Depuis l’entrée en vigueur du RGPD, et celle de la loi française du 20 juin 2018 portant adaptation de la loi fondatrice du 6 janvier 1978, l’on a vu fleurir sur les sites web des boîtes de dialogue permettant aux internautes de prendre connaissance des différents cookies implantés sur leurs navigateurs, des finalités poursuivies par chacun de ces cookies, et de recueillir ainsi le consentement éclairé des utilisateurs à la collecte de leurs données personnelles en résultant.
Ces boîtes de dialogues, aussi appelées « consent management platforms », ont pour objectif de répondre aux exigences de l’article 82 de la loi du 6 janvier 1978 modifiée, qui dispose que « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle (…) ».
Cet article est le fruit d’une synthèse entre les exigences du RGPD en matière de consentement (qui constitue une base légale au sens de son article 6), et des exigences de la Directive européenne 2002/58/CE du 12 juillet 2002 dite « eprivacy ».
C’est notamment sur le fondement de cet article 82 que sont régulièrement condamnés des entreprises qui n’ont pas (ou pas correctement) recueilli le consentement des personnes concernées avant d’implanter des cookies et/ou d’utiliser les données ainsi collectées pour des finalités de prospection commerciale ou de publicité ciblée, dont Facebook et Google.
En outre, le Considérant n°32 du RGPD rappelle que pour constituer une base légale acceptable, le consentement donné par l’utilisateur doit être « donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant ».
Le consentement doit donc être libre et inconditionné. A titre d’exemple, le consentement ne peut être recueilli comme condition d’exécution d’un contrat distinct, ni obtenu sous une contrainte ou une menace quelconque.
Dans des lignes directrices relatives au consentement adoptées le 4 mai 2020[1], le CEPD avait d’ailleurs rappelé que le consentement doit remplir ces quatre critères : libre, spécifique, éclairé et univoque.
Dans un premier temps, certains sites avaient imposé un choix qui n’en était pas réellement un : consentir à l’implantation des cookies et à la collecte des données, ou être bloqué à l’entrée du site et ne pas pouvoir le consulter (pratique du « cookie wall »). De telles pratiques avaient vu le jour dès 2018, et avaient donné lieu à deux décisions successives du Conseil d’Etat, le 30 septembre 2019 puis le 19 juin 2020.
La CNIL avait initialement indiqué, dans une délibération du 4 juillet 2019, que la méthode du « cookie wall » conditionnant ainsi le consentement, était illicite : « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. Le CEPD considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté). »
Mais le Conseil d’Etat avait décidé d’invalider cette interdiction du cookie wall, au motif qu’il s’agissait d’une prohibition générale et absolue qui excédait ce que la CNIL pouvait légalement décider dans le cadre d’un acte dit de « droit souple » (ses « lignes directrices »).
En l’espèce, plusieurs éditeurs de presse sur internet avaient fait valoir que leur modèle économique fondé sur la gratuité d’accès à leurs sites, impliquait cependant de pouvoir rémunérer leurs rédactions d’une autre façon, et donc de générer des revenus publicitaires à partir des cookies implantés via leurs sites – c’est-à-dire en collectant les données des visiteurs aux fins d’afficher des publicités ciblées.
Si l’on peut comprendre que des sites internet d’information – qui font valoir les exigences d’une information libre, impartiale et indépendante, laquelle bénéficie non seulement aux éditeurs mais aussi aux citoyens et au fonctionnement démocratique – ont nécessairement besoin de financements… d’autres sites, qui proposent des recettes de cuisine ou des séances de cinéma, peuvent difficilement se prévaloir de ces hauts principes.
La CNIL avait conséquemment modifié ses lignes directrices, le 17 septembre 2020, pour indiquer qu’elle se prononcerait alors au cas par cas sur la validité de ces fameux « cookie walls ». La CNIL indiquait que « si l’exigence d’un consentement « libre » n’entraîne pas une interdiction générale de la pratique des cookie walls, leur légalité doit être appréciée en tenant notamment compte de l’existence d’alternative(s) réelle(s) et satisfaisante(s) proposée(s) en cas de refus des traceurs. »
Par suite, l’on a vu apparaître des modifications dans les boîtes de dialogues de certains sites internet, qui proposent désormais un choix entre (i) accepter les cookies publicitaires, ou (ii) les refuser, mais alors à la condition de s’abonner à titre payant au site en question.
