Dans le rapport que la Cnil et ses homologues européens ont adopté le 18 janvier pour harmoniser leur manière d'instruire les plaintes au sujet des bannières de consentement aux cookies, un point majeur peut prêter à confusion : le refus des cookies doit être systématiquement proposé chaque fois qu'il y a le bouton accepter. Mais faudra-t-il employer le terme "tout refuser" ?

De nombreux sites ne proposent pas de bouton "refuser" aux côtés du bouton "accepter" mais plutôt "continuer sans accepter" ou encore "paramétrer vos choix". Est-ce suffisant pour rester conforme à l'interprétation des Cnil européennes ? Dans le premier cas oui, même si les spécialistes divergent un peu sur la forme. Dans le second, non.

"Continuer sans accepter"

"La Cnil a toujours expliqué que c'est à l'éditeur du site de choisir le vocabulaire et le visuel qui lui semble le plus approprié, à condition que le choix offert à l'utilisateur soit clair. La Cnil n'a donc jamais imposé la formulation 'tout refuser'", explique Sébastien Gantou, CEO de Digital DPO. "Continuer sans accepter, c'est une forme de refus, même si la formulation est moins explicite que 'tout refuser'", soutient également Valérie Chavanne, fondatrice de LegalUp consulting. "Cette formulation d'opt-out peut se défendre comme étant en phase avec les recommandations des Cnil européennes, à condition cependant que le responsable du traitement accorde à l'option 'continuer sans accepter' le même niveau de priorité dans le design graphique que le bouton 'accepter'", poursuit-elle.

En pratique, nombreux sont les publishers qui n'offrent pas nécessairement le même traitement graphique à ces deux options, le bouton "continuer sans accepter" étant souvent affiché de manière plus discrète, par exemple en haut de la fenêtre, alors que l'option "tout accepter" apparaît dans un pavé de couleur, ce qui la met davantage en valeur. Sébastien Gantou rappelle que l'on retrouve ce type de visuel dans les recommandations que la Cnil a publiées dans une délibération datant du 17 septembre 2020. "Le bouton 'tout accepter' en bas à droite avec en haut 'continuer sans accepter' est une ergonomie proposée par la Cnil depuis 2020 et le rapport des Cnil européennes ne contredit pas cette recommandation", précise-t-il.

Dans cette délibération, il est de fait écrit textuellement page 10 sous une figure qui représente ce type de schéma que "l'utilisateur peut cliquer sur 'continuer sans accepter' pour exprimer son refus au dépôt et à la lecture de traceurs". Valérie Chavanne recommande cependant la prudence tant que ces questionnements sur le fond et sur la forme n'auront pas été tranchés lors des prochaines décisions des autorités européennes sur la base de ce rapport. "Pour s'assurer d'être irréprochable, le support, en qualité de responsable de traitement, a fortement intérêt à tout afficher avec le même niveau de priorité graphique et avec des mots simples : l'acceptation, le refus et les options de personnalisation, sans oublier que la politique de confidentialité doit être accessible et permettre aux utilisateurs de faire des choix éclairés." A noter d'ailleurs que le rapport des Cnil européennes renforce la nécessité pour tous les publishers de permettre à l'utilisateur de retirer son consentement avec la même facilité qu'il a eue pour le donner.

"Paramétrer mes choix"

La même analyse ne s'applique cependant pas à l'option "Paramétrer mes choix" quand celle-ci est donnée comme seule alternative à l'acceptation des cookies, ce qui est une pratique encore très courante. "Le support, en qualité de responsable de traitement, qui offre à l'utilisateur comme seule alternative à l'acceptation des cookies le paramétrage de ses choix s'expose à des risques car les autorités de contrôle ont clairement indiqué que l'option 'refuser' doit être systématiquement proposée", analyse Valérie Chavanne. "Paramétrer mes choix, c'est choisir spécifiquement dans les détails, accepter ou refuser certaines finalités dans un ensemble qu'on me propose en deuxième niveau. Or, il doit être aussi simple pour l'utilisateur de refuser que d'accepter. Devoir paramétrer ses choix au deuxième niveau pour refuser complexifie les choses. Le publisher offrant uniquement cette alternative à l'option 'accepter' au premier niveau s'expose à des risques de non-conformité avec la législation", confirme Sébastien Gantou.

S'il ne se prononce pas sur le "continuer sans accepter", le rapport des Cnil européennes semble en effet clair sur le fait que proposer un bouton permettant à accéder à d'autres options de paramétrage ne suffit pas : dans ce cas "l'absence de l'option refus/rejet avec un bouton de consentement ne répond pas aux conditions d'un consentement valable et constitue donc une contrefaçon", peut-on lire dans le rapport.