VIE DES AFFAIRES - RGPD - 21.06.2022

Légalité des « cookie walls »

La Cnil a publié les premiers critères permettant d’évaluer la légalité des « cookie walls » (« murs de traceurs »), en attendant le futur règlement « ePrivacy ».

À quelles conditions un éditeur de site web peut-il en bloquer l’accès à l’internaute qui refuse le dépôt de cookies ? Peut-il régulièrement proposer une alternative payante ? La Commission nationale de l’informatique et des libertés (Cnil) a publié des critères pour évaluer la conformité de la pratique des « cookie walls » (Note de la Cnil du 16.05.2022 surhttps://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/la-cnil-publie-des-premiers-criteres-devaluation) .

La pratique des « cookie walls » (ou « murs de traceurs ») consiste à bloquer l’accès au contenu d’un site web pour l’utilisateur qui n’accepte pas globalement le dépôt de cookies ou la consultation des cookies déjà enregistrés par l’éditeur du site. En pratique, un bandeau sur la page d’accueil demande à l’internaute de cliquer sur le bouton « J’accepte les cookies ». À défaut, l’accès au contenu est impossible.

Dans de précédentes lignes directrices, la Cnil avait considéré « que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement » (Délibération 2019-093 art. 2, al. 4) .

Estimant que cette disposition équivalait à une « interdiction générale et absolue » de la pratique des « cookie walls », alors même qu’aucune disposition de la loi de 1978 ni du RGPD ne l’interdit, le Conseil d’État avait jugé que la Cnil excédait ainsi ce qu’elle pouvait légalement faire dans le cadre d’un instrument de « droit souple » (CE 19.06.2020 n° 434684) . Pour le Conseil d’État, la liberté du consentement de l’utilisateur d’un site doit être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternatives réelles et satisfaisantes proposées en cas de refus des cookies.

Après avoir révisé sa position dans ses dernières lignes directrices (Délibérations  2020-091 et 2020-092 du 17.09.2020) , et dans l’attente du futur règlement européen « ePrivacy » ou d’une décision de la Cour de justice de l’Union européenne (CJUE), la Cnil a estimé nécessaire d‘établir des critères permettant aux professionnels d’évaluer la légalité de la pratique des « cookie walls ».

Rappel. Dans les lignes directrices « cookies et autres traceurs », la Cnil a précisé que le fait de conditionner la fourniture d’un service ou l’accès à un site web à l’acceptation du dépôt de certains traceurs est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. Si l’exigence d’un consentement « libre » n’entraîne pas une interdiction générale de la pratique des « cookie walls », leur légalité doit être appréciée en tenant notamment compte de l’existence d’alternative(s) réelle(s) et satisfaisante(s) proposée(s) en cas de refus des traceurs (Délibération 2020-091 du 17.09.2020 art. 2, 17) .

L’internaute doit disposer d’une alternative équitable pour accéder au contenu du site

Dans la droite ligne de la décision du Conseil d’État, la Cnil recommande aux éditeurs de site internet de proposer à l’internaute ayant refusé l’utilisation des cookies (par exemple, en cliquant sur un bouton « tout refuser ») une alternative réelle et équitable permettant d’accéder au contenu du site et qui n’implique pas de devoir consentir à l’utilisation de ses données.

À défaut, l’éditeur devra être en mesure de démontrer que son service est également accessible sur un autre site sans « cookie wall ». Dans ce cas, la Cnil recommande à l’éditeur du site utilisant un « cookie wall » de veiller à ce que cette alternative soit facile d’accès pour l’utilisateur, afin d’éviter tout déséquilibre entre lui et l’internaute, qui serait de nature à priver ce dernier d’un véritable choix.

Selon la Cnil, un déséquilibre pourrait exister en cas d’exclusivité de l’éditeur sur les contenus ou services proposés (par exemple, un service administratif ne peut pas conditionner l’accès à une téléprocédure à l’acceptation de cookies non nécessaires au fonctionnement du site) ou pour les éditeurs ou services dominants ou incontournables , l’internaute ne disposant pas d’un véritable choix de les consulter ou non.

Alternative payante : quel tarif ?

Un tarif raisonnable. Un éditeur peut conditionner l’accès à son contenu soit à l’acceptation de traceurs (« cookie wall »), soit au paiement d’une somme d’argent (« paywall »), car la contrepartie monétaire constitue une alternative au consentement aux traceurs. Cependant, cette alternative n’en est véritablement une que si le tarif est raisonnable, indique la Cnil. Elle précise que ce caractère raisonnable relève d’une analyse au cas par cas et encourage les éditeurs à publier leur analyse. Il appartiendra à ces derniers de justifier du caractère raisonnable de la contrepartie monétaire proposée.

