Conformité au consentement des cookies: désactivation de JavaScript et de l'accessibilité du clavier
J'ai remarqué que la plupart des solutions de consentement aux cookies sont basées sur JavaScript et que lorsque JS est désactivé, les paramètres de consentement aux cookies peuvent ne pas être accessibles.
En parlant d'accessibilité, certaines solutions de consentement aux cookies ne sont pas accessibles au clavier, ce qui signifie que les personnes souffrant de certains handicaps ne pourraient pas non plus gérer leurs cookies.
Est-ce conforme au RGPD, à la directive ePrivacy et au CCPA?
Réponses
Il est peu probable que cela pose un problème: la plupart des choses nécessitant un consentement se produisent uniquement par JS, et le consentement doit de toute façon être opt-in. Cependant, les problèmes d'accessibilité peuvent être légitimes.
Les cookies sont généralement définis via un champ d'en-tête dans la réponse du serveur Web. Ces cookies sont généralement (mais pas nécessairement) utilisés pour des raisons bénignes telles que les jetons de session. Et les cookies strictement nécessaires ne nécessitent pas de consentement. En revanche, les utilisations problématiques des cookies sont généralement déclenchées par du code JavaScript sur la page. Lorsque JavaScript est désactivé, il ne peut pas définir de cookies et il n'est pas nécessaire de demander le consentement.
Cela nous amène à la raison suivante: le consentement est opt-in. La directive ePrivacy exige le consentement pour les utilisations de cookies qui ne sont pas strictement nécessaires, et les articles 4 (11) et 7 du RGPD définissent le consentement comme un opt-in via une action positive ou une expression qui indique sans ambiguïté les souhaits du visiteur. Les cases pré-cochées ou les mécanismes de consentement de type «en continuant à utiliser cette page…» ne sont pas conformes. Si le mécanisme d'un site Web pour demander le consentement ne fonctionne pas, il ne peut pas supposer que le consentement a été donné et n'est pas autorisé à effectuer le traitement des données concerné.
Bien sûr, il est également possible de prendre un point de vue opposé: que JavaScript est un élément central de la norme HTML, et que les agents utilisateurs sans support JavaScript perturbent le bon fonctionnement du site aux risques et périls du visiteur. L'exploitant du site ne peut raisonnablement pas garantir le bon fonctionnement du site sur de tels navigateurs non standard. Mais s'il s'agit d'un argument valable face aux problèmes d'accessibilité, cela n'a pas d'importance pour le consentement du RGPD: le responsable du traitement doit être en mesure de démontrer que le consentement a effectivement été donné (article 7 (1)). Bien que cette preuve ne soit pas nécessairement un enregistrement explicite, supposer le consentement en l'absence de preuves semble non conforme.
Le RGPD nécessite-t-il une accessibilité? Pas explicitement. Les exigences d'accessibilité peuvent être dérivées d'autres lois. Mais le RGPD a quelques principes de base qui vont dans cette direction. En tant que cas particulier pour les déclarations écrites qui traitent également d'autres questions, la demande de consentement doit être présentée «sous une forme intelligible et facilement accessible» (article 7 (2)) qui s'applique sans doute également aux supports textuels tels que les sites Web. Plus généralement, le principe de transparence de l'article 5 (1) (a) pourrait être avancé comme impliquant l'accessibilité des informations concernant le traitement des données. Pour le contexte des droits de la personne concernée, l'article 12 (1) fournit des détails sur la manière dont les informations doivent être fournies (transparent, intelligible, facilement accessible, dans un langage clair et simple) et l'article 12 (2) oblige les responsables du traitement à «faciliter l'exercice des droits de la personne concernée ». Cette facilitation signifie que la personne concernée ne doit pas faire face à des obstacles déraisonnables à l'exercice de ses droits. Un site Web totalement inaccessible pourrait être un tel obstacle, par exemple en mettant des informations de contact dans une image.
Cependant, il ne s'ensuit pas que des fonctionnalités spécifiques telles que l'accessibilité du clavier ou le balisage ARIA sont requises par le RGPD. Même si nous interprétons le RGPD comme exigeant un certain niveau d'accessibilité, une autorité ou un tribunal chargé de la protection des données devrait examiner le contexte: quel niveau d'accessibilité peut raisonnablement être requis?
Cette réponse couvre principalement ePrivacy / GDPR car je n'ai pas une compréhension plus approfondie du CCPA. Cependant, le CCPA est sans doute plus accessible, car il impose des technologies (liens) et des titres spécifiques (Ne pas vendre mes informations personnelles) qui se trouvent être tout à fait accessibles. L'ACCP autorise et exige également des règlements supplémentaires pour s'assurer que les avis et l'information sont accessibles aux consommateurs handicapés.