Cette pratique reprend la pratique du « cookie wall » (par laquelle certains éditeurs web interdisaient purement et simplement l’accès à leur site si l’utilisateur ne consentait pas à l’implantation des cookies), mais en la modifiant puisque désormais, l’accès est conditionné au paiement préalable d’une redevance d’abonnement (pratique du « pay wall »).
Il est alors permis de s’interroger sur le caractère réellement « libre et inconditionné » d’un tel consentement, puisque l’utilisateur n’a de choix qu’entre (i) accepter la collecte et le traitement de ses données personnelles aux fins de personnalisation des publicités qui sont affichées (ce qui implique alors la captation de ses données par un très grand nombre d’acteurs de l’écosystème publicitaire), ou (ii) payer un abonnement à un site, dont il ne souhaitant parfois consulter qu’un contenu ponctuellement.
S’agissant de cette alternative spécifique, la CNIL avait écrit dès le 17 septembre 2020 que « le fait, pour un éditeur, de conditionner l’accès à son contenu, soit à l’acceptation de traceurs contribuant à rémunérer son service, soit au paiement d’une somme d’argent, n’est pas interdit par principe puisque cela constitue une alternative au consentement aux traceurs. Cette contrepartie monétaire ne doit toutefois pas être de nature à priver les internautes d’un véritable choix : on peut ainsi parler de tarif raisonnable ».
Plus récemment, la CNIL a publié le 16 mai 2022 ses premiers critères pour apprécier la licéité des cookie walls au cas par cas, en exposant un certain nombre d’exigences et de contrôles[2].
La CNIL y indiquait que « s’il n’est pas interdit de conditionner l’accès au site au consentement à une ou plusieurs finalités des traceurs, l’éditeur devra démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé. Par exemple, si un éditeur considère que la rémunération de son service dépend des revenus qu’il pourrait obtenir de la publicité ciblée, seul le consentement à cette finalité devrait être nécessaire pour accéder au service : le refus de consentir à d’autres finalités (personnalisation du contenu éditorial, etc.) ne devrait alors pas empêcher l’accès au contenu du site. » (nous soulignons).
Or, la pratique tend à se répandre et, d’une exception censée bénéficier aux sites qui excipent d’une juste rémunération du service proposé, on constate que de plus en plus d’accès peuvent être conditionnés à cette alternative « consent or pay ».
Et parmi ces sites, sans surprise, on retrouve les grandes plateformes telles que Facebook (désormais « Meta »), qui se sont engouffrées dans cette brèche ainsi créée dans l’exigence d’un consentement libre et inconditionné.
Le Comité Européen de la Protection des Données (« CEPD ») a donc rendu un avis le 17 avril 2024[3] sur ces dispositifs « consent or pay » ou « pay or okay » (« payer ou consentir ») adopté par ces grandes plateformes.
Dans cet avis, le CEPD indique que l’alternative payante ne doit pas être considérée comme la voie à suivre par défaut. Selon lui, dans la plupart des cas, cette alternative brute entre consentir aux traitements de publicité ciblée et paiement d’une redevance ne répond pas aux exigences d’un consentement réellement libre et inconditionné.
Il serait donc nécessaire, pour beaucoup des plateformes qui ont adopté un dispositif « consent or pay », de proposer une troisième alternative à la fois gratuite et dépourvue de publicité comportementale ciblée (et qui peut par exemple être la pratique de la publicité contextuelle, nettement moins intrusive).
Le CEPD indique que ces plateformes (et plus généralement tout responsable de traitement tenté par un dispositif « consent or pay ») doivent justifier que la demande de paiement d’une redevance est réellement appropriée, en tenant compte notamment de leur position sur le marché, de la dépendance dans laquelle la personne se trouve par rapport au service en cause, ou encore du type de public visé par le service.
