10/06/2024
Cybersecurity Insights
Exiger de payer pour le refus des cookies, une pratique bientôt illégale ?
Le 17 avril dernier, le Comité européen de la protection des données (CEPD) a adopté un avis sur la pratique des pay walls. Dans cet avis, le CEPD précise les critères pour évaluer la conformité de cette pratique et en ajoute de nouveaux. Face à tous ces critères, adopter la pratique du pay walls devient un risque de non-conformité pour les éditeurs.
La pratique du pay wall, initialement prévue par les éditeurs pour compenser la perte de revenus publicitaires résultant du refus des cookies, se transformerait-elle en nouvelle cible de non-conformité de la part des autorités de contrôle ?
Le pay wall est une pratique à laquelle vous n’êtes sûrement pas passé à côté. Vous l’avez peut-être déjà rencontré sur un site de média en ligne, ou encore sur les réseaux sociaux.
La pratique du pay wall consiste pour un éditeur de site, de proposer à un internaute qui refuse d’accepter les cookies de fournir une contrepartie financière pour accéder au site.
La position sur les pay walls ne fait pas l’unanimité au sein de l’Union Européenne. Cette pratique est interdite en Belgique, et autorisée sous certaines conditions dans d’autres pays. Concernant la France, la pratique du pay wall est autorisée depuis une décision du Conseil d’Etat du 19 juin 2020.
Le 17 avril dernier, le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du consentement lorsqu’il est proposé à un internaute de donner son consentement à l’acceptation des cookies, ou bien de payer pour ne pas faire l’objet de dépôt de cookies.
Il ressort de l’avis du CEPD que :
- le fait de n’offrir qu’une alternative payante aux services qui impliquent le traitement de données à caractère personnel à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement,
- les grandes plateformes en ligne devraient envisager de fournir aux internautes une alternative équivalente gratuite et sans publicité comportementale.
Selon le CEPD, dans la plupart des cas, les éditeurs ne remplissent pas les critères de validité du consentement s’ils ne confrontent les utilisateurs qu’à un choix binaire entre consentir au traitement de données à caractère personnel à des fins de publicité comportementale ou payer des frais. Ici, le critère de liberté du consentement ferait défaut.
Dans le contexte du pay wall, la liberté du consentement est garantie si les conditions suivantes sont réunies :
- Veiller à ce que l’internaute ne souffre pas d’un préjudice. Le préjudice peut survenir lorsque les personnes concernées ne paient pas de frais pour refuser leur consentement et sont donc exclues du service s’ils n’y consentent pas, surtout dans les cas où le service a un rôle prépondérant ou déterminant pour la participation à la vie sociale ou l’accès à la vie professionnelle (exemple : service administratif en ligne).
- Veiller à l’absence de déséquilibre entre la personne concernée et le responsable de traitement. Lorsqu’il existe un déséquilibre, le consentement ne peut être utilisé que dans des circonstances exceptionnelles et lorsque le responsable de traitement peut prouver qu’il n’y a pas de conséquences pour la personne concernée si elle ne donne pas son consentement, notamment si elle se voit offrir une alternative qui n’a pas d’impact négatif. Le déséquilibre est analysé au cas par cas selon des critères précis (exemple : la position de l’entreprise sur le marché, la mesure dans laquelle la personne concernée dépend du service et le public cible ou prédominant du service).
- Proposer une alternative équivalente offert par le même responsable de traitement et qui n’implique pas de consentir au traitement de données de publicité ciblée (exemple : proposer l’accès au service sans que des cookies de ciblage publicitaire soient déposés, toutefois des publicités non ciblées pourront être diffusées).
- Si un tarif est proposé, ce dernier doit être raisonnable. L’appréciation de ce critère est réalisée au cas par cas (exemple : un tarif qui transformerait le droit de refuser les cookies en tant que service premium réservé aux plus riches serait déraisonnable).
- Veiller à respecter le principe de spécificité, qui implique que les personnes concernées sont libres de choisir la finalité du traitement qu’elles acceptent, plutôt que d’être confronté à une seule demande de consentement regroupant plusieurs finalités (exemple : distinguer la finalité qui consiste à proposer un contenu ciblé qui correspond aux appétences de l’internaute et celle de publicité ciblée).
Pour davantage de précision, le CEPD a annoncé qu’il travaille sur des lignes directrices sur les modèles de « consentement ou de rémunération ».
Pour conclure, la pratique de payer pour le refus des cookies n’est pas illégale, toutefois elle fait l’objet de critères bien plus précis et exigeants dans le but de réduire son utilisation. Ainsi, au regard de ces critères qui se précisent et qui se multiplient, la pratique du pay wall devient un risque de non-conformité pour les éditeurs qui doivent se conformer à de nouvelles exigences.
Sources
- EDPB : Les modèles « consentement ou paiement » devraient offrir un véritable choix | Comité européen de la protection des données (europa.eu)
- Cookie walls : la CNIL publie des premiers critères d’évaluation | CNIL
- Le Conseil d’État annule partiellement les lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion – Conseil d’État (conseil-etat.fr)
- pdf (europa.eu)
Maria IDJOUBAR
Consultante Governance, Risks & Compliance