Modes de paiement. À cet effet, les éditeurs sont invités à tenir compte des modes de consommation du service proposé. Le mode de financement n’a pas systématiquement à prendre la forme d’un abonnement payant au site pour y accéder sans traceurs ; l’éditeur peut permettre un accès ponctuel à son service ou contenu au moyen de micropaiements réalisés à l’aide d’un porte-monnaie virtuel (par exemple Paypal, Apple pay, Google Pay, etc.), sans que l’internaute n’ait alors à enregistrer ses données de carte bancaire auprès de l’éditeur.

En cas d’obligation de création d’un compte utilisateur. La Cnil recommande aux éditeurs de site imposant aux internautes la création d’un compte utilisateur de s’assurer qu’une telle obligation est justifiée par rapport à la finalité visée, par exemple pour permettre à un utilisateur qui a souscrit à un abonnement d’en bénéficier sur d’autres terminaux. Dans ce cas, l’éditeur doit informer les internautes de l’usage de leurs données et limiter leur collecte aux données nécessaires aux objectifs poursuivis. Enfin, l’éditeur qui souhaite réutiliser les données collectées lors de la création du compte pour d’autres finalités devra s’assurer d’en avoir préalablement et clairement informé l’internaute et recueillir, si nécessaire, le consentement des internautes pour ces nouveaux objectifs.

Des « cookie walls » ou « paywalls » limités à l’objectif poursuivi

La Cnil rappelle que l’absence de possibilité d’accepter ou de refuser des traceurs selon leur objectif, finalité par finalité, peut affecter la liberté de choix de l’utilisateur et donc la validité de son consentement. Elle indique que l’éditeur doit informer les internautes des finalités pour lesquelles il est nécessaire de consentir au dépôt de cookies pour accéder au service, le « cookie wall » ou le « paywall » devant être limité a ux finalités permettant une juste rémunération du service proposé (ce que l’éditeur devra être en mesure de démontrer). Ainsi, si la rémunération d’un service est assurée par les revenus issus de la publicité ciblée , seul le consentement aux traceurs collectés en vue de cette finalité devrait être nécessaire pour accéder au service ; le refus de consentir à d’autres finalités (personnalisation du contenu éditorial, par exemple) ne devrait alors pas empêcher l’accès au contenu du site.

Traceurs imposés pour accéder à un contenu hébergé sur un site tiers

La Cnil rappelle qu’en principe, aucun traceur (autre que ceux qui sont nécessaires au fonctionnement du site web) ne peut être déposé sur le terminal de l’internaute lorsqu’il refuse un tel dépôt et choisit l’alternative proposée par l’éditeur. Cependant, l’accès à des contenus hébergés sur des sites tiers (par exemple, une vidéo hébergée sur un site tiers) ou à un service demandé par l’utilisateur (par exemple, l‘accès à un bouton de partage du contenu sur les réseaux sociaux) peut parfois entraîner le dépôt de traceurs, notamment publicitaires, par ce site tiers.

Dans ce cas, le consentement de l’utilisateur pourrait être recueilli lorsque l’utilisateur souhaite activer le contenu, par exemple, au sein d’une fenêtre dédiée qui s’affiche et dans laquelle il devra disposer d’une information claire concernant :

  • le fait que l’activation du contenu externe ou l’utilisation des boutons de partage requiert de consentir au dépôt de traceurs, en précisant la ou les finalité(s) des traceurs utilisés ainsi qu’un lien vers la politique de confidentialité, en français, du fournisseur du contenu externe ;
  • la possibilité de retirer, aisément et à tout moment, son consentement ;
  • les conséquences du refus ou retrait du consentement concernant le dépôt de traceurs, y compris l’impossibilité d’accéder au contenu externe.

En tout état de cause, l’internaute devra toujours avoir la possibilité de se rendre de lui-même dans les paramétrages du site pour consentir à certains usages (par exemple, la personnalisation du contenu éditorial).

La Cnil et le Comité européen de la protection des données (CEPD) ont appelé, à plusieurs reprises, le législateur européen à fixer des règles plus précises en matière d’utilisation de « murs de traceurs » ou « cookie walls » sur un site web dans le futur règlement européen « ePrivacy », en cours d’élaboration. Dans l’attente d’une législation ou d’un positionnement de la CJUE, la Cnil a publié des critères permettant d’évaluer la légalité des pratiques de « cookie walls » les plus couramment constatées : ils doivent être utilisés dans le cadre d’une analyse au cas par cas.

Contact

Éditions Francis Lefebvre | 42 Rue de Villiers, CS50002 | 92532 Levallois Perret Cedex

Tél. : 03 28 04 34 10 | Fax : 03 28 04 34 11

service.clients.pme@efl.fr | pme.efl.fr

SAS au capital de 241 608 € • Siren : 414 740 852
RCS Nanterre • N°TVA : FR 764 147 408 52 • APE : 5814 Z