Bannière cookies : la justice autrichienne impose des boutons « Accepter » et « Refuser » d'égale visibilité

21/5/26
👈 les autres actualités

La Cour administrative fédérale autrichienne (BVwG) vient de confirmer que la bannière de cookies du radiodiffuseur public ORF viole le RGPD. En cause : un bouton « Accepter » mis en avant visuellement, qui pousse les internautes vers un consentement qu'ils n'ont pas réellement voulu donner. Une décision dont la portée dépasse largement l'Autriche.

Ce qui s'est passé

En août 2021, l'organisation noyb (None of Your Business), fondée par Max Schrems, déposait 422 plaintes contre des sites européens dont les bannières de cookies recouraient à des « dark patterns » — des interfaces conçues pour orienter le choix de l'utilisateur. ORF.at, le site du radiodiffuseur public autrichien, figurait parmi les cibles.

En octobre 2024, l'autorité autrichienne de protection des données (DSB) donnait raison à noyb et ordonnait à ORF de placer des boutons « Accepter » et « Refuser » de visibilité équivalente. ORF a contesté la décision. La BVwG vient de trancher : elle confirme intégralement l'analyse de l'autorité. La mise en évidence colorée du bouton « Accepter » rend la bannière trompeuse et le consentement recueilli non valable au sens du RGPD.

Le point juridique central est sans ambiguïté : un bouton « Refuser » simplement moins visible ne suffit pas. Les deux options doivent être d'égale importance visuelle.

Pourquoi c'est important

Le consentement est l'une des bases légales prévues par l'article 6 du RGPD, et le dépôt de cookies non essentiels en dépend directement. Or le RGPD exige un consentement libre, spécifique, éclairé et univoque. Un design qui oriente le choix vers l'acceptation prive le consentement de son caractère « libre » : il n'est juridiquement plus valable. C'est tout l'enjeu de l'importance du consentement explicite dans le RGPD.

Cette décision s'inscrit dans une jurisprudence européenne déjà nourrie sur les dark patterns. L'EDPB a publié des lignes directrices sur les interfaces trompeuses, et la CNIL sanctionne régulièrement les bannières non conformes. La nouveauté tient ici au degré de précision : la BVwG ne se contente pas de condamner un design, elle pose une règle opérationnelle — l'équivalence visuelle stricte entre les deux options. Pour traduire cette exigence en pratique, mieux vaut savoir créer un formulaire de consentement conforme et rédiger une politique de cookies conforme au RGPD.

Ce que ça change pour les organisations

Concrètement, toute organisation qui exploite un site avec une CMP (Consent Management Platform) doit revoir sa bannière. Trois actions immédiates :

  • Auditer l'égalité visuelle des boutons — même taille, même contraste, même couleur de fond. Un « Refuser » en gris clair à côté d'un « Accepter » bleu vif ne passe plus.
  • Vérifier le paramétrage de sa CMP : de nombreux outils proposent par défaut des configurations non conformes. Le choix de l'outil est déterminant — voir notre guide pour choisir une solution de gestion des cookies conforme.
  • Documenter le consentement recueilli, car un consentement obtenu via une bannière trompeuse est rétroactivement fragilisé.

À noter qu'une organisation peut aussi faire le choix de limiter les traceurs au strict nécessaire et de se passer entièrement de bannière, comme l'explique notre retour d'expérience sur l'absence de bandeau de cookies sur Leto.legal. Cette décision rejoint par ailleurs un mouvement plus large de durcissement sur le tracking en ligne, du suivi par cookies aux pixels espions dans les emails que la CNIL encadre désormais.

Ce que Leto pense de cette décision

C'est une bonne nouvelle, et une clarification attendue. Pendant des années, les organisations ont pu se réfugier derrière une conformité « de façade » : un bouton « Refuser » bien présent... mais discret. La BVwG ferme cette porte. Le message est simple : si votre bannière est conçue pour qu'on clique « Accepter », votre consentement ne vaut rien. Mieux vaut une bannière honnête — et un taux d'acceptation plus bas mais réel — qu'un consentement massif et juridiquement creux. Les DPO ont tout intérêt à anticiper : les autorités, elles, n'attendront pas.

Sources : noyb — ORF.at doit corriger la bannière trompeuse des cookies · GDPRhub — BVwG W 108 2284491-1

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026