Par Anne Charlotte Andrieux, Gael Mahe et Rebecca Käppner
Le phénomène des « murs de traceurs », ou plus communément appelés cookie walls, ainsi que les nombreuses plaintes qui résultent de leur mise en place a amené la CNIL à prendre position sur le sujet le 16 mai 2022 à travers la mise en place de critères d’évaluation.
Le nécessaire respect de certaines exigences pour les cookies
Ce dispositif consiste à bloquer l’accès au contenu des sites webs aux internautes qui n’acceptent pas le dépôt de certains traceurs sur leur terminal (ordinateur, smartphone, etc.). Souvent utilisé à des fins de marketing, de rentabilité de la publicité ou encore d’un meilleur tracking des centres d’intérêts des internautes, il n’en reste pas moins que leur recours est soumis à certaines exigences issues du Règlement général sur la protection des données (RGPD), de la CNIL ou du Comité Européen sur la Protection des Données. C’est le cas notamment du consentement préalable de l’internaute au dépôt de tels traceurs.
Si le Conseil d’état estime dans une décision du 19 juin 2020 que « l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale de la pratique des murs de traceurs », il conditionne ses propos à l’existence d’une alternative réelle et satisfaisante au profit des internautes refusant leur usage.
Les nouveaux critères d’évaluation de la CNIL
Bien que la CNIL ait, à la suite de cette décision, émis des lignes directrices[1] sur la question des cookies et autres traceurs afin d’en expliciter le régime, elle vient cette fois ci se concentrer sur les exploitations de cookie walls les plus courantes afin de préciser la manière dont leur légalité doit être appréciée.
Cookie wall : Présence d’une alternative équitable aux traceurs
Il s’agit ici d’observer si l’internaute ayant refusé la mise en place de traceurs sur son terminal dispose d’une alternative réelle et satisfaisante pour tout de même accéder au contenu du site.
Cette notion dont les contours restent difficilement palpables, suppose d’analyser au cas par cas les options d’accès proposées par l’éditeur de site, qui ne nécessiteraient pas une acceptation par l’internaute des cookies visés.
Cela aurait notamment pour effet de prévenir les éventuels déséquilibres entre l’éditeur du site et l’internaute, ce dernier pouvant se trouver privé d’un véritable choix si aucune alternative équitable n’existe. Un tel déséquilibre pourrait se trouver caractérisé :
- Si l’éditeur possède l’exclusivité sur les contenus ou services qu’il propose ;
- Si l’internaute n’a pas d’alternatives au service; ou encore
- Si l’accès à l’alternative proposée est complexe.
L’éditeur devra ainsi veiller à ce que cette alternative à l’acceptation des traceurs soit « facile d’accès ».
Application d’un tarif raisonnable pour les pay wall (l’alternative payante)
En cas de refus de coopération de la part des internautes certains éditeurs de site se trouvent contraints de se tourner vers des solutions alternatives afin de contrebalancer la perte de revenus publicitaires qui résulte du refus d’utilisation des traceurs.
Une alternative payante, les « paywall », consiste à conditionner l’accès du site au versement d’une contrepartie financière.
Cette pratique, qui se trouve soumise aux mêmes exigences que les cookie walls, se traduit cependant différemment en ce qu’il ne s’agit plus de mettre en place une alternative équitable mais un tarif raisonnable qui ne serait pas de nature à priver les visiteurs d’un véritable choix. Comme pour les cookie walls il s’agit d’examiner au cas par cas si le tarif semble adapté, la CNIL ne fixant pas de seuil en la matière.
Les éditeurs devront cependant être en mesure de justifier le montant qu’ils demandent et se devront d’être transparents à ce propos vis-à-vis des internautes. A cette fin, la CNIL encourage vivement les acteurs et notamment l’éditeur à mettre à la disposition des visiteurs l’analyse justifiant le montant du tarif demandé.
Dans cette analyse, l’éditeur de site devra prendre en considération les modes de consommation du service qu’il propose (ex. : Les porte-monnaie virtuels ou encore les micropaiements). En effet, un paiement ponctuel semble dans certains cas être préférable à un abonnement longue durée au regard de la collecte de données à caractère sensible (données bancaires) que le second peut engendrer.
La création d’un compte par un internaute devra en outre être proportionnelle à l’objectif poursuivi et conforme aux exigences du RGPD.
L’acceptation de l’intégralité des cookies sans distinction peut-elle être imposée dans le cadre de cookie wall/pay wall ?
Il est impératif que l’internaute puisse accepter ou non les cookies en fonction de l’objectif poursuivi par ces derniers. La liberté de choix du visiteur joue ici un rôle essentiel en ce qu’elle serait de nature à invalider le consentement si l’utilisateur se trouve être influencé dans ses décisions en la matière. En effet, le caractère libre ou spécifique du consentement pourrait ne pas être rempli.
L’éditeur devra alors laisser la possibilité aux utilisateurs de déterminer cookie par cookie lesquels ils acceptent ou refusent, tout en les informant de manière claire sur les finalités que ces deniers poursuivent. Il a en outre le devoir de bien les informer lorsque les données sont utilisées à des fins de publicité ou de personnalisation du contenu éditorial.
Peut-on imposer le dépôt de certains cookies en cas d’accès payant ?
A l’exception des cookies nécessaires au bon fonctionnement du site, le consentement de l’utilisateur est indispensable au dépôt de traceurs sur son terminal. Ainsi, l’éditeur devra également demander le consentement du visiteur au dépôt de certains traceurs lorsque ce dernier voudra accéder à un contenu hébergé par un site tiers ou qui requiert l’utilisation d’un cookie non strictement nécessaire.
Dans ce cas de figure le consentement de l’internaute pourra être recueilli par le biais d’un bandeau cookie l’informant notamment que l’activation du contenu externe suppose de consentir au dépôt de certains traceurs, des conséquences attachées au refus de dépôt ainsi que de la possibilité pour ce dernier de retirer à tout moment son consentement.
La CNIL, avec cette position, maintient le statu quo et s’adapte à la situation actuelle qui regroupe de nombreux sites français où des cookies walls couplés à des pay walls fleurissent de plus en plus depuis 1 an.
Ce statu quo sera-t-il maintenu quand on sait que le Comité européen sur la protection des données a déjà manifesté, à de multiples reprises, son opposition à l’utilisation de cookies wall ?[2]
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Pour nous contacter, cliquez ici.
[1] Pour plus d’informations sur la question : Cookies & traceurs : La CNIL met en demeure une vingtaine d’organismes et Cookies et traceurs : La CNIL annonce une deuxième vague de contrôle
[2] CEPD - Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, Adoptées le 4 mai 2020