Depuis le 1er avril 2021, les lignes directrices de la CNIL sur l’usage des cookies et autres traceurs sont pleinement applicables.
– La notion de cookies
Les cookies sont des petits fichiers (des traceurs) qui s’installent et sont stockés sur nos ordinateurs, pour récupérer certaines données. A chaque fois que l’utilisateur de l’appareil consulte la page web dont les cookies proviennent, des informations sont communiquées à celui qui exploite la page web et à ses partenaires.
Les cookies ont des fonctions très diverses. Certains sont techniques et servent par exemple à enregistrer des choix de navigation ou de personnalisation de la page web, à mémoriser les identifiants de connexion, la langue utilisée. D’autres ont des fonctions statistiques ou d’analyse (nombre de visites, types d’appareils utilisés). D’autres encore permettent de collecter des données personnelles, de suivre le déplacement de l’internaute, ses habitudes d’achat, les pages régulièrement consultées, ses centres d’intérêt, etc. Ces dernières données servent notamment à profiler les utilisateurs et à diffuser de la publicité personnalisée voire géolocalisée. Ces services génèrent des revenus très importants pour beaucoup de sites internet, dont le modèle économique dépend très étroitement.
– Le consentement au dépôt de cookies via des bannières
Pendant longtemps et en dépit des textes qui imposaient déjà le consentement des internautes (notamment la Directive 2002/58/CE, du 12 juillet 2002 dite « ePrivacy », art. 5 ; Loi informatique et libertés, art. 82), les exploitants de sites web plaçaient des cookies sur les appareils sans en informer leurs propriétaires et sans solliciter leur accord.
Depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) en mai 2018 et devant le risque accru de contrôle de la CNIL et de sanctions consécutives (art. 4 du RGPD), les éditeurs de sites internet ont progressivement mis en place des mécanismes de recueil de consentement aux cookies, matérialisés par des bandeaux.
Pour synthétiser et aller à l’essentiel sur le rôle et le contenu de ces bandeaux : le consentement n’a pas à être requis pour les cookies purement techniques (authentification, mémoire du panier d’achat, mesure d’audience anonyme, etc.). En revanche, pour les autres cookies, le consentement des utilisateurs doit être obtenu préalablement à la consultation du site ; il n’est pas possible de placer des cookies sans le consentement ou en s’appuyant sur la simple poursuite de la navigation ; le consentement doit être exprimé par un acte positif clair (cliquer sur un bouton, cocher une case) ; le retrait du consentement doit être aussi simple que l’acceptation ; des informations doivent être communiquées sur les finalités des cookies, ainsi que sur les personnes qui les collectent et les exploitent.
Aujourd’hui, les internautes attentifs à leurs données personnelles peuvent assez facilement refuser de les livrer aux sites qu’ils consultent, quitte à sélectionner les cookies qu’ils acceptent. Le plus souvent, ce sont les cookies publicitaires qui sont refusés, ce qui entraine une baisse consécutive des revenus pour les sites.
– Développement des cookie walls
Devant ce changement de comportement, on voit depuis peu fleurir sur la toile de nouvelles pratiques, dite de cookie Wall.
Le cookie wall apparaît lors de la première consultation d’un site web. Il vient conditionner l’accès au site au consentement par l’internaute au dépôt de cookies sur son terminal, généralement après avoir expliqué que la survie du site repose sur les revenus générés par les données recueillies. Certains cookie walls vont plus loin et laissent une option : soit l’on accepte de verser quelques euros pour avoir accès au site sans qu’aucun cookie ne soit déposé (avec de la publicité non personnalisée) ; soit l’on persiste à vouloir un accès « gratuit », mais c’est alors à la condition de « consentir » au dépôt de cookies.
– Quelle validité pour les cookie walls ?
Dans une première version de ses lignes directrices (du 4 juillet 2019), la CNIL avait considéré que cette pratique était interdite, car elle ne permettait pas l’expression d’un consentement libre de la part des utilisateurs.
