Le groupe européen de défense de la vie privée, noyb, a lancé un deuxième lot de plaintes de consentement aux cookies (270 au total) – ciblant les sites Web de la région qui, selon lui, ne demandent pas correctement le consentement des utilisateurs à être suivis pour le ciblage publicitaire.
Le problème réside dans les popups de consentement qui ne contiennent pas de choix clair et/ou utilisent des schémas sombres illégaux pour inciter les consommateurs à « accepter » d’être suivis et profilés afin que l’éditeur puisse gagner de l’argent en vendant leur attention.
Le contre-message de noyb est simple : Réformez vos pop-ups de cookies trompeurs – ou faites face à la menace d’une application formelle.
Si les sites Web recevant les projets de plainte de noyb ne corrigent pas les bannières de cookies non conformes qui leur sont signalées, il indique qu’il déposera des plaintes officielles auprès des autorités européennes de protection des données – auquel cas les éditeurs contrevenants risquent des amendes pouvant aller jusqu’à 20 millions d’euros en vertu des données régionales la loi sur la protection des données (c’est-à-dire si les autorités de protection des données confirment ultérieurement une violation et décident qu’une amende est justifiée).
La dernière décision de noyb sur les bannières de cookies manipulatrices fait suite à une première vague de 560 plaintes envoyées aux sites l’année dernière – axées sur les utilisateurs de la plate-forme de gestion du consentement OneTrust – une action qui, selon elle, a entraîné un changement substantiel, avec près de la moitié (42%) de toutes les violations il a identifié qu’il devait être corrigé dans les 30 jours (le noyb donne aux sites 60 jours pour apporter les modifications recommandées avant de déposer une plainte officielle).
Compte tenu de l’ampleur effrénée des violations du consentement aux cookies dans l’UE, cela ressemble à un taux de réussite impressionnant. Mais, clairement, il y a encore beaucoup trop de fausses bannières de cookies. Donc noyb ne met pas encore fin à la campagne.
Le fondateur de noyb, Max Schrems, a expliqué que ce lot est une action de deuxième étape liée à la liste initiale de 5 000 sites Web identifiée l’année dernière.
« Nous avons une liste d’environ 5 000 sites Web. Nous sommes passés par les 500 premiers environ la dernière fois, c’est le reste qui était assez grand pour être pertinent qui utilise OneTrust comme CMP [Consent Management Platform] », a-t-il déclaré à TechCrunch. « Ensuite, nous passerons à d’autres CMP. »
noyb a utilisé l’automatisation pour mettre à l’échelle cette campagne « WeComply » – en développant un outil qui analyse automatiquement les flux de consentement pour identifier les problèmes de conformité avec la façon dont les choix sont présentés aux utilisateurs (comme l’absence d’opt-out offert au niveau supérieur ; ou la coloration déroutante des boutons ; fausses options d’« intérêt légitime », etc.). Sa plate-forme crée ensuite automatiquement un projet de rapport qui peut être envoyé par courrier électronique à un site incriminé après avoir été examiné par un membre du personnel juridique de noyb.
Cette approche intelligente a permis à une petite organisation à but non lucratif d’envisager de déposer jusqu’à 10 000 plaintes de consentement aux cookies – et, grâce à cette action de masse, de lutter contre la violation systématique des règles par le secteur des publicités de suivi, dont même certains des plus grands réseaux régionaux de protection des données. les autorités n’ont toujours pas touché (salut ICO !).
Alors que la stratégie de noyb ici, consistant à s’attaquer aux violations systémiques de la loi à l’extrémité éditeurs de la chaîne adtech, a conduit à une première vague de réformes des bannières de cookies, son action a également mis en évidence l’intransigeance systémique : il dit que la grande majorité des entreprises (82 %) contacté lors de la première vague ne s’est pas pleinement conformé — il a donc déposé 456 plaintes auprès de 20 autorités de protection des données différentes dans l’UE.
Et par conséquent, il dépose également un autre lot de plaintes maintenant.
