Nouvels de cryptographie

Les bannières de cookies sont-elles illégales ?

La publicité basée sur le suivi de Google et d'Amazon est critiquée dans l'UE. Dans une décision historique, la Cour d'appel de Bruxelles invalide les bannières de consentement aux cookies fondées sur le cadre de transparence et de consentement de l'IAB Europe.

Are cookie banners illegal? Google's and Amazon's tracking-based advertising are under fire in the EU.

Le 14 mai 2025, la Cour d'appel de Bruxelles a confirmé la décision de l'Autorité belge de protection des données (APD) du 2 février 2022. L'arrêt stipule que le cadre de transparence et de consentement (TCF) de l'IAB Europe - essentiellement le système derrière les bannières de cookies pour les enchères publicitaires en temps réel - est en violation du GDPR et, par conséquent, illégal dans l'ensemble de l'Union européenne. Mais qu'est-ce que cette décision signifie pour vous et les ennuyeuses bannières de cookies qui vous sautent constamment au visage ? Voyons cela de plus près !

Le module central de ciblage et la bannière de cookies sont illégaux

La norme technique utilisée par les sociétés de publicité pour recueillir le consentement GDPR en ligne est illégale. Les conséquences pourraient être énormes - pour les médias, mais aussi pour les géants de l’industrie tels que Google, Amazon, Microsoft, X, et d’autres.

Décision de l’APD belge

L’autorité belge de protection des données (APD) a décidé - et la Cour d’appel de Bruxelles vient de le confirmer - qu’un mécanisme central pour les bannières de cookies était contraire au règlement général européen sur la protection des données (RGPD). La décision a été prise dans le cadre d’une procédure dite “à guichet unique”. Cela signifie qu’elle s’applique à l’ensemble de l’UE. Cette procédure fait suite à une plainte déposée par le Conseil irlandais pour les libertés civiles et d’autres organisations européennes de défense des droits civils.

Pour en savoir plus sur la décision , cliquez ici.

Un coup dur pour l’industrie des données

Sur la base de cette décision, les bannières de cookies basées sur le TCF sont désormais illégales dans toute l’Europe, car elles enfreignent le GDPR à plusieurs niveaux :

  • Collecte de consentement non valide (article 5, paragraphe 1, point a), et article 6 du GDPR)
  • Manque de transparence (articles 12 à 14 du GDPR)
  • Sécurité insuffisante des données à caractère personnel (article 5, paragraphe 1, point f), articles 25 et 32 du RGPD).

Les annonceurs qui justifient le suivi des cookies par un “intérêt légitime” sont également en infraction avec le GDPR. La Cour a explicitement rejeté l’utilisation de l‘“intérêt légitime” comme base juridique pour les enchères en temps réel (RTB) et les formes similaires de suivi en ligne en raison des risques importants qu’elles présentent pour la vie privée. Par conséquent, les bannières de cookies offrant des options d’intérêt légitime pour le suivi des publicités sont illégales.

M. Johnny Ryan, directeur du service “Enforce” du Conseil irlandais pour les libertés civiles, a déclaré : “La décision rendue aujourd’hui par la Cour est une bonne nouvelle :

“La décision du tribunal d’aujourd’hui montre que le système de consentement utilisé par Google, Amazon, X, Microsoft, trompe des centaines de millions d’Européens. L’industrie technologique a cherché à dissimuler sa vaste violation de données derrière des fenêtres contextuelles de consentement factices. Les entreprises technologiques ont transformé le GDPR en une nuisance quotidienne plutôt qu’en un bouclier pour les gens”.

Comment fonctionnent le consentement aux cookies et la publicité ciblée ?

Le consentement aux cookies

La publicité ciblée sur l’internet fonctionne comme suit (explication simplifiée) : Chaque visite sur un site web utilisant le suivi des cookies pour la publicité ciblée déclenche une vente aux enchères entre les fournisseurs de publicités. Une décision est prise en quelques millisecondes quant aux publicités que l’utilisateur verra en fonction de son profil et d’autres facteurs (= enchères en temps réel).

