Un peu plus d’un an après le lancement d’un projet majeur ciblant des milliers de sites bafouant de manière flagrante les règles de suivi des cookies en Europe, le groupe régional de campagne de confidentialité noyb a lancé un autre lot de plaintes ciblant un noyau dur d’opérateurs de sites Web qui, selon lui, ont ignoré ou n’ont pas pleinement agi plus tôt. avertissements pour mettre leurs bannières de consentement aux cookies en conformité avec la norme légale de consentement de l’UE, telle que le règlement général sur la protection des données (RGPD).
Noyb dit que le dernier lot de 226 plaintes a été déposé auprès de 18 autorités de protection des données (DPA) à travers le bloc.
Comme pour les actions précédentes de noyb, toutes les plaintes concernent le logiciel de bannière de cookies le plus largement utilisé, fabriqué par OneTrust. Mais ce n’est pas le logiciel lui-même qui pose problème, mais plutôt les plaintes qui ciblent des paramètres trompeurs qu’il a trouvés appliqués. Ou même aucun choix n’est offert aux utilisateurs du site pour refuser le suivi en violation flagrante de la loi sur le consentement.
Les pop-ups de cookies trompeurs ont eu un impact corrosif non seulement sur les droits à la vie privée des internautes de la région, privant systématiquement les personnes de leur droit de protéger leurs informations, mais ils ont également été très préjudiciables à la réputation des règles de protection des données de l’UE telles que le GDPR – permettant aux critiques de blâmer le règlement pour avoir engendré un tsunami de bannières de cookies ennuyeuses malgré le fait que la loi interdit clairement le vol de consentement via des tactiques cyniques comme l’injection de friction à sens unique ou l’offre aux utilisateurs d’un « choix » zéro opt-out.
La grande échelle des violations du consentement aux cookies a néanmoins posé un défi majeur à l’application de la loi pour le réseau d’autorités de protection des données sous-financées du bloc – c’est pourquoi noyb intervient avec une approche intelligente et stratégique pour aider à nettoyer le fléau de la «terreur des bannières de cookies», comme son la campagne le couche.
Compte tenu de l’accent mis par noyb sur l’impact et de la nature extrêmement répandue des problèmes de consentement aux cookies, le groupe de campagne a cherché à minimiser le nombre de plaintes officielles qu’il dépose auprès des régulateurs – de sorte que sa campagne de conformité partiellement automatisée implique l’envoi de plaintes initiales aux sites incriminés en question, offrant aider à rectifier les schémas sombres (ou autres faux problèmes de consentement) que noyb a identifiés.
Seuls les sites qui ont ignoré à plusieurs reprises ces coups de pouce et les conseils de conformité étape par étape sont désormais ciblés pour des plaintes officielles auprès de l’organisme de surveillance compétent.
« Nous voulons garantir la conformité, idéalement sans déposer de dossier. Si une entreprise continue à enfreindre la loi, nous sommes prêts à faire respecter les droits des utilisateurs », a déclaré Max Schrems, président de noyb, dans un communiqué.
«Après un an, nous sommes arrivés aux cas désespérés qui ne réagissent guère à aucune invitation ou orientation. Ces cas devront désormais être transmis aux autorités compétentes », a-t-il ajouté.
Jusqu’à présent, noyb attribue à sa campagne de consentement aux cookies la génération de ce qu’elle considère comme un « effet d’entraînement important » – avec, non seulement des bannières de consentement violant directement ciblées étant modifiées, mais certains sites non ciblés adaptant également leurs paramètres après avoir entendu parler du plaintes. « Cela montre que l’application garantit la conformité au-delà du cas individuel », affirme Schrems. « Je suppose que de nombreux utilisateurs ont réalisé que, par exemple, de plus en plus de boutons » rejeter « sont progressivement apparus sur de nombreux sites Web au cours de la dernière année. »
Discutant des progrès à ce jour, une porte-parole de noyb nous a également déclaré : « Nous avons constaté une augmentation du taux de conformité lors de nos analyses régulières (où nous analysons plusieurs milliers de sites Web en Europe à l’aide du CMP OneTrust après notre première série d’avertissements en mai dernier. C’est probablement en raison d’une prise de conscience accrue due à nos plaintes, de la « crainte » que cette loi puisse être appliquée et parce que OneTrust a informé de manière proactive ses clients de nos plaintes et a ajusté ses paramètres standard pour qu’ils soient »nob conforme.’
