Seul un site Web européen sur dix respecte le GDPR, le Règlement général sur la protection des données, selon une étude du MIT, de l’UCL et de l’Aarhus Universiteit.

Le GDPR ? Superbement négligé ! 10 000 sites Web passées en revue pour constater que seuls 11,8 % d’entre eux respectent les exigences minimales de la législation européenne.

Cases pré-cochées, bouton «refuser» enfoui sous des couches de réglages… Les sites internet usent de nombreux stratagèmes pour obtenir le consentement des internautes. Cela permet à leurs éditeurs de proposer des publicités ciblées aux annonceurs. Et donc de bien se rémunérer.

Selon une étude réalisée par des chercheurs du MIT, de l’UCL et de l’Aarhus Universiteit, 88,2 % des sites internet violent le GDPR. Leurs propriétaires incitent les utilisateurs à accepter la collecte de leurs informations personnelles, ces fameux cookies.

Cases pré-cochées…

Seule la moitié des sites proposent l’option de se soustraire à la collecte en un clic à l’aide d’un bouton «refuser tout». Mais dans 74 % des cas, ce bouton est enfoui dans le formulaire de recueil du consentement. Pour bien faire, il devrait être affiché à côté du bouton qui permet d’accepter le recueil des données. Ce dernier, lui, figure souvent en bonne place et est indiqué de façon visible. Ou pas du tout, quand les créateurs des sites internet considèrent que le simple fait de naviguer dessus vaut consentement. C’est alors, à nouveau, un exemple de violation directe du GDPR, qui n’autorise que certaines exceptions. L’étude l’a vérifié dans 32 % des cas.

Les cases pré-cochées qui nécessitent une action de l’utilisateur pour retirer son consentement sont également une occurrence régulière sur les sites. Les chercheurs en ont trouvé dans 56 % des cas ! Or, elles sont explicitement interdites. Un jugement rendu en octobre 2019 par la Cour de justice de l’Union européenne, saisie par la justice allemande, rappelle que le consentement des utilisateurs doit être «libre, spécifique, éclairé et univoque».

Quand refuser demande bien plus d’efforts que d’accepter…

Dans leur étude, les auteurs n’hésitent pas à montrer du doigt les éditeurs de plateformes de gestion des consentements (CMP). Les plus connus sont  QuantCast, CookieBot et TrustArc. Tous fautifs ! A l’analyse, la grande majorité des plateformes de recueil de consentement font en sorte que refuser la collecte de ses données personnelles demande bien plus d’efforts que d’accepter.

Et d’estimer que l’absence du bouton «ne pas récolter» sur la page d’accueil du site fait monter de 22% le taux de consentement à la récolte des données personnelles. Un gain direct pour les sites internet financés par la publicité, qui peuvent ainsi vendre des réclames ciblées, et donc plus chères, aux annonceurs.