Enchères en temps réel

Pour que l’enchère en temps réel (RTB) fonctionne, les sociétés de publicité veulent en savoir beaucoup sur la personne qui navigue actuellement sur leur site web : Âge, sexe, centres d’intérêt, sites web visités, lieu de résidence, pouvoir d’achat, etc. Ces données sont utilisées pour afficher l’annonce la mieux adaptée, celle sur laquelle l’utilisateur est le plus susceptible de cliquer.

Lisez ici pourquoi Tuta appelle à l’interdiction totale des publicités ciblées et pourquoi nous pensons que le modèle commercial basé sur la publicité doit disparaître.

Turn ON Privacy in one click.

Le suivi sans consentement ?

Toutefois, en vertu du GDPR, un tel suivi n’est autorisé que si l’utilisateur y consent. Le cadre de transparence et de consentement (TCF) de l’association publicitaire IAB Europe est censé demander ce consentement : Si les utilisateurs cliquent sur “accepter les cookies” ou ne s’opposent pas à l’utilisation de leurs données dans l’intérêt légitime du fournisseur, le TCF génère ce que l’on appelle une chaîne TC. Cet identifiant sert de base à la création de profils individuels. Les profils sont ensuite utilisés pour les mettre en relation avec les publicités à afficher. Ce faisant, la chaîne TC est transmise à des centaines et des centaines de partenaires du système OpenRTB.

L’ensemble du secteur de la publicité (lorsqu’il s’agit de publicités ciblées) repose sur la chaîne TC, ce qui en fait la norme la plus importante de l’écosystème de la publicité en ligne.

Quelle est l’influence de la décision sur le secteur de la publicité ?

Dans une décision historique, l’APD belge a décidé en 2022 - décision confirmée par le tribunal de Bruxelles - que le partage de la chaîne TC avec des centaines de partenaires constituait une violation du règlement général sur la protection des données. Selon l’autorité de contrôle, le système utilisé par les annonceurs pour recueillir le consentement à la publicité ciblée sur Internet n’est pas conforme aux principes de légalité et de loyauté.

Dans sa décision, l’APD belge a infligé une amende de 250 000 euros à l’association publicitaire IAB Europe, qui développe et gère le mécanisme TCF. En outre, l’IAB doit désormais supprimer les données personnelles déjà collectées, ce qui représente une véritable mine d’or pour l’industrie de la publicité. Quelle est la valeur de ces données ? On peut l’estimer en se référant à une décision similaire imposée à Google en 2024, qui a contraint le géant de la technologie à supprimer des données d’utilisateurs collectées illégalement en mode Incognito pour une valeur de 5 milliards de dollars. Mais ce qui est encore plus important, ce sont les conditions que l’APD belge impose au secteur de la publicité pour continuer à utiliser le cadre de transparence et de consentement.

Des milliers d’exploitants de sites web, la quasi-totalité des médias en ligne et de grandes sociétés de publicité telles que Google, Microsoft, Amazon, X et d’autres utilisent ce mécanisme pour transmettre le consentement supposé des utilisateurs au traitement de leurs données à caractère personnel à des fins publicitaires.

Hielke Hijmans, président de la chambre des litiges de l’APD belge, déclare: “Les gens sont invités à donner leur consentement :

“Les gens sont invités à donner leur consentement, alors que la plupart d’entre eux ne savent pas que leurs profils sont vendus un grand nombre de fois par jour afin de les exposer à des publicités personnalisées. Bien qu’elle concerne le TCF, et non l’ensemble du système d’enchères en temps réel, notre décision d’aujourd’hui aura un impact majeur sur la protection des données personnelles des internautes. L’ordre doit être rétabli dans le système TCF afin que les utilisateurs puissent reprendre le contrôle de leurs données.

Même si la décision n’affecte pas directement l’ensemble du système publicitaire sur Internet, elle aura un impact majeur sur la protection des données personnelles des internautes, estime M. Hijmans.

Pourquoi cette décision est-elle importante ?

Les autorités belges chargées de la protection des données estiment que non seulement les profils publicitaires sont des données à caractère personnel, mais que la chaîne TC - utilisée pour les publicités ciblées - doit également être considérée comme une donnée à caractère personnel. Cette chaîne peut être combinée avec l’adresse IP et, par conséquent, rendre tout utilisateur identifiable.

