La légalité des Cookie Walls est très discutable.

Le RGPD[1] et la législation française[2] demandent aux éditeurs de sites Web d’informer leurs visiteurs et de demander leur accord avant de collecter leurs données à caractère personnel.

La façon dont ces informations doivent être données et la façon dont le consentement du visiteur doit être obtenu sont aussi détaillées dans les textes. Il est notamment indiqué que le consentement doit être donné « de manière libre ».

« les traceurs nécessitant un recueil du consentement ne peuvent […] être utilisés […] qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair. »

Cette notion de consentement libre est aussi détaillée dans le RGPD. Le texte indique que l’accord de l’internaute devrait être considéré comme « donné librement » uniquement si l’internaute a eu « une véritablement liberté de choix » ou si l’internaute peut refuser de donner son consentement « sans subir de préjudice » :

« Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

— RGPD, considérant 42

Les Cookie Walls ne permettent pas aux visiteurs de refuser le traitement de leurs données personnelles sans subir de préjudice, car s’ils refusent, l’accès du site leur est refusé. Les Cookie Walls devraient donc être considérés, aux vus des textes précédents, comme illégaux.

La CNIL[3], en accord avec le Comité Européen de la Protection des Données[4][5] (EDPB), organisme en charge de garantir une application cohérente du RGPD au sein des pays de l’UE, avait indiqué initialement que cette pratique des Cookie Walls était interdite. Le Conseil d’État a cependant exprimé son désaccord[6] et a considéré que la pratique des Cookie Walls ne pouvait pas être interdite de manière générale.

Cette pratique des Cookie Walls n’est donc pas interdite, ni clairement autorisée. Elle doit être « appréciée au cas par cas », en fonction des alternatives proposées aux visiteurs :

« Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé. »

Aucune entreprise n’a été sanctionnée pour avoir utilisé des Cookie Walls pour le moment, même si la CNIL voit d’un mauvais œil cette pratique. De futures délibérations de la Commission et de nouveaux textes, comme le texte européen ePrivacy[7], nous le diront probablement bientôt.

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. L’article 82 de la loi Informatique et Libertés est le principal texte français encadrant l’utilisation de cookies. Il est la transposition de l’article 5-3 de la directive européenne « ePrivacy » (Directive 2009/136/CE). Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. Comité Européen de la Protection des Données ou European Data Protection Board (EDPB): edpb.europa.eu.
  5. Les lignes directrices de l’EDPB indiquent : « afin que le consentement soit donné librement, l’accès aux services et aux fonctionnalités ne doit pas être conditionné au consentement d’un utilisateur au stockage d’informations, ou à l’accès aux informations déjà stockées, sur l’équipement terminal d’un utilisateur (les cookie walls) » (source : EDPB, Lignes directrices 5/2020 sur le consentement, §39).
  6. Le Conseil d’État a affirmé que les Cookie Walls ne pouvaient pas être interdits de façon générale (Conseil d’État, 19/06/2020, 434684).
  7. La directive ePrivacy a été proposée initialement en 2002 (Directive 2002/58/EC), puis amendée en 2009 (Directive 2009/136/CE). Elle n’est pas encore applicable dans les pays de l’U.E.