Concrètement, ce dispositif « consent or pay » a été adopté par Meta à la suite d’une décision de la Cour de Justice de l’Union Européenne[4] condamnant son dispositif précédent (Meta avait en effet tenté un temps de contourner l’obligation de recueillir le consentement des utilisateurs pour ses traitements de publicité en ligne, en se fondant sur la base légale du contrat[5], pratiquant là une confusion grossière des bases légales au motif discutable que Meta génère ses revenus à partir de la publicité en ligne). Dans sa décision, la CJUE avait rappelé que le consentement des utilisateurs devait nécessairement être recherché pour tout traitement de publicité ciblée, indépendamment donc d’un « contrat » entre le réseau et ses utilisateurs.
Or, suite à cette décision, Meta a modifié sa tactique et recourt désormais à l’alternative « consent or pay » pratiquée par les sites d’information : Meta propose désormais de choisir entre consentir au traitement des données personnelles… ou contracter un abonnement payant (faisant mentir au passage sa promesse marketing initiale d’un service éternellement gratuit !).
D’évidence, la mise en place d’une telle option pour les utilisateurs fait douter de la validité de leur consentement, et plus précisément de son caractère réellement libre. C’est le cas d’un utilisateur lambda qui communique chaque jour avec ses proches via Facebook ou Instagram depuis 10 ans, et qui du jour au lendemain, se voit contraint soit d’accepter l’utilisation de ses données à des fins publicitaires (multipliant considérablement le nombre des destinataires de ses données dans le monde), soit de payer une redevance parfois significative.
Et bien qu’elle joue un rôle conséquent dans la liberté d’expression à travers le monde en raison du nombre de ses utilisateurs, il serait particulièrement surprenant de considérer la plateforme Facebook comme un site d’information en ligne, en particulier au regard des « fake news » et autres contenus douteux qui circulent impunément en son sein (ce qui a précisément amené à l’adoption du Règlement européen 2022/2065 du 19 octobre 2022, dit « Digital Services Act »).
Sur ce principe de liberté, le CEPD a indiqué dans son avis du 17 avril 2024 qu’il faut tenir compte du risque de déséquilibre entre le responsable du traitement et la personne concernée, et que le consentement ne peut constituer une base légale valide que dans la mesure où la personne concernée dispose bien « d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice ».
Ce critère n’est pas rempli lorsqu’une personne refusant de consentir, subit un préjudice ou se sent obligée de consentir. Qu’est-ce alors qu’un préjudice ici ? L’avis du CEPD ne le dit pas.
Sur cette notion, on note que le groupe de travail de l’Article 29 (devenu CEPD) avait indiqué dès ses lignes directrices du 28 novembre 2017[6] que la personne concernée doit pouvoir refuser ou retirer son consentement et que « le responsable du traitement doit prouver que le retrait du consentement n’engendre pas de frais pour la personne concernée et qu’il n’y a donc pas de désavantage évident pour ceux qui retirent leur consentement ».
Quant au RGPD, son article 7 dispose que la personne concernée doit pouvoir retirer son consentement à tout moment, et si la notion de préjudice n’est pas expressément mentionnée, il est tout de même rappelé qu’en cas de retrait, la licéité du traitement ne doit pas être compromise.
Au regard du modèle « consent or pay » se pose donc la question de savoir dans quelles conditions le fait de faire payer un utilisateur pour accéder à un service si ce dernier refuserait de consentir au traitement de ses données à des fins marketing non intrinsèquement liées à la destination dudit service, constituera une conséquence négative importante et entravera sa liberté de choix.
Le 16 février 2024, vingt-huit ONG spécialisées dans la défense de la vie privée ont publié une lettre commune appelant le CEPD à s’opposer au modèle « consent or pay »[7]. Selon ces organisations, la mise en place du dispositif « consent or pay » empêche tout simplement les utilisateurs de disposer d’un choix libre et véritable[8], et revient à autoriser la monétisation des droits fondamentaux des personnes concernées.
Et en effet, accepter la généralisation (ou même la conformité de principe) du dispositif « consent or pay » aurait plusieurs conséquences défavorables pour les utilisateurs, et créerait de graves incohérences avec d’autres précautions réglementaires récentes.
