« Consent or Pay » : le CEPD rend un avis détaillé et promet des lignes directrices
Dans son avis publié le 17 avril 2024 et faisant suite à son assemblée plénière, le Comité Européen de la Protection des Données prend position sur le sujet des modèles dits « Consent or Pay ».
Le CEPD définit ces modèles comme la situation où le responsable de traitement offre deux possibilités aux personnes concernées cherchant à accéder à un service en ligne.
- Consentir au traitement de leurs données à caractère personnel, le plus souvent aux fins de publicité ciblée ;
- Décider de payer un montant déterminé afin d’accéder au service sans que leurs données soient traitées.
En résumé, le CEPD considère qu’un tel modèle ne satisfait généralement pas aux critères d’un consentement valide. Il est en effet difficile de considérer comme libre et non contraint le consentement à la publicité ciblée, lorsqu’il est le seul moyen gratuit d’accéder au contenu.
Les frais facturés ne doivent ainsi pas être d’un montant dissuasif qui inciterait à opter pour le consentement. Il faut, au cas par cas, évaluer si une redevance est appropriée, ainsi que son montant. Il revient également aux plateformes de déterminer si le refus du consentement revient pour l’usager à s’exclure d’un service important ou perdre l’accès à du contenu ou des relations. Un autre critère à considérer est un potentiel déséquilibre entre l’usager et le responsable de traitement ; il faut pour cela évaluer la position sur le marché du responsable, en particulier si c’est une grande plateforme, et l’importance du service pour la personne concernée.
Le CEPD considère que ces risques sont exacerbés dans le cadre d’un modèle « consent or pay ».
Il invite dès lors les opérateurs des grandes plateformes en ligne à développer une alternative équivalente à la publicité ciblée, sans pour autant impliquer un paiement forfaitaire – par exemple, la présence de publicités, mais qui ne seraient pas basées sur l’analyse des données personnelles de l’utilisateur.
Par ailleurs, le CEPD rappelle que l’obtention d’un consentement, même conforme aux critères imposés par le RGPD, ne dispense pas le responsable de traitement de se conformer à l’ensemble des principes du Règlement – comme la limitation de la finalité, la minimisation des données traitées, la proportionnalité du traitement…
Le CEPD conclut en promettant la publication prochaine de lignes directrices détaillées.
Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion des données personnelles recueillies dans le cadre de votre activité.
Pour toute question, n’hésitez pas à nous contacter.