Cela fait maintenant quelques semaines que Meta a posé un choix à ses utilisateurs. Continuer à utiliser Facebook, Instagram, … en acceptant la récolte des données personnelles pour cibler les publicités ou s’abonner contre 12,99 € par mois pour ne plus être suivi.
Ce système d’abonnement, permet à Meta d’être en accord avec les règles du règlement général sur la protection des données (RGPD) ainsi que celles du Digital Market Act (DMA), une réglementation européenne qui entrera en vigueur en mars 2024.
Zoom sur la légalité de la pratique
Le consentement récolté doit être libre. Cette exigence implique un choix et un contrôle réel pour la personne concernée. Si celle-ci se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable. A cet égard, la pratique des « Cookies Walls » qui consiste à bloquer l’accès à un site web ou à une application mobile pour celui qui ne consent pas à l’installation de cookies « non fonctionnels » est assez discutée. Ces pratiques de blocage d’accès ne sont pas, par nature, illégales malgré le fait que l’autorité de protection des données (APD) et la commission nationale de l’informatique et des libertés (CNIL) semblent condamner ce type de pratique.
En effet, le considérant 25 de la directive e-privacy et l’article 7.4 du RGPD n’interdisent pas par nature ce type de pratique. Cependant, pour déterminer si le consentement est libre, l’article 7.4 précise qu’il faut tenir compte si la fourniture du service est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution du contrat.
Or, les cookies à des fins de publicité ciblée ne sont pas nécessaires pour le bon fonctionnement du site web mais uniquement pour sa rentabilité. La validité du consentement obtenu pourrait être légitimement remise en question si un « cookie wall » a forcé la main de l’internaute. Selon l’APD, cette pratique n’est pas conforme au RGPD puisqu’elle empêche de recueillir un consentement libre, l’internaute étant obligé de consentir à l’installation et/ou à la lecture de cookies pour pouvoir accéder au site web ou à l’application mobile.
S’agissant de la CNIL, celle-ci a dû supprimer toute référence à une interdiction de principe de recours aux « cookies walls ». Celle-ci énonçait, dans ses lignes directrices initiales adoptées le 4 juillet 2019, une interdiction générale et absolue de la pratique « des cookies walls » sous peine de sanction. Elle présentait également ses lignes directrices comme un simple rappel des règles applicables.
Les textes applicables ne prévoyant pas d’interdiction générale et absolue de cette pratique, le Conseil d’État a censuré[1] cette disposition qui excédait ce que la CNIL pouvait légalement faire dans un instrument de droit souple. Cependant, la CNIL ne valide pas cette pratique puisqu’elle l’indique contraire au considérant 42 du RGPD en portant atteinte à la liberté du consentement. Elle appréciera la licéité de cette pratique au cas par cas.
Par contre, si le site ayant mis en place un « cookie wall » propose une alternative sous la forme d’un prix raisonnable à payer pour accéder au service demandé, le consentement pourrait être considéré comme libre puisque l’internaute peut effectuer un véritable choix.[2]
En pratique, l’APD et la CNIL semblent condamner l’utilisation des cookies walls mais, ce n’est pourtant pas leurs rôles. Les praticiens réclament ainsi l’intervention du législateur européen pour combler ce flou juridique et armer les différentes autorités de protection des données contre ce genre de pratiques.
[1] CE 10e et 9e ch. Réunies, 16 oct 2019 n°433069, pt. 10
[2] A. DELFORGE, « Le placement de « cookies » sur un site web : la Cour de justice fait le point, l’APD commence à sanctionner », R.D.T.I., n°78-79, 2020, p. 110.