A cet égard, la lettre de ces ONG évoquait l’impact négatif des dark patterns. Les dark patterns consistent à manipuler les individus par une exploitation de biais cognitifs, ce qui entrave directement leur capacité à effectuer des choix libres. On compte parmi ces méthodes les cases pré-cochées, la surcharge informationnelle, l’utilisation d’un vocabulaire incitatif, le choix des couleurs, la présentation déséquilibrée des options, voire un discours trompeur convaincant l’utilisateur que le partage de ses données ne serait pas susceptible de lui porter préjudice un jour[9]. Selon une étude[10], ces méthodes trompeuses peuvent faire passer le taux de consentement de 10% à 79%, voire 90%.
Or, l’article 25 du Règlement sur les Services Numérique du 5 juillet 2022 (dit « Digital Service Act » ou DSA)[11] pose une interdiction de principe de toute méthode tendant à tromper ou manipuler les destinataires des services, ou simplement entraver leur capacité à prendre des décisions libres et éclairées.
Une validation des dispositifs « consent or pay » serait peu cohérente avec cette interdiction des dark patterns. En effet, si le simple fait de jouer sur des biais cognitifs engendre une hausse significative du consentement, a fortiori le refus de contracter un abonnement ou de procéder à un paiement peut mécaniquement conduire à une hausse du taux de consentement – et c’est précisément ce en quoi consiste le dispositif « consent or pay ».
Outre le DSA, une autre réglementation récente censée contrôler les abus des grandes plateformes en ligne, le Digital Market Act (DMA)[12], a également posé des exigences de transparence pour les « contrôleurs d’accès » (ou « gatekeepers ») en matière de publicité en ligne et a vocation à protéger le consentement des utilisateurs.
Son Considérant 36 prévoit que ces gatekeepers doivent « permettre aux utilisateurs finaux de choisir librement d’adhérer à de telles pratiques de traitement de données [à propos de la combinaison et du croisement de données entre différents services de plateformes essentiels et de contrôleurs d’accès] et de connexion en proposant une autre possibilité moins personnalisée, mais équivalente, et sans subordonner l’utilisation du service de plateforme essentiel ou certaines de ses fonctionnalités au consentement de l’utilisateur final ».
Son considérant 37 souligne en outre que si l’utilisateur fait le choix de ne pas consentir au traitement, le service fourni ne devrait pas être de qualité moindre, tout en rappelant que le consentement doit être libre et que les tentatives de tromperie ou de manipulation des utilisateurs par le biais des interfaces est interdit.
Au-delà du décalage entre l’objectif de ces récents règlements en matière de publicité en ligne et les dispositifs « consent or pay », la lettre des ONG adressée au CEPD soulignait également que la redevance d’abonnement exigée par les plateformes en cause pourrait être supérieur au revenu que leur rapporte en réalité le traitement des données à des fins publicitaires… Enfin, les ONG alertaient sur un risque de généralisation de cette pratique par l’ensemble des entreprises en capacité de monétiser des données personnelles via le consentement.
A titre d’exemple, de nombreuses entreprises proposent des contenus gratuits sous forme d’études, de « livres blancs » ou de jeux. Ces contenus ont pour objectif de conquérir des prospects, mais une application rigoureuse du RGPD impose que soit recueilli leur consentement exprès à cette fin, indépendamment du téléchargement du contenu gratuit. Or, une application du dispositif « consent or pay » permettrait de rendre obligatoire le consentement à la prospection commerciale pour télécharger le contenu… ou conduirait à renoncer à son caractère gratuit.
Autrement dit, le contenu gratuit doit en réalité être payé, via une redevance chiffrée ou en données personnelles.
Par conséquent, une généralisation du dispositif « consent or pay » viendrait non seulement ruiner l’exigence d’un consentement réellement libre et inconditionné, mais au-delà, attaquerait frontalement le principe d’absence de patrimonialisation des données personnelles, qui fonde le RGPD (et avant lui la loi française de 1978 et la Directive européenne de 1995).
A ce titre, NOYB (« None Of Your Business »), célèbre organisation de protection de la vie privée, affirme qu’en France, une extension théorique des dispositifs « consent or pay » aux 100 sites web les plus visités représenterait un montant de 1.182, 36 euros par an et par personne ! En Allemagne, pays dans lequel la pratique du « consent or pay » a été admise, 30% des 100 premiers sites web du pays auraient déjà mis en place cette méthode[13].