L’arrêt de la Cour a été très clair à ce sujet :

La chaîne TC est une donnée à caractère personnel. Comme l’a confirmé la CJUE dans cette même affaire, cela s’applique, que l’IAB Europe y ait accès ou non”.

Par conséquent, l’IAB Europe viole le GDPR avec le protocole TCF utilisé pour générer les chaînes TC. En outre, le consentement donné par les utilisateurs au suivi des données (cookies) est inefficace car le propriétaire du site web n’a pas d’intérêt légitime suffisant pour demander ce consentement en premier lieu.

Les autorités affirment que l’intérêt légitime des utilisateurs l’emporte sur celui des sociétés de publicité, en raison du risque élevé associé au suivi de la publicité par enchères en temps réel.

En outre, les informations fournies aux utilisateurs lorsqu’ils donnent leur consentement étaient trop générales et vagues pour qu’ils puissent comprendre la nature et la portée du traitement de leurs données, en particulier compte tenu de la complexité de la publicité basée sur le suivi.

Les bannières à base de cookies sont-elles illégales ?

La principale question qui découle de cette discussion sur les détails juridiques du suivi est donc la suivante : les bannières de cookies sont-elles illégales ? Les bannières de cookies sont-elles illégales? Comme pour la question de savoir si Google Analytics est illégal dans l’UE, la réponse est à la fois oui et non.

Alors que de nombreuses mises en œuvre de bannières de cookies dans l’UE sont désormais illégales - par exemple parce qu’elles justifient le suivi publicitaire comme un intérêt légitime ou parce qu’elles sont trop vagues quant aux données collectées et aux raisons de cette collecte - l’utilisation de bannières de cookies en général n’est pas illégale dans l’UE.

Mais qu’est-ce que cela signifie pour l’avenir des cookies ?

Les bannières de cookies sont devenues une véritable nuisance en ligne, parfois aussi gênante que les publicités elles-mêmes, que l’on peut bloquer à l’aide de bloqueurs de publicité, même dans Gmail. Ce qui dérange le plus dans les bannières de cookies, c’est qu’il est généralement très facile d‘“Accepter tout”, alors que l’option de “Refuser tout” n’est souvent pas proposée. Toutefois, cette procédure des éditeurs - qui consiste à n’afficher qu’un bouton “Accepter tout” - est maintenant également critiquée en Allemagne, de sorte que l’on peut espérer qu’un bouton “Refuser tout” sera bientôt disponible partout.

Quoi qu’il en soit, à la suite de la décision de Bruxelles, les éditeurs doivent adapter l’utilisation des bannières de cookies. Les éditeurs doivent

  • utiliser un véritable consentement explicite pour les cookies de suivi (pas de cases pré-cochées)
  • fournir des informations claires et concises sur les données collectées et les raisons de cette collecte
  • Ne pas s’appuyer sur l‘“intérêt légitime” pour justifier le suivi des publicités.

Première conséquence ? Le nouveau bouton “Rejeter tout” de Google

Premier signe d’une application plus stricte des droits des consommateurs par les autorités européennes, Google ajoute enfin un bouton “Refuser tout” à ses bannières de cookies.

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. L’ancienne bannière de cookies de Google est-elle illégale en Europe ? Google a déjà ajouté un bouton “Rejeter tout”.

Une bonne nouvelle pour les adeptes de la protection de la vie privée

Pour les internautes qui attachent de l’importance à la protection des données, la décision du DPA belge et de la Cour d’appel de Bruxelles de déclarer les bannières de cookies illégales dans leur forme actuelle est une très bonne nouvelle.

Tout d’abord, parce que les entreprises de technologie publicitaire devront supprimer les données des utilisateurs qu’elles ont collectées par le biais du mécanisme TCF.

Ensuite, et surtout, la décision des autorités belges chargées de la protection des données pourrait entraîner la remise en cause de l’ensemble du système des publicités personnalisées.

Cela pourrait enfin mettre un terme à la publicité ciblée.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.