Décision de l’Oberlandesgericht de Cologne, du 19 janvier 2024, OLG Köln – 6 U 80/​23

Décision

La requé­rante, l’Association de protec­tion des consom­ma­teurs de Rhénanie-du-Nord-Westphalie (Verbraucherzentrale NRW) intente une action en justice contre WetterOnline Meteorologische Services GmbH (WetterOnline). Elle requiert que WetterOnline cesse d’utiliser sur son site Internet des bannières de cookies recueillant le consen­te­ment des utili­sa­teurs pour des cookies non essen­tiels et ceci sans qu’il n’y ait d’option de refus dès la première couche (« layer ») de la bannière.

En effet, les utili­sa­teurs ne peuvent expri­mer leur refus qu’en cliquant sur le bouton « Paramètres », menant à une deuxième couche où se trouvent les boutons « Accepter tout » ou « Enregistrer ». La bannière comporte égale­ment un bouton « Accepter et fermer X » en haut à droite, à la fois sur le premier et le second niveau de la bannière.

Lors de son examen, le Tribunal régio­nal supé­rieur de Cologne (Oberlandesgericht Köln, OLG Köln) estime que la concep­tion de la bannière par le respon­sable du trai­te­ment est défaillante. WetterOnline ne propose pas d’op­tion de rejet équi­va­lente à l’ac­cep­ta­tion, ni au premier ni au second niveau de la bannière.

L’OLG consi­dère égale­ment que l’uti­li­sa­teur moyen ne peut pas comprendre intui­ti­ve­ment que le bouton « Enregistrer » équi­vaut à un refus de l’uti­li­sa­tion de cookies non essen­tiels. Par consé­quent, le tribu­nal retient que le consen­te­ment obtenu ne peut pas être consi­déré comme libre­ment donné ni suffi­sam­ment éclairé, tel que requis par l’art. 4 al. 11 RGPD.

Pour rappel, le « consen­te­ment » de la personne concer­née, tel que défini à l’art. 4 al. 11 RGPD, équi­vaut à :

« toute mani­fes­ta­tion de volonté, libre, spéci­fique, éclai­rée et univoque par laquelle la personne concer­née accepte, par une décla­ra­tion ou par un acte posi­tif clair, que des données à carac­tère person­nel la concer­nant fassent l’ob­jet d’un traitement ».

En ce qui concerne le bouton « Accepter et fermer X », l’OLG a par ailleurs estimé que le symbole « X » est géné­ra­le­ment perçu par les utili­sa­teurs comme une fonc­tion de ferme­ture de fenêtre, et non pas comme une indi­ca­tion de consen­te­ment à l’uti­li­sa­tion de cookies. Selon le tribu­nal, l’uti­li­sa­teur moyen n’est pas en mesure de comprendre qu’en cliquant sur ce bouton, il donne son consen­te­ment à l’ins­tal­la­tion de cookies, même si le texte « Accepter et fermer » est accolé au symbole « X ».

L’OLG ajoute qu’il n’est pas évident pour les utili­sa­teurs de recon­naître que ce bouton et le symbole « X » font partie d’une seule et même action, ce qui rend l’in­ten­tion peu claire et ambi­guë, en viola­tion des exigences de clarté au sens de l’art. 4 al. 11 RGPD.

Arrivant au constat de non-confor­mité, l’OLG de Cologne ordonne fina­le­ment au respon­sable du trai­te­ment de cesser l’utilisation de cette concep­tion de bannière de cookies et d’adop­ter un modèle offrant une option de rejet claire et équi­va­lente à l’op­tion d’ac­cep­ta­tion, afin de respec­ter plei­ne­ment les exigences du RGPD.

En droit européen
Cette affaire concer­nant des bannières de cookies illustre de manière topique le concept de « dark patterns » (cf. swiss​pri​vacy​.law/​316). A ce titre, l’association de protec­tion de la vie privée et des données noyb a synthé­tisé les posi­tions adop­tées par les auto­ri­tés natio­nales et les conclu­sions adop­tées par la task­force du CEPD (cf. rapport « Consent Banner Report Overview of EU and natio­nal guide­lines on dark patterns »).

