Les cookies walls, l'exception française est-elle légale ?

Alors que Google a annoncé la fin des cookies tiers chamboulant le marché publicitaire en ligne, des cookies walls fleurissent sur différents sites. Deux alternatives s’offrent aux internautes, payer pour ne plus avoir de publicité ciblée ou accepter pour avoir accès aux contenus « gratuitement ». Une pratique française qui soulève de nombreuses interrogations et qui va à l’encontre des lignes directrices du Conseil européen de protection des données. Explications.

L’adage « quand c’est gratuit, c’est vous le produit » n’a jamais été aussi pertinent. Par une délibération du 5 décembre 2013, la CNIL (Commission nationale de l'informatique et des libertés) fixait la réglementation en matière de cookies « après concertations avec les professionnels concernés ». A l’origine, celle-ci prévoyait un bandeau sur les sites visant à simplement accepter la navigation tout en donnant l’information aux internautes que le site utilisait des cookies tiers, ceux-là même utilisé pour de la publicité ciblée ne provenant pas du site consulté lui-même, mais d’autres acteurs partenaires. Entre-temps, le RGPD et la directive e-Privacy sont passés par là avec son lot de dispositions plus contraignantes envers la publicité en ligne. Petit retour.

La directive e-Privacy et le RGPD

L’Europe, consciente du monopole des GAFAM, et en particulier de l’hégémonie de Google sur le marché de la publicité en ligne, a élaboré une directive sur la vie privée nommée e-Privacy et fondée sur la directive 95/46/CE sur les données personnelles. Cette dernière définit la notion de consentement qui apparaît comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Parallèlement, la mise en place du Règlement général sur la protection des données personnelles (RGPD) a remplacé cette directive et, par effet de cascade, les textes nationaux qui en découlaient. Depuis le 25 mai 2018, date à laquelle le RGPD commençait à se déployer, ce consentement est défini comme la « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». En clair, le RGPD indique que ce consentement doit être :

• Librement donné ;
• Spécifique ;
• Informé ;
• Indication sans ambiguïté des souhaits de l'utilisateur.

Exit donc le simple bandeau avec juste la mention Accepter, bonjour celui permettant de désactiver, à tout moment, les cookies tiers. Cependant, la CNIL avec la bénédiction de l’État a tardé dans la mise en application de cette nouvelle réglementation en donnant plus d’un an aux acteurs pour se mettre en conformité. Dans l’intervalle, elle a même considéré comme acceptable « la poursuite de la navigation comme expression du consentement » tout en considérant, non sans une ambiguïté toute paradoxale, que ses recommandations établies en 2013 n’étaient plus en phase avec les règles applicables. Attaquée par diverses associations, dont la Quadrature du Net, la CNIL est restée de marbre… Entre juillet 2019 et 2020, elle en a profité pour développer de nouvelles lignes directrices avec les organisations professionnelles. Cette recommandation adoptée en septembre 2020 a donné lieu à un nouveau délai de mise en conformité des acteurs au 31 mars 2021.

Le RGPD pleinement applicable depuis le 1^er avril 2021

La tolérance de la CNIL s’arrête alors au 31 mars dernier, date à laquelle ou l’ensemble des acteurs doivent se conformer au RGPD, soit cinq ans après l’adoption de ce règlement. Les bandeaux de cookies se dotent de bouton tout accepter / tout refuser avec certaines variantes dans leurs formulations, la finalité étant la même.

Le cookie wall, la bourse ou la vie privée ?

Venons-en au cœur du sujet ! Depuis quelque temps, une nouvelle forme de bandeau de cookies fleurit sur certains sites, notamment ceux appartenant à la société Webedia, premier groupe média français sur le divertissement online (Allociné, Jeuxvideo.com, PureMédias, Terrafenima, PureBreak ou encore Easyvoyage) ainsi que sur des sites culinaires tels que Marmiton… proposant de payer 2 € / mois pour mettre fin au tracking publicitaire ciblé si l’internaute ne l’accepte pas. L’utilisateur a le choix de passer son chemin s’il ne veut pas débourser un centime ou accepter le tracking publicitaire. La raison invoquée consiste dans le fait que le business modèle de ces plateformes repose sur les revenus publicitaires servant à alimenter, en partie, leurs sites en contenus et donc de payer leur rédacteur. Un argument pour le moins fallacieux du fait qu’il aurait pu, à l’origine de leur création, opter pour un système freemium avec une offre d’abonnement payant et que, pour certain, disposent d’autres revenus plus traditionnels puisqu’éditant des magazines print (comme Marmiton). Mais passons !

Cette pratique a soulevé un tollé de la part des internautes et pourtant, sa légalité étant sujette à caution, ne serait-ce que d’un point de vue éthique. Pourquoi devoir payer pour un contenu qui était, auparavant, gratuit (car ces sites respectaient dans leur majorité, le RGPD) ? Le 4 juillet 2019, la CNIL se prononçait contre ce principe, le prohibant d’emblée arguant que l’internaute ne devait pas subir « d’inconvénients majeurs en cas d’absence ou de retrait du consentement ». C’était sans compter le lobbying des acteurs du monde la publicité en ligne français. Un an plus tard, le Conseil d’Etat censure purement et simplement l’interdiction générale et absolue des « cookies wall » par une autorité régulatrice, en l’occurrence, la CNIL. Dans sa décision du 19 juin 2020, le Conseil d’État estime que la CNIL a excédé de ses pouvoirs, celle-ci ne pouvant se substituer à la loi ou au décret et donc, ne pouvant interdire une pratique. La question est tranchée sur la forme, mais pas sur le fonds procurant un vide juridique. Légalement, rien n’interdit en France, la mise en place de cookies walls vu qu’aucune loi ne l’interdit jusqu’à présent. Cependant, le Comité européen de protection des données (EDPB), un organe de contrôle indépendant comptant des représentants des autorités nationales de protection des données dans l’Union européenne, a exclu, dans ses lignes directrices adoptées en mai 2020, l’usage du cookie wall. « L'accès aux services et fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage ou à l'obtention de l'accès à des informations déjà stockées dans l'équipement terminal d'un utilisateur », indique l’EDPB.

Vers un nouveau règlement e-Privacy

La directive e-Privacy, datant de 2002, est actuellement en révision après plus de quatre ans de blocages. Celle-ci devra compléter le RGPD au vu des technologies d’aujourd’hui comme le souligne le CEPD (Comité européen de la protection des données) dans une déclaration du 9 mars 2021 : « le règlement e-Privacy ne doit en aucun cas abaisser le niveau de protection des données offert par l’actuelle directive “vie privée et communications électroniques”, mais devra compléter le RGPD pour apporter de solides garanties pour la confidentialité et la protection de tous types de communications électroniques. » Ce même comité indique que la nécessité d’obtenir un consentement éclairé et libre devrait empêcher les fournisseurs de recourir à des pratiques telles que celle du « à prendre ou à laisser » qui font du consentement une condition d’accès aux services et fonctionnalités d’un site internet ou encore la pratique des cookie walls. Le CEPD milite pour une interdiction pure et simple de ces procédés dans la prochaine version de l’e-Privacy (texte en anglais ici). Le Conseil Européen s’avère plus nuancé à ce stade : « l'utilisateur final devrait avoir véritablement la liberté de choisir s'il accepte ou non les cookies ou des identifiants similaires. Le fait de subordonner l'accès à un site web au consentement à l'utilisation de cookies à d'autres fins en tant que solution alternative à un verrou d'accès payant sera autorisé si l'utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n'implique pas le consentement aux cookies ». Le texte devrait être soumis au Parlement Européen prochainement. Affaire à suivre…