Actualités au niveau européen : sanctions et cookies

Depuis décembre 2022, le Comité européen à la protection des données – CEPD – a poursuivi les actions engagées en matière d’harmonisation de l’application du RGPD au sein de l’Union européenne. Focus sur ses dernières actualités RGPD en Europe…

Dans la continuité de la sanction prononcée à l’encontre de la société META : Facebook, Instagram et WhatsApp, le CEPD a adopté trois décisions contraignantes concernant Facebook, Instagram et WhatsApp.

Ces décisions ont été prises suite à l’analyse et aux questions soulevées dans le projet de décision de l’autorité de contrôle irlandaise – chargée de sanctionner la société META, concernant la licéité et la transparence des traitements à des fins de publicité comportementale et à des fins de l’amélioration des services.

Cependant, les autres autorités de protection des données européennes, dont la CNIL, n’étaient pas en accord avec l’analyse de l’autorité irlandaise, notamment s’agissant de la base légale du traitement et des principes de protection des données. Le CEPD a alors dû intervenir afin de régler ce différend entre les autorités européennes et l’autorité irlandaise.

Le CEPD a ainsi rendu des décisions contraignantes afin de venir préciser, entre autres, si l’exécution contractuelle pouvait ou non constituer la base légale des traitements réalisés par Facebook, Instagram et WhatsApp. Avec ces décisions, le CEPD vient alors garantir une application harmonieuse du RGPD par l’ensemble des autorités de protection des données européennes.

L’autorité irlandaise a alors prononcé le 31 décembre 2022 une sanction de 210 millions d’euros à l’encontre de Facebook et une autre de 180 millions pour Instagram. Ces décisions ont été rendues publiques par le CEPD le 12 janvier 2023. La décision concernant WhatsApp est actuellement en attente étant donné que cette décision à fait l’objet d’une nouvelle décision contraignante du CEPD.

Le 17 janvier 2023 un rapport a été adopté par les autorités de protection des données de l’Union européenne (UE) et de l’Espace économique européen (EEE) venant synthétiser le travail réalisé concernant les bannières de cookies.

La CNIL et ses homologues européens avaient été saisis par l’association autrichienne NOYB de plusieurs centaines de plaintes relatives à des bannières de cookies entre mai 2021 et août 2022.

Compte tenu du nombre de plaintes recensées et de pays concernés, le CEPD a décidé de coordonner à l’échelle européenne cette problématique afin d’harmoniser les décisions pouvant être rendues par les autorités européennes.

Au regard l’application de la directive « ePrivacy », qui encadre juridiquement le dépôt des cookies et notamment le recueil du consentement des internautes avant tout dépôt de cookies, un groupe de travail a alors été mis en place afin d’analyser les différentes problématiques soulevées par ces plaintes.  L’un des points fondamentaux des échanges portait sur les modalités d’acceptation et de refus des cookies (absence de cases prés-cochées, bouton de refus, …), ainsi que sur le design de ces bannières.

Ainsi, les autorités se sont mises d’accord pour considérer que l’absence de toute option de refus des cookies au même niveau que celle pour accepter les cookies constitue un manquement au ePrivacy. La bannière de cookies doit alors, en termes de design, permettre aux internautes de comprendre facilement et clairement quels sont les cookies auxquels ils consentent et comment exprimer leur choix.

Toutefois, il a été constaté qu’il n’était pas possible d’imposer un standard pour ce qui est de la couleur et du contraste utilisé. Une analyse au cas par cas doit alors être effectuée afin de déterminer si le design choix est trompeur ou non. La bannière de cookies doit ainsi permettre aux internautes de clairement identifier la possibilité de refus et d’acceptation des cookies, en mettant en place, par exemple, les boutons « Je refuse » ou « J’accepte » sur une même ligne, avec une même police, une même couleur, etc.

Cette décision rendue au niveau européen vient une fois de plus appuyer le positionnement de la CNIL en matière d’encadrement des cookies qui avait déjà adopté en France ce raisonnement dans la sanction des sites internet non-conformes.

N’hésitez pas à nous contacter si vous avez des doutes dans la conformité au RGPD de votre bannière de cookies et de votre site internet afin que l’on vous accompagne dans votre mise en conformité.