Elle iden­ti­fie huit pratiques spéci­fiques démon­trant que le consen­te­ment de l’utilisateur est vicié. Au moins deux d’entre elles pour­raient entrer en ligne de compte dans le cas d’espèce ; celle de « l’absence de bouton de rejet sur la première couche d’information » ainsi que celle de « la concep­tion trom­peuse de liens ». Nous l’avons en effet vu plus haut, le site de WetterOnline ne propose pas d’op­tion de rejet équi­va­lente à l’ac­cep­ta­tion, ni au premier ni au second niveau de la bannière.

Bien que le symbole « X » soit accolé au texte « Accepter et fermer », il est perçu par les utili­sa­teurs unique­ment comme une fonc­tion de ferme­ture de fenêtre, non comme une indi­ca­tion sur le consen­te­ment à l’uti­li­sa­tion de cookies. Ainsi, l’utilisateur est poussé à croire qu’il n’y a pas d’autre option que de « tout accepter ».

En droit suisse

A titre de compa­rai­son, en droit suisse, le consen­te­ment libre et éclairé de la personne concer­née est régi par l’art. 6 al. 6 LPD. Dans une pers­pec­tive plus large, la LPD, du fait de sa neutra­lité tech­no­lo­gique, prend en compte les dark patterns.

Plusieurs prin­cipes, outre celui du consen­te­ment évoqué par l’OLG, peuvent être touchés, voire violés en l’absence de motifs justi­fi­ca­tifs (prin­ci­pa­le­ment des inté­rêts privés prépon­dé­rants du four­nis­seur art. 31 LPD). Il s’agit de la mini­mi­sa­tion des données (art. 6 al. 2 LPD), de la trans­pa­rence ainsi que de la bonne foi (art. 6 al. 2 et 3 LPD), de fina­lité (art. 6 al. 3 LPD) et du devoir d’information du respon­sable de trai­te­ment (art. 19 LPD).

Par ailleurs, le Conseil fédé­ral a adopté le 14 juin 2014 un rapport défi­nis­sant la nébu­leuse qu’étaient les « Dark patterns ». Pour rappel, il en ressort cinq carac­té­ris­tiques, Il s’agit (i.) d’une concep­tion numé­rique, (ii.) qui exploite des connais­sances issues de la psycho­lo­gie compor­te­men­tale, (iii.) à desti­na­tion de personnes physiques, indé­pen­dam­ment des motifs de leurs actions, et ce (iv.) au béné­fice du four­nis­seur, lequel exploite ainsi son pouvoir de concep­tion à son propre avan­tage (v.) (cf. swiss​pri​vacy​.law/​316).

Ces exigences paraissent in casu remplies, en parti­cu­lier « l’exploitation des connais­sances issues de la psycho­lo­gie compor­te­men­tale ». En outre, dans le cas d’espèce, l’utilisateur moyen, croyant simple­ment quit­ter la page en cliquant sur le signe « X » clique en réalité sur « Accepter et fermer X ».

D’après la liste exem­pla­tive donnée par le Conseil fédé­ral, cela semble corres­pondre à une « formu­la­tion ambi­guë suscep­tible de prêter à confu­sion ». L’utilisateur se retrouve ainsi à prendre une déci­sion « ne reflé­tant pas sa véri­table inten­tion et pouvant avoir des consé­quences néga­tives pour lui », puisqu’il ne souhaite pas forcé­ment accep­ter les cookies non-essentiels.

En d’autres termes, le fait que le signe « X » soit direc­te­ment précédé d’une accep­ta­tion va dans un sens contraire à celui habi­tuel­le­ment admis ; le « X » étant commu­né­ment compris comme le moyen de quit­ter une page Internet plutôt que comme une manière d’accepter une demande quelconque.

Pour conclure, en Suisse, dans le cas d’espèce et au vu du rapport, l’on pour­rait abou­tir à un résul­tat de viola­tion analogue au constat de l’OLG.