La Société autrichienne de radiodiffusion (ORF) doit modifier sa bannière de cookies sur ORF.at pour la mettre en conformité avec le GDPR. C'est ce que vient de décider la Cour administrative fédérale (BVwG), confirmant ainsi une décision prise par l'autorité autrichienne de protection des données en 2024. Plus précisément, l'ORF doit s'assurer que les boutons pour accepter ou refuser soient conçus de la même manière de manière à ce que les visiteurs ne soient pas incités par la ruse à accepter. Actuellement, les cookies accepter est surlignée en couleur de manière trompeuse, ce qui peut conduire à un consentement involontaire.
Contexte. En août 2021, noyb a déposé 422 plaintes GDPR contre des sites web qui utilisaient des bannières de cookies trompeuses et illégales. Parmi eux figurait ORF.at (le site d'information le plus visité d'Autriche) dont la bannière de cookies n'offrait à l'époque aucune option permettant de "rejeter" les cookies de suivi au premier niveau. Dans sa décision d'octobre 2024, l'autorité autrichienne de protection des données s'est ralliée à la plainte de noyb et a ordonné à l'ORF de placer des boutons "Rejeter" et "Accepter" d'égale importance sur sa bannière de cookies. À ce moment-là, l'ORF avait déjà ajouté un bouton "Rejeter", mais sa couleur était moins visible que celle de l'option "Accepter". L'ORF a ensuite introduit un recours auprès de la Cour administrative fédérale (BVwG).
Max Schrems, président du noyb: l'autorité de protection des données et maintenant les tribunaux ont clairement confirmé que les bannières de cookies doivent offrir des options "oui" et "non" aussi visibles l'une que l'autre - sans aucun motif sombre. Il est scandaleux que même le radiodiffuseur public ORF ait besoin d'une décision de justice spécifique sur cette question, huit ans après l'entrée en vigueur du GDPR"
Le Tribunal administratif fédéral confirme les infractions au GDPR commises par l'ORF. Par sa décision, le Tribunal administratif fédéral a confirmé ce qui était déjà clair en 2024 : La bannière de cookies de l'ORF n'est pas conforme au GDPR, car elle met en évidence le message "Accepter" "Accepter est trompeuse pour les utilisateurs et conduit à un consentement involontaire. Par conséquent, le consentement n'est plus univoque et contrevient également au principe de transparence, déclare la Cour administrative fédérale dans son raisonnement. L'ORF n'a donc pas obtenu de consentement valable et doit revoir la conception de sa bannière de cookies.
Conséquences possibles. Compte tenu de la clarté de la décision du BVwG, il est probable qu'elle aura des conséquences pour d'innombrables autres entreprises. La Cour indique clairement que la simple mise en œuvre d'une procédure de bouton "Rejeter dans une couleur moins visible ne suffit pas. Au contraire, les deux options doivent être mises sur un pied d'égalité. Par conséquent, ORF est loin d'être la seule entreprise dont la bannière de cookies enfreint le GDPR.
