Dans une décision récente, la Cour administrative autrichienne a pris position de manière détaillée sur la conception des bannières de cookies. Le tribunal précise que les exigences en matière de protection des données pour les bannières de cookies doivent être strictement respectées et qu'il n'y a pas de marge pour des exceptions. L'acceptation ou le refus des cookies doit être possible de manière équivalente.
L'autorité de protection des données intervient pour une bannière de cookie
Par décision du 14 décembre 2023, l'autorité de protection des données a demandé à o GmbH & Co KG d'adapter sa bannière de cookies. L'autorité de contrôle était intervenue suite à une plainte pour violation de la vie privée déposée par une personne concernée. L'autorité a constaté que la bannière de cookies existante de o GmbH & Co KG ne répondait pas aux exigences du RGPD. Concrètement, l'autorité a critiqué le fait qu'au premier niveau de la bannière des cookies, les utilisateurs n'avaient que la possibilité d'accepter les cookies ou de cliquer sur le bouton "Afficher les fins". En revanche, l'option de refuser directement les cookies n'était accessible qu'au deuxième niveau de la bannière, après plusieurs clics.
En outre, l'autorité de protection des données a constaté que le bandeau des cookies favorisait fortement l'option d'acceptation des cookies sur le plan visuel. Le bouton d'acceptation était bien visible, tandis que l'option de ne pas accepter les cookies l'était nettement moins. Selon l'autorité, cette présentation constituait une violation du RGPD, car, conformément à l'article 7, paragraphe 3, du RGPD, le retrait d'un consentement doit être aussi simple que son octroi.
o GmbH & Co KG a introduit un recours contre cette décision, qui a été rejeté par le Bundesverwaltungsgericht (Cour administrative fédérale). Par la suite, o GmbH & Co KG a déposé un recours auprès de la Cour administrative. Celle-ci a décidé que l'autorité de protection des données avait agi correctement et a rejeté la révision.
Refuser les cookies est plus difficile que les accepter
La Cour administrative d'appel (Verwaltungsgerichtshof - VwGH) a constaté dans le cas présent que la conception de la bannière des cookies de la société o GmbH & Co KG ne répondait pas aux exigences légales du RGPD. Concrètement, il était reproché que le refus des cookies était incomparablement plus difficile pour les utilisateurs que leur acceptation.
La bannière des cookies de o GmbH & Co KG ne proposait que deux options au premier niveau : un bouton "Accepter" placé bien en vue et surligné en couleur et un lien moins visible intitulé "Afficher les fins". En cliquant sur "Afficher les fins", l'utilisateur accédait au deuxième niveau de la bannière, où le refus des cookies n'était possible qu'après d'autres clics.
Conformément à l'article 7, paragraphe 3, du RGPD, le retrait d'un consentement doit être aussi simple que son octroi. La VwGH a constaté que la conception de la bannière des cookies ne répondait pas à cette exigence. Alors qu'un utilisateur pouvait accepter les cookies en un seul clic, le refus nécessitait au moins deux clics et était accessible de manière moins intuitive.
Bouton "Accepter" en surbrillance
Outre l'option de refus plus difficile, la VwGH a également critiqué la présentation optique de la bannière des cookies. Un point central de la critique était la présentation optique inégale des options de sélection dans la bannière des cookies. Dans le cas présent, le bouton d'acceptation des cookies était nettement plus proéminent que l'option de refus. Le bouton "Accepter" était mis en évidence par une couleur et se trouvait dans une position voyante au premier niveau de la bannière de cookies. En revanche, l'option de refus n'était intégrée que sous la forme d'un lien discret intitulé "Afficher les fins", qui était visuellement en retrait et moins intuitivement perçu par les utilisateurs.
La VwGH a souligné qu'une telle conception limitait la liberté de décision des utilisateurs et ne répondait pas aux exigences du RGPD. Selon l'article 7, paragraphe 3 du RGPD, le retrait d'un consentement doit être aussi simple que son octroi. Cela implique également que les deux options soient proposées de manière visuellement équivalente. En cachant l'option de refus par un élément de design moins visible et plus discret, on a rendu le refus inutilement difficile pour les utilisateurs.
Le tribunal a également souligné que cette présentation inégale ne pouvait pas être justifiée par la référence aux "normes usuelles dans le secteur". Il faudrait plutôt s'assurer que l'utilisateur puisse voir au premier coup d'œil comment il peut refuser ou révoquer son consentement. Le Comité européen de la protection des données (CEPD) recommande également que le premier niveau d'une bannière de cookie comporte toujours un bouton aussi visible et équivalent pour refuser les cookies que pour les accepter.
