Par Haas Avocats
Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a rendu un avis particulièrement attendu sur le nouveau modèle du « consentir ou payer », développé par les plateformes en ligne afin de monétiser l’accès à leurs services.Cette pratique du « Cookie wall hybride » en développement croissant, consiste à conditionner l’accès à un site web à deux alternatives :
- L’acceptation de cookies permettant la mise en place d’une publicité comportementale, ou
- Le paiement d’un abonnement.
Proche du modèle des « cookies walls », il s’agit cette fois de proposer un tarif raisonnable, permettant aux utilisateurs d’exercer un véritable choix.
Pour rappel, la CNIL avait déjà eu l’occasion de considérer que le fait, pour un éditeur, de conditionner l’accès à un contenu, soit au paiement d’une somme d’argent, soit à l’acceptation de traceurs, n’était pas interdit à partir du moment où la contrepartie monétaire exigée ne privait pas les utilisateurs d’un véritable choix. A cet égard, l’appréciation devait se faire au cas par cas, à charge pour l’éditeur de démontrer le caractère raisonnable du tarif exigé.
C’est donc sur le terrain de la liberté du consentement des personnes concernées que s’est prononcé le CEPD dans l’avis précité.
Cookies et Consentement : Le CEPD Réévalue le Modèle "Consentir ou Payer"
Pour que le consentement de l’utilisateur soit librement donné, le CEPD avait déjà eu l’occasion de préciser que celui-ci devait être en mesure d’exercer un choix réel.
Dans le cas du modèle « consentir ou payer », cela signifie qu’aux côtés du choix binaire entre un abonnement payant ou l’acceptation de cookies publicitaires, une troisième voie devra être offerte à l’utilisateur : celle de l’alternative équivalente.
Le CEPD définit cette alternative comme devant non seulement être gratuite, mais également dépourvue de tout traitement de données à des fins de publicité comportementale. Il peut cependant s’agir d’une version du service avec une publicité contextuelle ou générale[1] afin de minimiser le traitement des données personnelles de l’utilisateur.
Mais dans le milieu de la protection des données, consensus était que le critère de liberté du consentement n’apparaissait pas comme rempli…
Les critères de la liberté du consentement
In fine, le CEPD rappelle les exigences nécessaires pour que le consentement soit valablement donné par l’utilisateur :
- L’exercice d’un véritable choix entre les alternatives proposées ;
- La possibilité de refuser de consentir sans subir de conséquences négatives du fait du refus ;
- L’absence de déséquilibre de pouvoir entre les forces en présence, c’est-à-dire entre la plateforme et l’utilisateur.
A cet égard il faudra prendre en compte, entre autres, la position dominante ou non du site sur le marché, l’éventuelle dépendance de l’utilisateur à un service considéré comme essentiel, la vulnérabilité du public ciblé ou prédominant du site (s’il s’agit d’enfants par exemple), etc ;
- La granularité, ou la possibilité pour l’utilisateur de choisir les finalités spécifiques du traitement en lieu et place d’une acceptation globale de plusieurs finalités à l’occasion d’une seule demande de consentement ;
- L’absence de conditionnalité liée au consentement (en d’autres termes il ne doit pas être requis pour conditionner l’accès à des biens ou services).
L’appréciation de la liberté du consentement devra, à l’instar du caractère raisonnable du tarif par la CNIL, être effectuée au cas par cas.
Il convient toutefois de préciser que seules les grandes plateformes en ligne au sens du DSA[2] et les contrôleurs d’accès au sens du DMA[3] sont visées par cet avis.
S’agissant pour le moment d’un simple avis, il faudra maintenant encore attendre les lignes directrices du CEPD sur le sujet qui devraient être prochainement élaborées.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Ou encore une publicité basée sur des sujets sélectionnés par la personne concernée à partir d’une liste de sujets.
[2]Il s’agit des plateformes qui ont un nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions ; article 33 du Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques)
[3]Il s’agit des plateformes qui ont compté au moins 45 millions d’utilisateurs finaux actifs par mois au cours du dernier exercice ; article 3 du Règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique