La légalité des Cookie Walls est très discutable.

Le RGPD1 et la loi Informatique et Libertés2 demandent aux éditeurs de sites Internet d’informer les visiteurs et de demander leur accord avant de collecter et traiter leurs données à caractère personnel.

La façon dont l’information doit être donnée et la façon dont le consentement du visiteur est obtenu sont aussi détaillées dans les textes. Il est notamment indiqué que le consentement doit être donné librement :

« les traceurs nécessitant un recueil du consentement ne peuvent […] être utilisés […] qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.

— Article 2, Délibération n° 2020-091 du 17 septembre 2020.

Cette notion de consentement libre est reprise en préambule du RGPD, qui indique, entre autres, que l’accord est considéré comme librement obtenu uniquement si l’internaute a eu « une véritablement liberté de choix » :

« Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

— Considérant 42, RGPD

Les Cookie Walls ne permettent pas aux visiteurs d’accepter ou de refuser que leurs données à caractère personnel soient collectées. Les Cookie Walls exigent le consentement des visiteurs pour consulter le site. Les Cookie Walls peuvent donc être considérés, aux vus des textes précédents, comme illégaux.

La CNIL, en accord avec les lignes directrices3 du Comité Européen de la Protection des Données (CEPD)4, organisme en charge de garantir une application cohérente du RGPD au sein des pays de l’U.E., avait indiqué initialement que cette pratique des Cookie Walls était interdite. Le Conseil d’État a cependant exprimé son désaccord5 et a indiqué à la CNIL que la pratique des Cookie Walls ne pouvaient pas être interdite de manière générale.

Cette pratique des Cookie Walls n’est donc pas interdite, ni clairement autorisée. Elle doit être « appréciée au cas par cas », en fonction des alternatives proposées aux visiteurs :

« Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé. »

Aucune entreprise n’a été sanctionnée pour avoir utilisé des Cookie Walls pour le moment, même si la CNIL voit d’un mauvais œil cette pratique. De futures délibérations de la Comission et de nouveaux textes, comme le texte européen ePrivacy6, nous le diront probablement bientôt.

Notes et références

  1. RGPD : Règlement Général de Protection des Données.
  2. Le texte principal encadrant l’utilisant des cookies est l’Article 82 de la Loi Informatique et Libertés. Voir « La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué ».
  3. Lignes directrices de la CNIL relatives aux cookies et autres traceurs : Délibération n° 2020-091 du 17 septembre 2020.
  4. Comité Européen de la Protection des Données ou European Data Protection Board : edpb.europa.eu.
  5. Le Conseil d’État a affirmé que les Cookie Walls ne pouvaient pas être interdits de façon générale (Conseil d’État, 19/06/2020, 434684).
  6. La directive ePrivacy a été proposée initialement en 2002 (Directive 2002/58/EC), puis amendée en 2009 (Directive 2009/136/CE). Elle n’est pas encore applicable dans les pays de l’U.E.