L’EDPB, l’organisme public qui regroupe les autorités européennes de protection des données, a publié, le 17 avril 2024, son analyse détaillée sur l’utilisation de cookie-walls (appelés également « Payer ou consentir »), c’est-à-dire l’obligation de payer ou de consentir à l’utilisation de ses données personnelles pour accéder à un service en ligne.

Cette analyse, sollicitée par les autorités néerlandaise, norvégienne et allemande, permet d’établir « les conditions dans lesquelles les cookie-walls couplés à l’utilisation de publicité comportementale peuvent être implémentés par les grandes plateformes en ligne », en tenant compte des exigences du consentement[1] du RGPD et de la récente jurisprudence[2] de la CJUE.

De manière générale, l’EDPB a rappelé qu’un consentement était valide lorsqu’il représentait une volonté « spécifique », « libre » et « informée » de l’internaute, et que « les données à caractère personnel ne peuvent pas être considérées comme une marchandise négociable ». Les plateformes en ligne souhaitant utiliser un cookie-wall devraient donc être en mesure de démontrer que toutes ces exigences soient respectées pour éviter que « le droit fondamental à la protection des données ne soit transformé en une option dont les personnes concernées doivent payer pour en bénéficier ».

Plus spécifiquement, les plateformes devraient être en mesure de démontrer que le consentement est « librement donné », en prenant en compte des éléments suivants :

  • l’existence d’un éventuel « préjudice », qui naît notamment lorsque la personne s’opposant à l’utilisation de ses données à des fins de publicité comportementale est exclue d’une plateforme en ligne, particulièrement si cette plateforme est un réseau social permettant de participer aux activités sociales ou professionnelles du quotidien – Facebook ou LinkedIn par exemple.
  • l’existence d’un coût, particulièrement si ce coût « encourage les utilisateurs à consentir ».
  • l’existence d’un « déséquilibre des pouvoirs » entre la plateforme et la personne, déterminé notamment en fonction du positionnement de la plateforme sur le marché.

« en cas de déséquilibre manifeste entre l’éditeur et l’internaute, le consentement ne peut être utilisé que dans des "circonstances exceptionnelles" »

— EDPB, Opinion 08/2004, conclusions

Enfin, concernant la jurisprudence de la CJUE, particulièrement l’arrêt du 4 juillet 2023 concernant Meta (ex-Facebook) qui stipule de manière accessoire que les utilisateurs devraient « se voir proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données », l’EDPB comprend que « les cookie-walls ne sont pas interdits en principe ». Elle note toutefois que la Cour n’a pas explicité la notion d’« alternative équivalente », ni la notion de « rémunération appropriée ».

Concernant l’« alternative équivalente », l’EDPB explique qu’une alternative équivalente devrait être comprise comme une solution « réellement équivalente », en termes de fonctionnalités, et proposée par le même responsable de traitement. Elle ne devrait toutefois pas contenir de publicité comportementale, dans la mesure où les traitements de données associés ne sont pas « nécessaires »[3].

Concernant l’éventuelle « rémunération appropriée », l’EDPB estime que « certaines circonstances devraient être présentes pour qu’une rémunération soit imposée », et que les responsables de traitement devraient évaluer, au cas par cas, si la situation justifie qu’une rémunération soit demandée et si le montant demandé est approprié, tout en gardant à l’esprit la finalité de protection des données introduite par le RGPD et la nécessité de ne pas transformer le droit fondamental à la protection des données en une option payante. Dans tous les cas, le choix de ne proposer une alternative payante « ne devrait pas être envisagée comme une solution par défaut ».

« Dans la plupart des cas, les grandes plateformes en ligne ne pourront pas se conformer aux exigences en matière de consentement si elles proposent aux utilisateurs qu’un choix binaire entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d’une redevance. »

— EDPB, Opinion 08/2004, résumé exécutif

Pour conclure, l’EDPB estime que les plateformes pourront difficilement respecter les exigences du RGPD, particulièrement celles du consentement, si deux choix sont proposés, payer ou consentir à l’utilisation de ses données, sauf si une alternative réelle et gratuite est proposée.

Cette analyse de l’EDPB devra être prise en compte par les autorités européennes de protection des données pour « assurer une interprétation cohérente du RGPD » au sein de l’Union européenne.

L'avis d'eWatchers (par Morgan Schmiedt)

La CJUE n’a pas fait un cadeau à l’EDPB lorsqu’elle a précisé qu’une « rémunération appropriée » peut être acceptable dans certains cas, sans plus de précisions. Comment introduire ce concept de « payer en fournissant ses données », alors que, jusqu’à présent, les données n’étaient pas considérées comme une monnaie d’échange et que le consentement était défini comme une manifestation de volonté libre de la personne ?

L’EDPB a essayé de concilier ces éléments contradictoires, en vain. Après une étude de texte de 40 pages, le résultat est clair : les cookie-walls sont interdits « dans la plupart des cas ». Quels cas justifieraient l’utilisation d’un cookie-wall ? On ne le sait pas (encore).

Cette position étrange est toutefois cohérente avec la décision du Conseil d’État de juin 2020[4], qui avait estimé que la CNIL ne pouvait pas simplement interdire les cookie-walls de manière générale et qu’une analyse au cas par cas devait être faite pour déterminer sa légalité.

Au final, les cookie-walls ne sont certes pas interdits par principe, mais la marge de manœuvre est très fine et inconnue.

Liens

Notes et références

  1. Des lignes directrices sur le consentement ont déjà été éditées en mai 2020 par l’EDPB. Elles complètent la définition du consentement (art. 4-11) du RGPD. Voir : Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679
  2. Particulièrement l’arrêt de la CJUE du 4 juillet 2023. Voir : Meta Platforms Inc. v Bundeskartellamt, C-252/21, EU:C:2023:537
  3. Les traitements de données associées à la publicité comportementales ne peuvent pas être justifiés par l’exécution d’un contrat passé entre Facebook et ses utilisateurs, ni par des intérêts légitimes de la société Meta (ex-Facebook). Voir « FACEBOOK – L’autorité norvégienne de protection des données interdit l’utilisation de données à des fins de publicité comportementale »
  4. Voir Conseil d’État, 19/06/2020, 434684
Sigles et acronymes
  • EDPB : European Data Protection Board
  • RGPD : Règlement Général sur la Protection des Données
  • CJUE : Cour de justice de l'Union européenne
  • CNIL : Commission Nationale de l'Informatique et des Libertés