NOYB souligne que ce n’est pas tant le montant de la redevance qui s’oppose à la notion de consentement libre, mais bien le principe d’une redevance lui-même. A titre d’exemple, le dirigeant d’un fournisseur « pay or okay » contentpass aurait admis que 99,9 % de ses visiteurs acceptent le suivi publicitaire lorsqu’ils sont confrontés à une redevance de (seulement) 1,99 €[14]. Par conséquent, même la décision de Meta en mars 2024 de généreusement ramener le montant de sa redevance de 9,99€ à 5,99€ par mois, serait sans réelle conséquence sur l’invalidité de principe de ce dispositif.
Pourtant, le CEPD n’a pas décrété d’interdiction pure et simple des dispositifs « consent or pay». Il s’est contenté d’indiquer que, dans la majorité des cas, le recueil du consentement sur la base de ce dispositif par les grandes plateformes ne réunira pas les conditions d’un consentement réellement valide.
On peut regretter ce que d’aucuns interpréteront comme une frilosité face aux grandes plateformes, mais on doit se souvenir des arguments des sites de presse en ligne pour justifier la nécessité quant à eux de s’appuyer sur des revenus publicitaires.
C’est donc selon une approche au cas par cas qu’il faudra déterminer si la mise en place d’une redevance est une alternative adéquate et suffisante, selon « la position sur le marché [du responsable de traitement], de la mesure dans laquelle la personne dépend du service, et du public principal du service ».
Or, il est peu contestable que Meta (qui détient Facebook et Instagram) bénéficie à la fois d’un déséquilibre au détriment de ses utilisateurs, et d’une position incontournable sur le marché des réseaux sociaux. De services initialement gratuits qui ont su se rendre indispensables dans la vie quotidienne de leurs utilisateurs, mais aussi dans le modèle économique de très nombreuses entreprises, ces réseaux sociaux deviendraient des plateformes soit payantes, soit intrusives, sans qu’il ne soit plus possible d’y échapper sans dommage.
Si le modèle « consent or pay » n’est pas déclaré intrinsèquement illégal, au grand dam des ONG luttant pour la protection de la vie privée, l’approche casuistique devrait aboutir, par souci de cohérence avec les autres grandes réglementations actuelles, à une interdiction de ces méthodes pour les grandes plateformes.
Enfin, le CEPD devrait prochainement élaborer des lignes directrices afin d’approfondir les critères de licéité de ces dispositifs, au-delà des seules grandes plateformes.
Thomas Beaugrand, Avocat Counsel
Margaux De Marcellus, Elève Avocat
DS Avocats
[1] Lignes directrices 5/2020 du Comité Européen de la Protection des Données sur le consentement au sens du Règlement (UE) 2016/679, du 4 mai 2020
[2] https://www.cnil.fr/fr/cookie-walls-la-cnil-publie-des-premiers-criteres-devaluation
[3] Site internet du CEPD : ‘Consent or pay’ models should offer a real choice, 17 avril 2024
[4] Décision de la Cour de Justice de l’Union Européenne, 4 juillet 2023
[5] Site None of your business, CJUE declares Meta / Facebook’s GDPR approach largely illegal
[6] Groupe de travail « Article 29 », lignes directrices sur le consentement au sens du règlement 2016/679, adoptées le 28 novembre 2017 – Point 3.1.4. Préjudice
[7] Lettre « Pay or okay’ – The end of a ‘genuine and free choice’, 16 février 2024
[8] https://noyb.eu/sites/default/files/2024-02/Pay-or-okay_edpb-letter_v2.pdf
[9] LINC (laboratoire d’innovation numérique de la CNIL) cahiers IP, innovation et prospective N°06, La forme des choix, Données personnelles, design et frictions désirables
[10] https://noyb.eu/sites/default/files/2020-05/Gallup_Facebook_EN.pdf
[11] Règlement (UE) 2022/2065 du parlement européen et du conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques)
[12] Règlement (UE) 2022/1925 du Parlement européen et du conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives UE 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques)
[13] Site internet NOYB : « Pay or Okay » : 1500 euros par an pour votre vie privée en ligne ?
[14] Site internet NOYB : « Pay or Okay » : 1500 euros par an pour votre vie privée en ligne ?
