De boete is uitgedeeld omdat voor de gebruikers van facebook.com, google.fr en youtube.com de cookies van deze partijen niet zo gemakkelijk te weigeren zijn, als dat ze te accepteren zijn. Het accepteren van alle cookies is met één klik geregeld, terwijl het weigeren van alle cookies voor Facebook minstens drie kliks nodig heeft en voor Google vijf.

Artikel 82 van de Franse Data Beschermingswet vereist dat een cookiebanner gebruikers net zo gemakkelijk de mogelijkheid biedt om cookies te weigeren, als ze te accepteren. Alhoewel de websites via de banner een mogelijkheid boden om met 1 klik alle cookies te accepteren, boden ze niet een gelijkwaardige oplossing om alle cookies in 1 keer te weigeren.

Volgens de onderzoekscommissie van de CNIL is hiermee de vrijheid waarmee de toestemming wordt gegeven beïnvloed en is er dus in feite sprake van een gestuurde toestemming. Het is immers makkelijker de toestemming te geven dan die te weigeren. Bovendien maken deze bedrijven substantiële winst met advertenties waarbij cookiedata is gebruikt op basis van deze beïnvloedde toestemming. Dit terwijl andere bedrijven, die wél de toestemming op de correcte manier uitvragen, hun aantal ‘consents’ zien afnemen en daarmee ook hun advertentieopbrengsten. Je zou dus zelfs kunnen stellen dat er sprake is van oneerlijke concurrentie.

Wat kunnen we leren van deze Franse boetes?

De voorwaarden voor het verkrijgen van toestemming vinden we in artikel 7 van de Algemene Verordening Gegevensbescherming (AVG), een Europese Verordening. Specifiek in lid 3, staat dat toestemming intrekken even eenvoudig moet zijn als toestemming geven. Daarnaast is er in Europa de EU e-privacy richtlijn (2002/58/EC) van toepassing op cookies, die op termijn vervangen zal worden door de e-privacy verordening. In Nederland kennen we de Telecomwet, met als onderdeel daarvan de Cookiewet. Deze nationale wet is in juli 2021 gewijzigd. Met de wijziging loopt Nederland voorop als het gaat om toestemming bij telemarketing. De verwachting is dat de opt-in op telemarketing opgenomen zal worden in de toekomstige e-privacy verordening.

Zo loopt Frankrijk op haar beurt voorop als het gaat om cookies. De CNIL is al circa 2 jaar streng aan het handhaven op cookies en is de eerste autoriteit die zo expliciet beboet op de consent die gestuurd is verkregen. Toezichthouders uit andere landen, zoals de Nederlandse Autoriteit Persoonsgegevens, zullen deze ontwikkelingen volgen en mogelijk ook hun beleid hierop aanpassen. Met de komst van de e-privacy verordening (zal het dit jaar lukken?) zullen de regels in de EU lidstaten gelijk getrokken worden. De komst van de e-privacy verordening laat al tijden op zich wachten, maar de CNIL heeft daar geen boodschap aan. Zij werkt bijna met Deutsche Grundlichkeit in plaats van met de ‘Franse slag’ als het gaat om het controleren van consent bij cookies. De techreuzen zijn gewaarschuwd.