À la suite de plusieurs noyb 2023, l'autorité belge de protection des données a ordonné à quatre grands sites d'information belges de mettre leurs bannières de cookies en conformité avec le GDPR. Plus précisément, De Standaard, Het Nieuwsblad, Het Belang van Limburg et Gazet van Antwerpen doivent ajouter un bouton "rejeter" à la première couche de leurs bannières de cookies. En outre, les sites d'information ont reçu l'ordre de modifier le schéma de couleurs des boutons utilisés, qui est actuellement trompeur. Si le responsable du traitement (Mediahuis) ne se conforme pas à cette obligation, il s'expose à une amende de 50 000 euros par jour et par site web.
Des règlements à l'amiable au lieu d'une mise en application. En juillet 2023, noyb a déposé des plaintes contre 15 sites d'information belges pour avoir utilisé des bannières de cookies trompeuses. Bien que ces entreprises aient déjà fait l'objet d'une enquête du DPA au cours des années précédentes et qu'il ait été établi qu'elles ne respectaient pas le GDPR, il ne leur a jamais été ordonné de modifier leurs bannières de cookies illégales. Au lieu de cela, l'affaire a été clôturée par un "règlement" douteux qui n'était pas prévu par la loi belge. Selon les termes du règlementmediahuis a accepté de payer 10 000 euros, mais n'a jamais reçu l'ordre de mettre ses bannières de cookies en conformité avec la législation européenne sur la protection des données. L'autorité belge de protection des données n'a même pas pris la peine d'expliquer pourquoi les affaires ont été réglées au lieu d'être suivies d'une injonction formelle de mise en conformité.
noyb la DPA n'a même pas pris la peine d'expliquer pourquoi les affaires ont été réglées plutôt que suivies d'un ordre formel de mise en conformité. Avec sa dernière décision, l'autorité belge a finalement fait volte-face sur son approche de non-application : quatre sites web exploités par Mediahuis, à savoir De Standaard, Het Nieuwsblad, Het Belang van Limburg et Gazet van Antwerpen, doivent maintenant mettre leurs bannières de cookies en conformité. En particulier, les sites web ont reçu l'ordre de mettre en place un bouton "rejeter" sur la première couche de la bannière. En outre, l'autorité a constaté que les entreprises avaient utilisé des couleurs de boutons trompeuses pour inciter les utilisateurs à consentir à l'utilisation de cookies. L'autorité a également souligné que le traitement de données à caractère personnel à des fins d'analyse ne peut être considéré comme "strictement nécessaire", ce qui signifie que l'utilisation de cookies analytiques nécessite toujours un consentement.
Maartje de Graaf, avocate spécialisée dans la protection des données à la noyb: "Nous sommes heureux que l'autorité belge de protection des données ne laisse plus les entreprises s'en tirer avec des bannières de cookies trompeuses qui incitent clairement les utilisateurs à cliquer sur le bouton "accepter tout" qui porte atteinte à la vie privée. Cette décision devrait servir d'avertissement à tous les propriétaires de sites web pour qu'ils cessent de dissimuler leur bouton "rejeter tout" dans la deuxième couche de leur bannière de cookies, pour qu'ils cessent d'utiliser des systèmes trompeurs et pour qu'ils demandent toujours le consentement des utilisateurs avant d'installer des cookies à des fins d'analyse."
Une amende potentielle à huit chiffres. Mediahuis et les sites d'information susmentionnés disposent à présent de 45 jours pour se conformer aux ordres de l'autorité de protection des données et mettre leurs bannières de cookies en conformité avec le GDPR. En cas de non-conformité, chaque site web s'expose à une amende de 50 000 euros par jour, soit une amende journalière de 200 000 euros, ce qui pourrait conduire à une amende maximale de 10 000 000 euros.
Le DPA belge fait également volte-face en ce qui concerne les rejets absurdes. Dans une précédente série de plaintes déposées par noybla DPA belge a rejeté des plaintes sur la base de théories étranges concernant des plaignants qui auraient été "forcés". En fait, même lorsque les plaignants ont explicitement déclaré oralement qu'ils souhaitaient être représentés par noybla DPA belge a soutenu que noyb ne pouvait pas valablement représenter des personnes affiliées dans des "cas modèles". Dans cette dernière affaire, la DPA belge semble également avoir fait volte-face, affirmant que dans le cas présent, le noyb-avaient en fait valablement mandaté la société noyb.
Max Schrems, président de noyb: "Nous nous réjouissons que le DPA belge semble faire volte-face sur sa théorie absurde de la représentation. Alors que la première série de cas a été rejetée sur la base de règles d'admissibilité inventées, nous voyons maintenant qu'ils changent leur fusil d'épaule. Du moment que cette discussion inutile est terminée, nous nous en réjouissons."
Mise à jour : dans une affaire similaire contre RTL Belgium, l'autorité belge de protection des données s'est également rangée du côté de noyb. Le contrôleur doit ajouter un bouton "refuser tout" à la première couche de sa bannière de cookies et cesser d'utiliser des couleurs et des contrastes trompeurs. En cas de non-respect de ces obligations, RTL Belgium devra payer une amende de 40 000 euros par jour, avec un maximum de 2 millions d'euros.