité dont le budget et les ressources sont limités personnel.
Max Schrems : "Nous avons fait tout ce qui était en notre pouvoir pour rationaliser ces plaintes. Néanmoins, nous sommes pleinement conscients que cette première "plainte de masse" dans l'UE sera exigeante pour les autorités."
Prochaines étapes. La première phase d'essai étant maintenant terminée, noyb va viser l'objectif actuel et scanner, examiner, avertir et appliquer la loi sur jusqu'à 10 000 sites web d'ici un an, afin que les utilisateurs aient un véritable choix à l'avenir.
Max Schrems :"Nous attendons les premières décisions d'ici la fin de l'année. D'ici là, nous devrions voir la plupart des autres sites web passer à de simples options 'oui' ou 'non'."