Inaccessible Consent Banners Now Create Two Legal Liabilities, Not One

28 जून 2025 से, एक सहमति बैनर जिसे कीबोर्ड उपयोगकर्ता पूरी तरह से नेविगेट नहीं कर सकता, केवल एक एक्सेसिबिलिटी विफलता नहीं है — यह एक GDPR उल्लंघन है। European Accessibility Act (EAA) उस दिन सभी 27 EU सदस्य राज्यों में लागू हुआ, जिसने डिजिटल सेवाओं के लिए WCAG 2.2 Level AA को क़ानूनी रूप से लागू करने योग्य मानक बना दिया, जिसमें सहमति इंटरफ़ेस शामिल हैं जिन पर एनालिटिक्स उपकरण निर्भर हैं।

दो नियामक व्यवस्थाएँ अब सीधे जुड़ी हुई हैं। एक को दूसरे के बिना ठीक करें और आप अभी भी जोखिम में हैं।

EAA वास्तव में क्या आवश्यक करता है

EAA यूरोपीय मानक EN 301 549 पर मैप करता है, जो बदले में WCAG 2.2 का संदर्भ देता है। सहमति इंटरफ़ेस के लिए, अभ्यास में सबसे महत्वपूर्ण आवश्यकताएँ हैं:

Focus not obscured (WCAG 2.4.11): जब एक उपयोगकर्ता एक बटन पर टैब करता है, तो यह बैनर स्वयं या एक स्टिकी हेडर के पीछे पूरी तरह से छिपा नहीं होना चाहिए।
Keyboard accessibility (WCAG 2.1.1): प्रत्येक इंटरैक्टिव तत्व — Accept, Reject, Manage Preferences — माउस के बिना पहुँचने और संचालन योग्य होना चाहिए।
Visible focus indicators (WCAG 2.4.7): फ़ोकस रिंग दिखाई देनी चाहिए। कई सहमति प्रबंधन प्लेटफ़ॉर्म कॉस्मेटिक कारणों से ब्राउज़र डिफ़ॉल्ट फ़ोकस शैलियों को दबाते हैं, जो इस मानदंड पर विफल होता है।
Sufficient color contrast (WCAG 1.4.3): बैकग्राउंड के विरुद्ध टेक्स्ट बॉडी टेक्स्ट के लिए 4.5:1 पूरा करना चाहिए। बोल्ड नीले "Accept" बटन के बग़ल में पीले-स्लेटी "Reject All" लिंक एक सामान्य विफलता पैटर्न हैं।
No auto-dismissal: बैनर स्पष्ट उपयोगकर्ता इंटरैक्शन के बिना बंद नहीं हो सकता। टाइम्ड ऑटो-स्वीकृति, कई सेकंड के बाद भी, अमान्य है।

दंड सदस्य राज्य के अनुसार भिन्न होते हैं। जर्मनी प्रति उल्लंघन €100,000 तक लागू करता है। स्पेन गंभीर मामलों के लिए €1,000,000 तक बढ़ाता है। फ़्रांस मौद्रिक जुर्माने को ग़ैर-अनुपालक सेवा के संभावित निलंबन के साथ जोड़ता है।

एक्सेसिबिलिटी विफलताएँ GDPR सहमति को क्यों अमान्य करती हैं

GDPR Recital 32 के लिए आवश्यक है कि सहमति "स्वतंत्र रूप से दी गई, विशिष्ट, सूचित और स्पष्ट" हो। Article 7 जोड़ता है कि सहमति वापस लेना "इसे देने जितना आसान" होना चाहिए। ये आवश्यकताएँ केवल तभी मान्य हैं जब उपयोगकर्ता वास्तव में सहमति इंटरफ़ेस तक पहुँच सके।

एक स्क्रीन रीडर उपयोगकर्ता जो "Reject" बटन तक नेविगेट नहीं कर सकता, सहमति रोक नहीं सकता। आपकी एनालिटिक्स पाइपलाइन उस उपयोगकर्ता के लिए जो सहमति रिकॉर्ड करती है वह क़ानूनी रूप से अर्थहीन है — इसलिए नहीं कि उन्होंने इसे अस्वीकार किया, बल्कि इसलिए कि तंत्र अप्राप्य था। GDPR के तहत, यह बिल्कुल भी सहमति नहीं है।

CNIL ने सितंबर 2025 में Google के विरुद्ध अपने प्रवर्तन कार्रवाई में इस तर्क को स्पष्ट किया, जहाँ €325 मिलियन का जुर्माना आंशिक रूप से असममित डिज़ाइन से उत्पन्न हुआ — स्वीकृति के लिए एक क्लिक की आवश्यकता थी, अस्वीकृति के लिए एक सेटिंग्स स्क्रीन तक नेविगेट करना आवश्यक था। कोई भी डिज़ाइन जो अस्वीकृति को स्वीकृति की तुलना में संरचनात्मक रूप से कठिन बनाता है, जिसमें एक बैनर शामिल है जिसे एक कीबोर्ड उपयोगकर्ता पूरी तरह से संचालित नहीं कर सकता, उसके द्वारा उत्पादित प्रत्येक सहमति रिकॉर्ड की क़ानूनी वैधता को कमज़ोर करता है।

