Miljoenenboetes voor Google en Facebook door foutieve cookietoestemming

Toestemming

De CNIL oordeelt dat het weigeren van cookies op de sites facebook.fr, google.fr en youtube.fr niet even gemakkelijk is als het geven van toestemming voor cookies. Zo bestaat er op de websites een knop die het mogelijk maakt om direct de cookies te accepteren en daarnaast een knop om de instellingen aan te passen. Maar er bestaat geen gelijkwaardig alternatief om de cookies direct te kunnen weigeren. Waar dus één klik genoeg is voor acceptatie, zijn er meerdere kliks nodig om te kunnen weigeren. In het geval van Google en YouTube zouden er zelfs minimaal vijf acties nodig zijn om de cookies te weigeren.

Volgens de CNIL is dit in strijd met het vereiste dat toestemming vrij moet zijn. Hierbij haalt de toezichthouder een opinie van de EDPS (de privacy toezichthouder van Europa) aan die stellen dat vrij moet worden uitgelegd als ‘echte keuze en controle voor betrokkenen’.

Overigens zijn deze boetes niet de enige sanctie die is opgelegd. Google en Facebook moeten binnen drie maanden de Franse internetgebruikers een gelijkwaardige manier aanbieden om de cookies te weigeren. Doen zij dit niet, dan komt daar per dag nog eens 100.000 euro aan dwangsommen bovenop.

Onderzoek

In beide besluiten komt naar voren dat de CNIL haar oordeel mede heeft gebaseerd op (wetenschappelijke) onderzoeken. Deze onderzoeken toonden onder andere aan dat de bereidheid van gebruikers om door te klikken naar de tweede pagina (om daar hun instellingen aan te passen) erg laag is. Zo zou 93,1% van de deelnemers stoppen op de eerste pagina en de cookies accepteren. Daarnaast zou het percentage gebruikers dat cookies accepteert bij het tonen van twee gelijkwaardige knoppen, in een maand tijd gedaald zijn van 70% naar 55%. De CNIL concludeert uit deze onderzoeken dat door het weigeren complexer te maken de keuzevrijheid van de gebruiker wordt gewijzigd.

Gevolgen voor cookiebanners

Met deze besluiten lijkt het erop dat in Frankrijk het gebruik van meerdere lagen voor het maken van een keuze in je cookiebanner geen mogelijkheid meer zal zijn. Als je toestemming geeft met één knop, moet je ook kunnen weigeren met één knop. Vorig jaar zagen we al dat een rechter in Duitsland zich uitliet over de manier waarop cookiebanners zijn ingericht én dat Max Schrems hierover meerdere klachten heeft ingediend. Het mag dus duidelijk zijn dat cookiebanners inmiddels ook op de radar staan van Europese toezichthouders.

Zal dit in Nederland dan ook gebeuren? Dat is nog lastig in te vullen. Het gebruik van cookies (en daarmee ook cookiebanners) vallen onder de ePrivacy-richtlijn die per lidstaat enigszins anders kan worden ingevuld. In Nederland vinden we deze regels bijvoorbeeld terug in de Telecommunicatiewet. Toch moeten we met de huidige ontwikkelingen er rekening mee houden dat ook de Nederlandse toezichthouder hier naar gaat kijken. Daar komt bij dat de verwachting is dat er dit jaar (eindelijk…) een definitief voorstel zal zijn voor de ePrivacyverordening. Daarin worden mogelijk specifieke regels over cookiebanners opgenomen. Wanneer de ePrivacyverordening in de toekomst van kracht zal gaan, zullen ook de regels voor cookies Europees gezien gelijk worden getrokken. Uiteraard houden we deze ontwikkelingen bij DDMA nauwlettend in de gaten.

Heb jij vragen over je cookiebanner? Neem dan contact op met onze juristen via legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA