NOYB : Une seconde vague de plaintes relatives aux cookies est en cours

/ Blog

Il y a quelques jours, l’association NOYB (« None of your business »), présidée par Max Schrems, a envoyé 270 projets de plaintes à des entreprises ne respectant pas la législation sur les bannières de cookies. Cette association autrichienne est si active et si célèbre désormais que ses envois peuvent être vus comme de véritables mises en demeure de se mettre en conformité. Et pour cause, NOYB n’en est pas à son coup d’essai en la matière : près de 500 plaintes avaient été envoyées en mars 2021 par l’association, qui a d’ores et déjà annoncé qu’elle ne s’arrêterait pas là : elle a pour ambition d’auditer près de 10 000 sites en un an.

Sont particulièrement visées par cette nouvelle vague les structures mettant en œuvre des « Dark Patterns », c’est-à-dire des conceptions trompeuses rendant très difficile le refus ou exploitant des automatismes en y attachant l’effet inverse qu’escompté. Résultat ? Les éditeurs peuvent obtenir le « consentement » de la personne concernée alors même que celle-ci n’a pas souhaité accepter le dépôt ou la lecture des cookies sur son terminal. Ce consentement n’étant pas « libre », il ne peut pas être conforme à la réglementation : pourtant, de nombreux éditeurs s’en contentent, ou tentent de contourner les règles.
L’action de NOYB, tout à fait légitime, a pour objectif de d’imposer aux éditeurs de modifier leurs pratiques, et a déjà connu un certain succès en 2021.

La première action a eu des effets positifs


L’association a profité de cette deuxième vague afin de dresser le bilan de la première : « 42 % des violations ont été corrigées dans les 30 jours. Cependant, 82 % des entreprises ne se sont pas entièrement conformées et NOYB a dû déposer un total de 456 plaintes auprès de 20 autorités différentes autorités de protection des données (DPAs) » . « De nombreux sites web qui ont été contactés par NOYB ont déjà adapté leur design à une approche « oui / non ». Il s’agit notamment de Nikon, Domino’s Pizza et Unilever » . NOYB tire donc un bilan très positif de la première action réalisée, même si elle admet qu’il reste un travail important à réaliser.

Statistiques tirées par NOYB des 500 premières pages visitées.


Le bilan tiré par NOYB peut être analysé de deux manières :

  1. Les sociétés visées tentent autant que possible de « passer à travers les mailles du filet », et ne chercheront réellement à respecter la réglementation que dès lors qu’il s’agit d’éviter les sanctions financières mais également des sanctions publiques, qui sont terribles en termes d’image : elles sont très régulièrement relayées par les médias grand public.

  2. Les délégués à la protection des données manquent de légitimité et/ou de moyens, et n’ont pas le temps de réaliser des audits afin de vérifier la conformité de l’intégralité traitements d’un service, par exemple (c’est particulièrement le cas dans les structures importantes). Ainsi, si les problématiques ne sont pas portées à leur attention, elles ne pourront pas être corrigées.

La réalité est probablement un mix de ces deux hypothèses, chaque structure priorisant les actions « RGPD » à mener différemment. Par ailleurs, les sociétés dont le modèle économique est particulièrement dépendant de la collecte de données personnelles feront le maximum afin de pouvoir en collecter le maximum, et procéderont systématiquement à une analyse de risques afin de déterminer la « meilleure solution » à mettre en oeuvre en matière de cookies.

Des outils de contrôle automatisés


Les résultats ont été suffisamment satisfaisants pour l’association NOYB, qui réitère l’opération : il faut dire que vérifier la conformité d’un site web à la réglementation en matière de cookies est très rapide, et est souvent révélateur du niveau de maturité d’une entreprise vis à vis de la réglementation en matière de protection des données personnelles. D’ailleurs, l’association a indiqué avoir développé un système permettant de détecter de manière automatique l’absence de conformité d’une bannière cookie, et générant de manière tout aussi automatique une plainte le cas échéant. Si tel est vraiment le cas, l’ambition affichée de contrôler 10.000 sites en un an est tout à fait plausible.

Les sites sont de véritables vitrines pour une société. En conséquence, nous recommandons fortement aux DPOs d’y prêter une attention toute particulière, aussi bien à la réglementation en matière de cookies qu’à l’intégralité des mentions obligatoires (mention d’information RGPD, mentions LCEN, CGU, …) : leur absence ou une rédaction maladroite sont très souvent le signe d’inconformités, et vont très souvent détourner les clients potentiels qui ne vont pas avoir confiance dans le service proposé.

Retour en haut