Dans un arrêt rendu le 29 juin 2020 le Conseil d’Etat a toutefois considéré que la CNIL avait excédé ses pouvoirs : ses lignes directrices n’étant que des recommandations (on parle de « droit souple »), elles ne pouvaient pas énoncer une règle générale et absolue. Dans sa décision, le CE ne s’est pas prononcé sur la validité de ces pratiques : le sujet reste entier.
Dans la version désormais applicable de ses lignes directrices (17 sept. 2020), la CNIL considère que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation des cookies est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. C’est donc au cas par cas, pour chaque cookie wall, que l’analyse devra être faite. Les lignes directrices du Comité européen de protection des données (EDPB) considèrent également que l’utilisation de cookie walls pour obtenir un consentement n’est pas conforme.
– Et les cookie walls à option ?
Qu’en est-il alors de cette nouvelle pratique des cookie walls « à option » ? Peut-on considérer qu’il existe un consentement libre lorsque l’internaute est placé devant l’alternative « payer ou livrer ses données personnelles » ?
On rappellera à cet égard qu’il existe quatre critères cumulatifs permettant de considérer un consentement valable au traitement des données personnelles au sens du RGPD : l’utilisateur doit avoir consenti de manière libre, spécifique, éclairée et univoque, par une déclaration ou un par un acte positif clair.
En l’occurence, l’article 4 du RGPD prévoit que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Ainsi, le consentement n’est valide que si l’utilisateur est en mesure d’exprimer librement son choix, c’est-à-dire de façon indépendante et spécifique pour chaque finalité distincte.
Dans le cadre d’un cookie wall, il semble que certains éditeurs de sites font le pari que l’internaute, mis devant un « choix », préfèrera aller au plus simple et livrer ses données personnelles plutôt que de payer, en lui donnant l’illusion qu’il accède gratuitement au site. Cela est d’autant plus net quand on compare le parcours de paiement et le parcours d’acceptation, sur certains d’entre eux.
En premier lieu, on observe que le paiement ne vaut généralement que pour une durée déterminée, un mois en général, et pour une somme modique. Cela paraît à première vue constituer une alternative raisonnable. Mais, combien de temps l’internaute est-il prêt à payer cette petite somme, qui va donc finir par s’accumuler ? Quand finira t-il par céder et « accepter » de livrer ses données personnelles pour ne plus payer l’accès ?
En deuxième lieu, quand on choisi l’offre payante, il faut faire quelques efforts : accepter, après les avoir lu, des documents plutôt volumineux comme des CGV, des CGU et la politique de protection des données personnelles. Après cela, il faut bien souvent passer par un module de paiement, qui collecte lui aussi des données de carte bancaire (et peut être amené à proposer à son tour de déposer des cookies…). Il y a clairement de quoi se décourager alors que pour l’accès « gratuit » permettant le dépôt des cookies, un clic suffit pour rendre le site accessible !
En troisième lieu, dans la plupart des cookie walls à option ni le le caractère univoque du consentement ni le caractère spécifique ne semblent respectés : c’est la règle du « tout ou rien » qui s’impose. Tous les cookies, pour toutes les finalités, pour tous les partenaires sont requis. Si l’on veut en savoir plus, il faut cliquer sur un lien pour aller voir quelles sont les finalités, appuyer sur des icônes pour obtenir des précisions. Des phrases plus vagues encore apparaissent parfois en fin de liste laissant supposer que d’autres traitements sont possibles, sans plus de détails. Il faut encore cliquer sur un autre lien pour avoir connaissance de la très longue liste de partenaires, et savoir ce qu’ils font des données qu’ils récoltent, comment ils les utilisent.
En définitive, certains éditeurs de sites web qui ont historiquement construit leur modèle économique sur l’exploitation des données personnelles de leurs visiteurs sont sur la brèche et cherchent à maintenir la situation. On doute toutefois de la régularité de ces cookie walls au regard de la politique menée concernant les données personnelles. Ceci dit, seules les décisions de la CNIL pourront définitivement nous éclairer. Il semble tout de même que d’autres modèles économiques, plus respectueux des données personnelles, voire totalement émancipés de ces dernières méritent d’être explorés.
Le cabinet Tnjlex peut vous aider à vérifier la conformité de vos projets au regard du droit des données personnelles. N’hésitez pas à nous contacter !