Om du någonsin känner att webbplatser har förvandlat den enkla affären att avvisa spårningscookies till en labyrintisk uppgift som involverar närläsning av flera dialogrutor, då har Frankrikes dataskyddsmyndighet din rygg. Vakthunden (CNIL) har bötfällt Google €150 miljoner ($170 miljoner) och Facebook €60 miljoner ($68 miljoner) för att göra det för förvirrande för användare att avvisa cookies. Företagen har nu tre månader på sig att ändra sitt sätt i Frankrike.
Med Facebook noterar CNIL att för att vägra cookies måste franska användare först klicka på en knapp märkt “Acceptera cookies” (betoning vår). Sådan märkning “genererar nödvändigtvis förvirring”, säger CNIL, vilket får användare att tro att de inte har något val i frågan.
Med Google är problemet ett asymmetri snarare än felmärkning. CNIL noterar att företagets webbplatser (inklusive YouTube) tillåter användare att acceptera alla cookies med ett enda klick. Men för att avvisa dem måste de klicka sig igenom flera olika menyalternativ. Uppenbarligen styrs användare i en viss riktning som bara så råkar gynna Google. (Jag är väl medveten om att The Verge inte heller erbjuder en “avvisa alla”-cookieknapp med ett klick.)
Google och Facebook använder mörka mönster för att skicka cookies till användarna
EU-lagstiftningen säger att när medborgare lämnar över data online måste de göra det fritt och med full förståelse för det val de gör. CNIL:s bedömning är att Google och Facebook i huvudsak lurar sina användare, använder så kallade “mörka mönster” – en stil av subtilt tvångsdesign för användargränssnitt – för att vifta med samtycke och så bryta mot lagen. Därav böterna och kravet på att företagen ändrar sin cookie-UI-design inom tre månader. Underlåtenhet att göra det riskerar ytterligare böter på €100 000 per dag, säger CNIL.
För alla som är särskilt intresserade av detaljerna i europeisk internetreglering (ni stackars idioter), är fallet också intressant eftersom CNIL agerar under överinseende av en del av EU-lagstiftningen som kallas ePrivacy-direktivet, snarare än det mer nyligen införda General Dataskyddsförordningen (GDPR).
På TechCrunch erbjuder Natasha Lomas en bra förklaring till varför det är så, vilket jag ska göra mitt bästa för att sammanfatta. Problemet är att GDPR-tillämpningen kanaliseras genom Irlands datavakthund, där många amerikanska teknikföretag lokaliserar sina europeiska huvudkontor. Just den byrån har visat sig vara lite långsam med att köra ner sådana klagomål, vilket – bara en cyniker kan antyda – är en del av den vänliga regleringsmiljö som odlas av den irländska staten för att locka amerikanska teknikpengar i första hand.
Så, för att få ett verkställande i tid (eller någon verkställighet) har Frankrikes datavakthund vänt sig till det äldre e-integritetsdirektivet, som tillåter nationella myndigheter direkt tillsyn i sina egna territorier. Det är en effektiv lösning, och CNIL har tidigare använt ePrivacy för att bötfälla Google och Amazon i liknande problem. Samtidigt, som Lomas påpekar, har Google ännu inte ställts inför en enda regulatorisk sanktion från Irlands dataövervakning enligt GDPR.
Vad är resultatet av allt detta? Tja, om du bor i Frankrike kan du få ett lite enklare alternativ att avvisa cookies från Google och Facebook någon gång i framtiden. Vilket är trevligt, visst, men knappast den sortens avgörande åtgärd som – om du håller med om den uttalade önskan i EU:s splittrade, månghövdade dataförordning – är tänkt att rätta till maktobalansen mellan teknikföretag och genomsnittskonsumenter. Men det är bara så kakorna smulas sönder.