« Malgré quelques améliorations dans la conception des bannières, davantage de travail sera nécessaire pour redresser également les entreprises persistantes non conformes », a déclaré Ala Krinickytė, avocat chargé de la protection des données chez noyb, dans un communiqué.
En plus de l’action directe de noyb pour inciter les éditeurs à se conformer, le comité européen de la protection des données (EDPB) a par la suite annoncé un groupe de travail spécial pour coordonner les réponses aux plaintes officielles – et noyb dit que maintenant « la plupart » des DPA ont confirmé la réception de ces plaintes.
Et bien que les décisions sur les plaintes ne soient généralement pas encore rendues, il est clair que sur les questions de consentement aux cookies, le train de l’application est en train de démarrer. D’où notre avertissement l’année dernière que le calcul du consentement aux cookies en Europe approche.
Au cours des derniers mois, nous avons déjà vu des décisions majeures sur les cookies, telles que la CNIL française infligeant une amende à Google et Facebook pour la conception de motifs sombres intégrés à leurs bannières de cookies en janvier ; et la décision du contrôleur européen de la protection des données, également au début de l’année, reprochant au Parlement européen de donner un consentement confus et trompeur aux cookies.
La France a également infligé à Google et Amazon de lourdes amendes en décembre 2020 pour avoir déposé automatiquement des cookies de suivi – c’est-à-dire sans même une feuille de vigne pantomime de consentement.
(Et même la commissaire à l’information britannique sortante a averti l’industrie de la technologie publicitaire que la fin du suivi était proche l’automne dernier, alors qu’elle partait pour le secteur privé.)
Alors que l’application du règlement général sur la protection des données (RGPD) de l’UE a conduit à l’acheminement de nombreuses plaintes transfrontalières via la DPA irlandaise, créant un goulot d’étranglement notoire qui a entravé l’application du RGPD – la France a été en mesure de prendre l’initiative contre les géants de la technologie sur cette question particulière étant donné que le consentement aux cookies relève de l’ancienne directive ePrivacy, qui n’exige pas que les plaintes contre les opérateurs transfrontaliers soient transmises à un contrôleur de données « principal ».
ePrivacy signifie également que des plaintes sur les cookies peuvent être déposées contre des éditeurs en relation avec leurs activités dans les États membres de l’UE – de sorte que les centaines de plaintes de consentement aux cookies de noyb sont réparties entre plusieurs autorités de protection des données, et non sauvegardées sur le bureau d’une ou deux.
Une telle action stratégique – de la part de noyb et de la CNIL française – donne une idée de ce à quoi peut ressembler une application décentralisée fonctionnelle (c’est-à-dire active) de la protection des données de l’UE (littéralement : des amendes majeures pour les géants de la technologie et ordonnances de réforme obligatoires pour violation des règles systémiques ); et ce que cela peut apporter aux gens et au Web au sens large (moins de schémas sombres, moins de clics fastidieux, une meilleure protection des informations… et un élan de réforme qui oblige les géants de la technologie publicitaire comme Google à se demander comment repenser l’ensemble du ciblage ).
noyb a rassemblé une galerie de captures d’écran avant et après de certaines des bannières de cookies que sa campagne a ciblées avec succès jusqu’à présent – ce qui montre principalement que les sites n’avaient pas d’option claire « rejeter tout » au niveau supérieur (c’est-à-dire équivalente au bouton « accepter tout » ); et qu’à la suite de sa campagne, ce sous-ensemble d’éditeurs a décidé d’offrir à ses utilisateurs un choix clair de se désabonner du suivi.
Vous voyez – ce n’était pas si difficile, n’est-ce pas ?
noyb souligne également ce qu’il qualifie d’effet de « débordement », affirmant qu’il a remarqué que certains sites Web qu’il n’avait pas ciblés lors de la première vague de plaintes ont néanmoins amélioré leurs bannières de cookies, probablement en raison de la sensibilisation croissante de l’industrie à ce problème.
