Cookies walls, les autorités doivent-elles les interdire ?

Décryptages
Outils
TAILLE DU TEXTE

L’installation d’un cookie peut se faire sans consentement, à la condition unique que le cookie en question ait pour objectif de faciliter la communication par voie électronique ou de permettre la fourniture du service. Dans le cas où le consentement est exigé, un certain nombre de critères doivent être respectés. Le consentement doit en effet être recueilli de manière libre, spécifique, éclairée et univoque. En l’absence de ces conditions, l’accord ne serait pas forcément valable et le traitement des données collectées pourrait être considéré comme étant illicite. Or, les cookies walls ne remplissent pas pleinement les critères de validité du consentement puisque les deux options proposées alors à l’utilisateur ne lui confèrent pas un choix réel : pour pouvoir accéder au site, celui-ci doit accepter les cookies ou accepter de payer. Mais, une telle pratique est-elle licite ?

Peut-on limiter la liberté de choix de l’utilisateur tout en mettant à sa disposition une alternative ?

Malgré cette absence de liberté, le Conseil d’Etat a contesté la position de la CNIL dans sa délibération du 4 juillet 2019 portant sur l’interdiction générale de cette pratique, tout en privilégiant une analyse au cas par cas. La question concerne notamment le préjudice subi par l’utilisateur. Le considérant 43 du RGPD précise que le consentement ne peut être considéré comme recueilli de manière libre dans le cas où la personne concernée ne dispose pas « d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Or, l’utilisateur ne subit-il pas un préjudice dans le cas où il ne peut pas bénéficier d’un service ? L’impossibilité d’accéder au site consulté ne constitue-t-elle pas un préjudice réel ? L’alternative proposée permet-elle de limiter ce préjudice ?

La CNIL avait suivi l’avis du CEPD sur ce point qui a considéré que l’accès aux services ne doit pas être conditionné par la collecte préalable du consentement quant au dépôt ou pas des cookies et autres traceurs, au risque que ce consentement ne soit considéré comme étant invalide. Le Conseil d’Etat considère toutefois qu’il faudrait opter pour une analyse contextuelle tout en tenant compte de l’existence ou pas d’alternatives réelles et satisfaisantes. Or, même si des alternatives existaient, le consentement serait-il valable dans le cas où la personne est forcée à donner son accord, quoique de manière indirecte, ou qu’elle se trouve influencée lors de sa prise de décision ?

Des critères à prendre en compte

Des critères ont été publiés dernièrement par la CNIL dont il faudrait tenir compte lors de l’évaluation de la légalité des cookies walls. Une « alternative réelle et équitable » doit être proposée par l’éditeur du site. Cette alternative peut selon la CNIL être payante, à condition qu’elle soit « acceptable », c’est-à-dire que le tarif proposé soit « raisonnable ».

La CNIL considère ainsi que l’alternative proposée par l’éditeur du site même ou par un autre éditeur doit être non seulement réelle, mais également équitable. Celle-ci doit permettre un véritable choix et surtout ne pas engendrer un déséquilibre entre l’éditeur et l’utilisateur. Ainsi, dans le cas où un service est proposé par très peu de sites internet, il n’est pas certain que l’utilisateur ait un réel choix et l’alternative ne semble pas acceptable.

Aucun seuil n’a été défini par la CNIL et l’éditeur du site doit pouvoir justifier le caractère raisonnable du tarif fixé. Il est ainsi recommandé de publier l’analyse concernée et les raisons permettant d’approuver l’acceptabilité de la contrepartie. Cette recommandation rentre dans le cadre de l’exigence de transparence à laquelle est soumis tout responsable de traitement.

Le dépôt des cookies non nécessaires sur le terminal de l’utilisateur qui a privilégié l’alternative payante n’est dès lors en principe pas toléré. La CNIL précise toutefois qu’il est possible de collecter tout de même le consentement concernant des cookies ou autres traceurs dont le dépôt est imposé dans le cadre de l’accès à un contenu sur un site tiers tel que l’activation des boutons de partage.

Une discrimination dans la protection

Il semble dès lors que la notion de consentement libre ne se limite pas à la simple liberté de choix offerte à l’utilisateur lui permettant de refuser ou d’accepter les cookies. Cette condition semble être respectée dans le cas où la personne concernée peut refuser le dépôt des cookies et bénéficier du service via une autre alternative, quoique payante. Or, une telle pratique ne renforce-t-elle pas le déséquilibre existant entre l’éditeur du site et l’utilisateur ? Ne crée-t-elle pas une discrimination dans la protection des utilisateurs ?

L’entrée en application du RGPD a permis aux personnes concernées d’avoir plus de maîtrise sur leurs données du fait des différents droits qui ont été introduits. Mais dans le cas où la personne se trouve obligée de tolérer la collecte de ses données, n’ayant pas les moyens de payer pour interdire cette collecte, on ne peut considérer qu’elle a une maîtrise complète sur ses données et qu’elle peut décider réellement de leur avenir.

Prenons l’exemple d’une personne aisée qui souhaite se connecter à un site et qui doit, pour y parvenir, accepter les cookies ou supporter une contrepartie. Cette personne préfère payer pour éviter que ses données ne soient recueillies. Une personne qui n’a pas les moyens ne pourra pas forcément opter pour cette alternative et sera dans l’obligation d’accepter les cookies. Une sorte de discrimination dans la protection prendra dès lors naissance et seules les personnes aisées pourront bénéficier d’une protection élevée. Car, bien que la contrepartie fixée soit minime, elle peut constituer une charge lourde dans certains cas, surtout lorsqu’elle est proposée par plusieurs sites auxquels l’utilisateur souhaite accéder. Celui-ci peut ainsi finir par accepter la collecte de ses données pour éviter toute charge financière.

Une monétisation dissimulée

Le fait que la CNIL ait toléré cette alternative payante sous certaines conditions, implique une approbation de la validité de la pratique de monétisation des données. En effet, en rendant possible de remplacer la collecte des données par le paiement, on reconnaît en quelque sorte la valeur monétaire de la donnée. Ce moyen permet de compenser la perte de bénéfices pouvant être réalisés en recourant aux cookies.

Or, ces données appartiennent à la personne et ne doivent pas faire l’objet de commerce. Il faut bien distinguer la monétisation des données d’une part et leur vente d’autre part. Si la collecte des données peut remplacer dans une certaine mesure le paiement d’un tarif, il ne faut pas encourager la reconnaissance d’un droit de propriété sur les données personnelles et permettre à n’importe quelle personne de disposer des données d’une autre, voire de les détruire. Dans tous les cas, le respect des principes fondamentaux sur la protection des données doit être assuré lors du recours à cette pratique et une acceptation généralisée des cookies walls ne peut aucunement être tolérée.

Ola Mohty, DPO chez Data Legal Drive


Lex Inside - L’actualité juridique - Émission du 22 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 20 novembre 2024 :

Lex Inside - L’actualité juridique - Émission du 15 novembre 2024 :