ऑडिट परिणाम उत्साहजनक नहीं हैं

2025 में व्यापक रूप से उपयोग किए जाने वाले सहमति प्रबंधन प्लेटफ़ॉर्म के स्वतंत्र परीक्षण में पाया गया कि जाँचा गया एक भी समाधान पूर्ण WCAG 2.2 Level AA अनुपालन को पूरा नहीं करता था। सामान्य विफलताओं में दबाए गए फ़ोकस संकेतक, द्वितीयक एक्शन बटन पर अपर्याप्त कंट्रास्ट, और DOM में देर से स्थित बैनर मार्कअप शामिल थे — जिससे स्क्रीन रीडर सहमति इंटरफ़ेस से पहले पेज सामग्री का सामना करते थे।

ये एज मामले नहीं हैं। ये उन उपकरणों का डिफ़ॉल्ट व्यवहार हैं जिन्हें हज़ारों साइटें एनालिटिक्स का उपयोग करने के लिए स्वयं क़ानूनी विश्लेषण किए बिना तैनात करती हैं।

एक अनुपालक बैनर आपको परिचालन रूप से क्या खर्च करेगा

मान लीजिए आप एक्सेसिबिलिटी समस्याओं को ठीक करते हैं। अब आपके पास एक बैनर है जिसे स्क्रीन रीडर पूरी तरह से नेविगेट कर सकता है, कीबोर्ड-एक्सेसिबल नियंत्रण, पर्याप्त कंट्रास्ट, और कोई ऑटो-डिसमिसल नहीं। आप अभी भी सामना करते हैं:

अस्वीकृति से डेटा हानि: अध्ययन लगातार दिखाते हैं कि 15–30% विज़िटर या तो एनालिटिक्स कुकीज़ को अस्वीकार करते हैं या इंटरैक्ट किए बिना बैनर को बंद कर देते हैं। वह जनसंख्या आपके एनालिटिक्स के लिए अदृश्य है।
डिवाइस द्वारा सहमति दर परिवर्तनशीलता: मोबाइल उपयोगकर्ता डेस्कटॉप उपयोगकर्ताओं की तुलना में उच्च दरों पर बैनर बंद करते हैं। आपका एनालिटिक्स डेटा व्यवस्थित रूप से उन उपयोगकर्ताओं की ओर पक्षपाती है जिन्होंने डेस्कटॉप पर स्वीकार किया।
चालू रखरखाव: WCAG 2.2 पहले से ही WCAG 3.0 की ओर विकास में है। आपके सहमति प्लेटफ़ॉर्म का प्रत्येक अपडेट एक्सेसिबिलिटी अनुपालन में एक संभावित प्रतिगमन है जिसे आपको पुनः जाँचने की आवश्यकता है।

बैनर ठीक करना EAA जोखिम को संबोधित करता है। यह डेटा गुणवत्ता समस्या को संबोधित नहीं करता।

संरचनात्मक विकल्प

कुकी-मुक्त एनालिटिक्स जो कभी डिवाइस को नहीं छूता — कोई कुकी नहीं, कोई localStorage नहीं, कोई फ़िंगरप्रिंटिंग नहीं — PECR सहमति आवश्यकताओं को ट्रिगर नहीं करता। कोई सहमति तंत्र आवश्यक नहीं है, इसलिए कोई सहमति इंटरफ़ेस मौजूद नहीं है जो अप्राप्य हो।

दैनिक विज़िटर हैश दृष्टिकोण — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — पूरी तरह से सर्वर-साइड पर एज पर चलता है, कोई स्थायी पहचानकर्ता उत्पन्न नहीं करता, और विज़िटर के डिवाइस पर कुछ भी संग्रहीत नहीं करता। WCAG के लिए शासन करने के लिए कोई इंटरैक्शन नहीं है और GDPR के लिए मान्य करने के लिए कोई सहमति रिकॉर्ड नहीं है।

यह कोई कामचलाऊ समाधान नहीं है। यह एक एनालिटिक्स सिस्टम बनाने का तकनीकी परिणाम है जो वास्तव में व्यक्तिगत डेटा संसाधित नहीं करता है। जब सहमति देने के लिए कुछ नहीं है, तो सहमति तंत्र और उसके सभी अनुपालन दायित्व ग़ायब हो जाते हैं।

अभी पूछने योग्य दो प्रश्न

यदि आपकी साइट वर्तमान में एक सहमति बैनर के पीछे एनालिटिक्स चलाती है, तो दो प्रश्न आपके जोखिम को निर्धारित करते हैं:

1. Can a keyboard-only user reach the "Reject All" option in your banner
   without a mouse, with a visible focus indicator, on every browser
   you support?

2. If yes — what percentage of visitors reject or dismiss the banner,
   and how does your analytics account for that gap?

पहला प्रश्न EAA प्रश्न है। दूसरा डेटा गुणवत्ता प्रश्न है। एक अनुपालक सहमति बैनर जिसे 20% विज़िटर बंद कर देते हैं, आपको अभी भी 20% अंधा स्थान के साथ छोड़ता है जो समय के साथ संयोजित होता है क्योंकि आपके निर्णय अधूरे ट्रैफ़िक डेटा पर किए जाते हैं।

यदि नेविगेट करने के लिए कोई बैनर नहीं है तो कोई भी प्रश्न उत्पन्न नहीं होता।