« Par conséquent, nous considérons les sites Web qui enfreignent toujours le RGPD malgré tous les avertissements comme des cas » désespérés « . Tous sont de nouveaux cas, donc aucune des entreprises ciblées déjà l’année dernière ne fait partie de ce lot.
Les cas dits « sans espoir » incluent un mélange de sites de médias (plus petits), de détaillants populaires et de pages locales, selon la porte-parole du noyb.
Lorsqu’on lui a demandé des exemples de pages qui enfreignent encore « presque tout » (c’est-à-dire en ce qui concerne les règles de consentement aux cookies) plus d’un an après le lancement de la campagne de conformité du groupe, elle a indiqué des sites de médias, notamment https://www.elle.com/ et https://www.menshealth.com/ ; site de recettes www.delish.com; agence de voyages en ligne booking.com ; et le détaillant de mode aboutyou (dans divers pays de l’UE).
D’autres sites de haut niveau qui sont actuellement ciblés pour des plaintes officielles – et qui ont remédié à « au moins certaines violations » (mais pas à d’autres), selon l’évaluation de noyb – incluent le site de football fifa.com ; les détaillants de cosmétiques rituals.com et clinique.at/de ; et le géant du streaming hbo.com.
Alors que noyb affirme que « la plupart » des sites dont il se plaint officiellement ne fournissent pas aux utilisateurs la possibilité de retirer leur consentement au suivi, sa porte-parole a noté : « D’autres ont mis en place un bouton de rejet (30 % de tous les sites Web avertis) mais sont ignorant toujours d’autres aspects comme les conceptions trompeuses.
Les plaintes de Noyb concernant les cookies ont déjà conduit à des mesures réglementaires, le Comité européen de la protection des données (EDPB) ayant créé l’année dernière un groupe de travail spécial pour coordonner les réponses à ce que le groupe suggère pourrait entraîner jusqu’à 10 000 plaintes de consentement aux cookies déposées – bien que les premières décisions de la DPA concernant les plaintes qu’elle a déposées l’année dernière sont toujours en attente.
« Nous espérons l’approche coordonnée du groupe de travail du CEPD », a déclaré sa porte-parole, ajoutant : « Jusqu’à présent, l’APD autrichienne a été la plus active dans le traitement des plaintes, suivie par certaines des APD allemandes. Nous espérons recevoir les premières décisions d’ici la fin de cette année.
Maintenant que cette dernière série de plaintes OneTrust a été déposée, le groupe à but non lucratif annonce qu’il passera à des sites utilisant d’autres plates-formes de gestion des consentements (CMP) – élargissant la portée de sa plate-forme automatisée de plainte et de conformité à couvrir les CMP concurrents, tels que TrustArc, Cookiebot, Usercentrics et Quantcast.
Ainsi, des dizaines d’autres sites qui n’ont pas encore été pris dans les balayages de noyb, malgré l’utilisation de bannières de consentement manifestement fausses, recevront une lettre pointée concernant leur conformité aux cookies dans un proche avenir.
Parallèlement au lancement de nombreuses lettres au cours de la dernière année+, noyb a également collecté des données sur l’impact du projet de plainte sur les cookies – et prévoit de publier un rapport sur ce qu’il a appris plus tard cette année.
Par ailleurs, la DPA française, la CNIL, a été assez active sur l’application du consentement aux cookies – en prenant des mesures sévères contre un certain nombre de géants de la technologie (Amazon, Facebook et Google), en vertu de la directive ePrivacy, qui lui a permis d’imposer des amendes importantes sur pratiques abusives de suivi des cookies – et qui semble avoir forcé (certaines) réformes.
La voie juridique ePrivacy a permis à la CNIL de contourner le mécanisme de guichet unique du GDPR, que les critiques accusent de saper l’application de la réglementation phare du bloc sur la protection des données, en particulier contre les Big Tech, en canalisant (et en engorgeant) les plaintes via une poignée de si -appelés principaux DPA (l’Irlande étant le plus grand) en raison d’une poignée de marchés ayant un grand nombre de géants de la technologie implantés dans la région sur leur sol.
L’approche de noyb consistant à déposer de grands lots de plaintes thématiques GDPR est une autre stratégie pour lutter contre les retards d’application en faisant simultanément une boucle dans les DPA à travers le bloc pour résoudre un problème, en encourageant la coordination, le travail conjoint et (il l’espère) un pipeline de décisions qui défendent les citoyens européens ‘ droits.