Pas d'exception pour l'utilisation de cookies
Dans le cadre de la procédure, o GmbH & Co KG a invoqué ce que l'on appelle le privilège des médias en vertu de l'article 9, paragraphe 1, de la DSG. Ce privilège prévoit certaines exceptions aux règles générales de protection des données lorsque des données à caractère personnel sont traitées à des fins journalistiques. L'auteur de la révision a fait valoir que son utilisation des cookies relevait de ce contexte journalistique, étant donné que le site web servait également à transmettre des informations.
La Cour administrative a précisé que le privilège des médias ne s'applique que si le traitement de données en question sert directement à transmettre des informations, des opinions ou des idées au public. Ce faisant, la Cour s'est explicitement référée à la jurisprudence de la Cour de justice des Communautés européennes, qui a établi que les finalités journalistiques existent notamment lorsque le traitement de données à caractère personnel est directement lié à la diffusion d'informations sur des sujets d'intérêt public.
Selon la VwGH, le placement de cookies à des fins de marketing, de publicité et d'analyse ne remplit pas cette condition. L'utilisation de ce type de cookies n'a pas pour objectif de rendre compte de questions d'intérêt public ou de fournir un contenu journalistique. Au contraire, les intérêts économiques et commerciaux des exploitants de sites web sont au premier plan avec de tels cookies. Comme il ne s'agit pas d'activités journalistiques au sens de l'article 9, paragraphe 1 de la LPD, le privilège des médias n'était pas applicable dans ce cas.
Options en dehors de la bannière de cookie insuffisantes
La question de savoir si des mesures alternatives de refus des cookies, proposées en dehors de la bannière de cookies proprement dite, étaient suffisantes pour satisfaire aux exigences du RGPD a également été examinée. L'auteur de la révision a fait valoir que son site web disposait d'un lien bien visible en bas de page qui permettait aux utilisateurs de révoquer leur consentement ultérieurement. Ce lien, intitulé "Paramètres des cookies et révocation", serait accessible à tout moment et constituerait donc un moyen approprié et convivial de garantir la révocation du consentement.
Cette argumentation n'a toutefois pas été jugée suffisante par la VwGH. Une telle possibilité de retrait en aval ne peut être considérée que comme une option complémentaire, et non comme une alternative équivalente au refus immédiat des cookies. Le RGPD exige également des responsables du traitement qu'ils offrent la possibilité de refuser les cookies immédiatement et de manière équivalente à l'acceptation des cookies au premier niveau de la bannière des cookies. Le renvoi à des possibilités de révocation ultérieures ne satisfait pas à cette exigence.
Conseil de lecture : Cookie Consent Management - Consentement sécurisé pour les entreprises
Exigences relatives aux entreprises pour les bannières de cookies
La décision précise que les entreprises doivent concevoir leurs bannières de cookies de manière à ce que le refus des cookies soit aussi simple que leur acceptation. Concrètement, cela signifie qu'un bouton de refus des cookies visuellement équivalent doit être disponible dès le premier niveau de la bannière de cookies.
La seule mise à disposition d'un lien en aval permettant de refuser les cookies dans le pied de page ou dans une structure de menu séparée n'est pas suffisante et va à l'encontre des prescriptions du RGPD.
En outre, l'arrêt indique clairement que la référence à des normes prétendument "usuelles dans le secteur" ne justifie pas des bannières de cookies insuffisantes. Les entreprises doivent activement vérifier si leurs mécanismes de consentement respectent les principes de transparence, de simplicité et d'équivalence.
Le non-respect de ces exigences peut entraîner des sanctions importantes. Les autorités de protection des données ont le pouvoir d'obliger les entreprises à adapter leurs bannières de cookies et d'infliger des amendes en cas de non-respect. Les entreprises seraient donc bien avisées de vérifier leurs bannières de cookies existantes et de s'assurer qu'elles sont conformes aux exigences du RGPD.
Source : Décision de la Cour administrative du 16 janvier 2025 (Ra 2024/04/0424-9)
Vous souhaitez vérifier si votre bannière de cookies est conforme à la législation ? Alors n'hésitez pas à nous contacter - nous vous conseillerons volontiers.
☎️ +49 (228) 926165-100
📧 paris@2b-advice.com
French 
German 
English 
Italian