Hvis du nogensinde føler, at websteder har forvandlet den simple forretning med at afvise sporingscookies til en labyrintisk opgave, der involverer nærlæsning af flere dialogbokse, så har Frankrigs databeskyttelsesagentur din ryg. Vagthunden (CNIL) har idømt Google €150 millioner ($170 millioner) og Facebook €60 millioner ($68 millioner) for at gøre det for forvirrende for brugere at afvise cookies. Virksomhederne har nu tre måneder til at ændre deres måder i Frankrig.
Med Facebook bemærker CNIL, at for at afvise cookies, skal franske brugere først klikke på en knap mærket “Accepter cookies” (fremhævet vores). Sådan mærkning “skaber nødvendigvis forvirring,” siger CNIL, hvilket får brugerne til at tro, at de ikke har noget valg i sagen.
Hos Google er problemet asymmetri snarere end fejlmærkning. CNIL bemærker, at virksomhedens websteder (inklusive YouTube) tillader brugere at acceptere alle cookies med et enkelt klik. Men for at afvise dem, skal de klikke sig igennem flere forskellige menupunkter. Det er klart, at brugerne bliver styret i en bestemt retning, som netop tilfældigvis gavner Google. (Jeg er godt klar over, at The Verge heller ikke tilbyder en enkelt-klik “afvis alle” cookie-knap.)
Google og Facebook bruger mørke mønstre til at skubbe cookies på brugerne
EU-lovgivningen siger, at når borgere udleverer data online, skal de gøre det frit og med fuld forståelse for det valg, de træffer. CNILs vurdering er, at Google og Facebook i det væsentlige narrer deres brugere, anvender det, der er kendt som “mørke mønstre” – en stil med subtilt tvangsdesign af brugergrænseflader – for at tumle med samtykke og dermed bryde loven. Derfor bøderne og kravet om, at virksomhederne ændrer deres cookie-UI-design inden for tre måneder. Undladelse af at gøre det risikerer yderligere bøder på €100.000 pr. dag, siger CNIL.
For alle, der er særligt interesserede i detaljerne i europæisk internetregulering (I stakkels idioter), er sagen også interessant, idet CNIL handler under myndigheden af en smule EU-lovgivning kendt som ePrivacy-direktivet, snarere end det mere nyligt indførte General. Databeskyttelsesforordningen (GDPR).
Over på TechCrunch tilbyder Natasha Lomas en god forklaring på, hvorfor det er, som jeg vil gøre mit bedste for at kondensere. Problemet er, at håndhævelsen af GDPR føres gennem Irlands datavagthund, hvor mange amerikanske teknologivirksomheder har deres europæiske hovedkvarter. Dette særlige agentur har vist sig at være lidt langsom til at køre ned sådanne klager, hvilket – kun en kyniker kan foreslå – er en del af det venlige reguleringsmiljø, som den irske stat dyrker for at tiltrække amerikanske teknologipenge i første omgang.
Så for at få rettidig håndhævelse (eller enhver håndhævelse) har Frankrigs datavagt vendt sig til det ældre ePrivacy-direktiv, som tillader nationale agenturer direkte tilsyn i deres egne territorier. Det er en effektiv løsning, og CNIL har tidligere brugt ePrivacy til at bøde Google og Amazon på lignende problemer. I mellemtiden, som Lomas påpeger, har Google endnu ikke stået over for en enkelt lovgivningsmæssig sanktion fra Irlands datavagthund under GDPR.
Hvad er resultatet af alt dette? Tja, hvis du bor i Frankrig, kan du få en lidt nemmere mulighed for at afvise cookies fra Google og Facebook engang i fremtiden. Hvilket er rart, sikkert, men næppe den slags afgørende handling, der – hvis du er enig i det erklærede ønske i EU's sprængte, flerhovede dataforordning – formodes at rette op på magtubalancen mellem tech-virksomheder og gennemsnitsforbrugere. Men det er bare sådan, småkagerne smuldrer.