7 dark patterns dans les cookie banners : effets et risques juridiques

Dark pattern 1 : cases pré-cochées pour les visiteurs

Statut : c'est non conforme au RGPD.

Description : Les cookies essentiels sont autorisés et peuvent être sélectionnés. Il peut être tentant de pré-cocher également d'autres catégories. Cela entraînerait probablement davantage de visiteurs consentant aux cookies fonctionnels, nécessaires pour de nombreuses fonctionnalités d'un site web moderne. Avec la combinaison des boutons « Tout accepter » et « Enregistrer les paramètres », les visiteurs pourraient facilement donner leur consentement. Mais rappelle-toi : cette pratique n'est pas autorisée dans l'UE.

Dark pattern 2 : cookies mal classifiés

Statut : c'est non conforme au RGPD.

Description :

Si la première astuce avec les cases pré-cochées ne fonctionne pas, pourquoi ne pas déclarer certaines fonctionnalités comme essentielles ? Évidemment, ce n'est pas autorisé.

Le gros problème avec les cookies essentiels, c'est que très, très peu sont réellement autorisés.

• Analytics ? Non. Pas essentiel. Ton Google Analytics doit rester dehors.
• Les vidéos ? Haha. Non, surtout pas avec les hébergeurs vidéo populaires des États-Unis. (Pas non plus avec leur option « sans cookies » ou « moins de tracking »)
• Tout ce qui touche à la pub ? Le Meta ou Google Pixel ? Euh, non. Évidemment pas.
• Ton CRM ? Clairement… pas essentiel.

… et malheureusement, la liste continue.

Dark pattern 3 : pas d'option de refus sur le premier écran

Statut : c'est non conforme au RGPD.

Description : on voit souvent des cookie banners où l'option de refuser tous les cookies n'est pas immédiatement disponible. Elle est cachée derrière un bouton « paramètres » ou similaire. Cela augmente considérablement le taux d'opt-out, car moins de visiteurs sont prêts à naviguer dans un processus aussi fastidieux. Point important : l'option de refus doit être aussi facile d'accès que l'option d'acceptation, ce qui signifie qu'elle doit être visible dès le premier écran.

Dark pattern 4 : rendre le bouton de refus discret et le cacher

Statut : c'est non conforme au RGPD.

Description : Si l'option de refus doit figurer sur le premier écran, certains pourraient essayer de la rendre si discrète qu'elle passe presque inaperçue. Les visiteurs ne veulent généralement pas passer beaucoup de temps à examiner un banner et choisiront souvent l'un des boutons les plus visibles. Un tel design peut augmenter le taux d'acceptation des cookies. Cependant, ce n'est pas autorisé : comme expliqué dans le dark pattern 3, l'option de refus doit être aussi accessible et visible que l'option d'acceptation.

Dark pattern 5 : rendre le bouton de refus moins visible

Statut : Acceptable dans certains pays de l'UE.

Description : entre-t-on dans une zone grise où une certaine manipulation serait permise ? Eh bien, en quelque sorte. En suivant la logique actuelle, l'étape suivante concerne le design des deux boutons : Accepter et Refuser. C'est marginalement acceptable dans certains pays de l'UE. Consulte notre source en fin d'article pour plus de détails.

Dark pattern 6 : réafficher le cookie banner aux visiteurs ayant refusé

Statut : acceptable dans certains pays de l'UE.

Description :

Ne pas enregistrer le refus d'un visiteur peut être une stratégie. Si les visiteurs reviennent régulièrement, ils finiront peut-être par être suffisamment agacés pour accepter. Ce processus de sollicitation répétée est connu sous le nom de « nudging ».

Bien sûr, stocker la réponse dans un cookie banner fait partie des technologies essentielles, c'est donc autorisé et il n'y a aucune raison de ne pas le faire. Cependant, ce n'est pas très agréable pour tes visiteurs d'être importunés à chaque visite sur ton site, n'est-ce pas ?

Dark pattern 7 : cookie banner « sticky » avec consentement implicite à l'utilisation

Statut : tu l'as deviné… pas acceptable.

Description :

C'est une tactique observée depuis longtemps. Un banner qui reste collé en bas de la page (« sticky ») indique parfois que la poursuite de la navigation sur le site vaut consentement.

Deux points importants à retenir : le consentement automatique n'est pas acceptable. Un banner sticky en lui-même ne viole pas nécessairement le Règlement Général sur la Protection des Données (RGPD). Cependant, il est crucial qu'aucune interaction avec le banner ne soit interprétée comme un refus. Tu dois t'assurer que rien n'est chargé avant que les visiteurs n'acceptent. Pas de Google Analytics avant ça, pas de YouTube… En général, un tel banner entraîne un taux de refus beaucoup plus élevé, car la plupart des visiteurs l'ignorent tout simplement.

Exemple : comment concevoir un cookie banner en pratique

Le message clé pour la conception des cookie banners est simple : toute pression sur les visiteurs pour obtenir leur consentement est inacceptable.

Une « bonne pratique » pour les cookie banners a été développée par ConPolicy en collaboration avec des organisations comme CookieFirst, Access Now, Telefonica et le BMUV. Les détails de cette initiative sont disponibles ici (en allemand).

Ce qu'il te faut :

• Options équivalentes : il doit y avoir une option simple pour accepter tous les cookies ainsi que pour tous les refuser.
• Consentement personnalisable : une option de personnalisation du consentement doit être proposée. Elle peut figurer sur le premier écran, mais ce n'est pas obligatoire.
• Fermer = Refuser : si une option de fermeture du banner est proposée, elle doit être équivalente à « tout refuser ».

Détails et sources complémentaires

Nous nous référons souvent au rapport de l'été 2024, « noyb's Consent Banner Report: How authorities actually decide » que tu peux consulter ici. Ce rapport illustre comment les autorités prennent leurs décisions. Il est toutefois toujours recommandé de discuter de l'option choisie avec des experts en protection des données pour garantir la conformité.

Le meilleur design de cookie banner : pas de cookie banner du tout

Oui, c'est parfois difficile à mettre en œuvre, mais personne ne t'oblige à avoir un cookie banner. La clé, c'est d'utiliser des outils sans cookie et ne nécessitant pas de consentement.

Il existe des alternatives pour de nombreux services qui ne nécessitent pas de consentement RGPD. Elles sont conçues pour ne pas utiliser les données personnelles de tes visiteurs.

Exemple :

• Pour les vidéos. Eh oui, nous ! Ignite est privacy-first et ne nécessite aucun consentement, ce qui en fait une excellente alternative à YouTube, Vimeo, Wistia, etc.
• Une alternative à Google Analytics pourrait être Plausible ou SimpleAnalytics.
• Une alternative au ReCaptcha de Google est Friendly Captcha. Etc.

Dès que tu utilises un service nécessitant un consentement, tu auras de nouveau besoin du cookie banner. Mais cela ne doit pas t'empêcher de remplacer tes fournisseurs, car ces outils fonctionnent alors pour tous les visiteurs, pas seulement ceux qui consentent.

Avec les vidéos en particulier, cet effet est très perceptible. Tu as investi beaucoup d'argent dans la production de tes vidéos ; les cacher derrière des solutions en 2 clics n'a aucun sens. Plus de personnes voient réellement tes vidéos, mieux c'est.