« De nombreux sites Web que nous n’avons pas encore contactés ont rapidement amélioré leurs paramètres, une fois que nous avons commencé à déposer des plaintes. Cela signifie que notre approche assurait la conformité au-delà des cas individuels », a ajouté Krinickytė.
L’observation de noyb suggère que l’application active de la protection des données peut avoir un effet galvanisant – au moins sur les entités en contact avec les clients comme les éditeurs – ce qui pourrait contribuer à déclencher une réforme plus large des «normes» dysfonctionnelles de l’industrie adtech.
Après tout, les éditeurs ont un risque de réputation à prendre en compte – donc si suffisamment de sites abandonnent les défauts nuisibles, cela pourrait créer une dynamique pour une rupture massive avec la pression compensatoire de l’industrie du suivi pour saisir les données des gens, indépendamment de ce qu’ils disent lorsqu’ils signalent leurs « choix de confidentialité ».
Il est également tout à fait clair qu’un manque historique d’application de la loi sur la protection des données a eu l’effet inverse – permettant un suivi généralisé et sans consentement des internautes et toute une industrie obscure de courtiers en données, d ‘«enrichisseurs» et de commerçants à grandir dans l’ombre comme un weed – et ce n’est que maintenant, des années après que les pouvoirs de longue date de l’UE en matière de protection des données ont été renforcés par le RGPD (et, surtout, le potentiel d’application a été renforcé en habilitant des groupes de la société civile comme noyb à aider à défendre les droits des individus), que nous commençons pour voir les premières pousses vertes d’une véritable réforme de la vie privée.
Les plates-formes de gestion du consentement (CMP) ont depuis trop longtemps été appropriées comme un outil stratégique par l’industrie adtech pour voler systématiquement le consentement – comme le souligne la récente DPA belge qui a constaté que le « Transparency and Consent Framework » de l’IAB Europe enfreignait le RGPD.
Il est également intéressant de considérer combien d’éditeurs individuels ont pu se sentir poussés et/ou protégés pour configurer des défauts illégaux dans leurs bannières de cookies exactement à cause de l’anarchie systémique de l’industrie du suivi qui reste impunie depuis si longtemps.
Beaucoup ont peut-être simplement défini le type de «consentement» par défaut qu’ils ont vu tout autour d’eux en ligne – s’alignant sur une «norme» en forme d’adtech sans se rendre compte à quel point c’était dysfonctionnel et, euh, illégal.
C’est ce qui rend la campagne de cookies de noyb si puissante : si elle génère suffisamment d’élan, l’ensemble de l’industrie pourrait basculer dans un nouvel alignement – où la qualité du service, et non les schémas sombres manipulateurs, est la sauce secrète dont vous avez besoin pour gagner la confiance des consommateurs pour fournir leurs informations.
En attendant, noyb étendra encore sa campagne WeComply pour purger le Web des bannières de cookies trompeuses – en continuant à déposer plus de plaintes (jusqu’à son objectif de 10 000) ; y compris, comme le note Schrems, en étendant la portée de la campagne aux pages qui utilisent d’autres CMP que son logiciel n’est pas actuellement configuré pour détecter (comme TrustArc, Cookiebot, Usercentrics, Quantcast, etc.).
Et si vous pensez toujours que devoir cliquer sur un bouton « tout rejeter » ou « tout accepter » sur chaque site Web que vous visitez est beaucoup trop fastidieux, noyb a déjà suggéré une solution technique pour cela : un contrôle avancé au niveau du navigateur pour exprimer les choix configurés par l’utilisateur. . Il suffit que les législateurs de l’UE prennent le relais et rendent ces signaux clairement juridiquement contraignants (le RGPD autorise déjà les signaux automatisés du navigateur exprimant des choix de consentement ; mais la réforme d’ePrivacy, où un tel mécanisme pourrait être explicitement défini, reste bloquée) .
Cela rend une fois de plus la clé d’une vaste réforme de l’industrie ; les législateurs sont toujours plus à l’aise pour pousser les changements pro-consommateurs s’ils n’ont pas des milliers d’entreprises qui leur crient dessus pour faire le contraire.