Le 16 mai 2022, la CNIL a publié ses premiers critères d’évaluation de la conformité des cookie walls.

Cette mise au point était attendue par tous les acteurs utilisant des cookies, et donc par l’ensemble des personnes exploitant des sites Internet.

Ces critères sont l’occasion de revenir sur cette pratique, les contraintes réglementaires qu’elle pose ainsi que la manière dont elle était considérée par les autorités avant d’analyser l’impact de la dernière publication de la CNIL.

1. Qu’est-ce qu’un cookie?

La CNIL définit le cookie comme étant « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web ».

Il existe plusieurs types de cookies :

• Les cookies techniques : Ils sont nécessaires au bon fonctionnement d’un site Internet et permettent d’en faciliter la navigation (ex : conserver en mémoire le contenu d’un panier d’achat ou la langue choisie pour naviguer sur le site) ;
• Les cookies analytiques : Ils permettent de mesurer l’audience d’un site, les pages préférées des internautes, le temps passé sur telle ou telle page ;
• Les cookies publicitaires : ce type de cookies permet d’afficher des publicités sur un site Internet. Cette publicité peut être personnalisée ou non. Lorsque la publicité est personnalisée, c’est que le cookie enregistre la navigation d’un internaute afin de connaître ses envies et afficher une publicité en relation.

Par exemple, il peut vous arriver de consulter un site de e-commerce et vous attarder sur un produit en particulier. N’étant pas décidé à l’acheter, vous quittez le site et accédez à un autre qui n’a aucun lien avec le précédent. En arrivant sur le nouveau site, le produit en question apparait sous la forme d’une publicité. Ceci est réalisé grâce aux cookies.

2. Comment déposer un cookie conformément à la réglementation?

Les cookies sont des données personnelles.

Ils obéissent à un régime spécifique énoncé à l’article 82 de la loi Informatique et Libertés.

Une partie des cookies peut être déposée sans le consentement des internautes : les cookies techniques et certains cookies de mesure d’audience (first party analytics).

Pour les autres, et en particulier les cookies publicitaires, le consentement de l’internaute est requis.

S’agissant de données personnelles, le consentement doit être donné dans les mêmes conditions que ce que prescrit le Règlement 2016/679 du 27 avril 2016 : le RGPD.

Conformément à l’article 4 du RGPD, le consentement est une « manifestation de volonté, libre, spécifique, éclairée et univoque ».

Parmi ces critères, la liberté du consentement est précisée à l’article 7 du RGPD :

« Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat. »

En d’autres termes, si l’accès à un service est subordonné au consentement du traitement de données sans rapport avec ce service, alors le consentement ne devrait pas être considéré comme librement donné.

3. Qu’est-ce qu’un cookie wall ?

La CNIL définit le cookie wall comme étant une pratique consistant à « conditionner l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal ».

Le cas d’usage apparaît sur plusieurs sites Internet de grande audience : Pour accéder au site, vous devez accepter les cookies publicitaires ou payer une certaine somme d’argent (en s’abonnant ou non).

4. Pourquoi la pratique du cookie wall est contestée ?

Cette pratique est critiquée pour sa difficulté à remplir le critère de liberté du consentement.

En effet, le cookie wall demande aux internautes d’accepter le traitement de leurs données personnelles afin de leur proposer des publicités personnalisées, alors que le traitement de ces données n’est a priori pas nécessaire à la fourniture du service, à savoir l’accès au site Internet.

Il pourrait être soutenu que les publicités personnalisées constituent une contrepartie nécessaire à l’accès à un contenu gratuit sur un site Internet. Cependant, dans cette hypothèse, la base légale ne devrait pas être le consentement de l’internaute, mais l’exécution du contrat liant l’internaute à l’éditeur du site Internet (les conditions générales d’utilisation par exemple).

Or, la seule base légale admise pour le dépôt des cookies publicitaires est le consentement, à l’exclusion de l’exécution d’un contrat.

Le problème semble insoluble.

5. Une tentative préalable d’encadrement

Ce n’est pas la première fois que les autorités s’emparent des cookie walls.

Dans une Délibération du 4 juillet 2019, la CNIL avait adopté des Lignes Directrices dédiées aux cookies.

Au sein de ces Lignes Directrices, la CNIL estimait notamment que l’accès à un site Internet ne pouvait jamais être subordonné à l’acceptation des cookies, et interdisait donc par principe les cookie walls.

Cette position était conforme à la position du CEDP, organisme regroupant l’ensemble des autorités européennes de régulation des données personnelles qui estime actuellement que « afin de consentir librement, l’accès à un service et à ses fonctionnalités ne doit pas être conditionné au consentement d’un utilisateur à ce que soient stockées des informations sur son terminal, ou à permettre l’accès à des informations déjà stockées (aussi appelé cookie walls) ».

L’interdiction de principe posée par la CNIL a été invalidée par le Conseil d’Etat dans une décision du 19 juin 2020. Dans cette décision, le Conseil d’Etat ne se prononçait pas sur la validité intrinsèque des cookie walls à la réglementation mais reprochait plutôt à la CNIL d’interdire une pratique par l’intermédiaire de Lignes Directrices, qui constituent un instrument de « droit souple ».

En d’autres termes, la CNIL ne peut pas interdire la pratique des cookie walls au sein de lignes directrices. Si elle souhaite l’interdire, elle devra procéder autrement (ex : décision de l’autorité dans le cadre d’une affaire, qui ferait « jurisprudence »).

La CNIL a donc dû revoir sa copie, dont la dernière version est constituée par les critères d’évaluation récemment publiés.

6. Cookie walls : critères d’évaluation

Le principe est le suivant : la légalité d’un cookie wall « doit être appréciée en tenant notamment compte de l’existence d’alternative(s) réelle(s) et satisfaisante(s) proposée(s) en cas de refus des traceurs. »

La notion importante est celle d’alternative au refus des cookies par l’internaute.

Cette alternative doit être « réelle et équitable ».

Il est possible de ne pas proposer d’alternative (ex : acceptation des cookies obligatoire) si un autre éditeur propose le même contenu sans obliger au dépôt de cookies.

Si le contenu est proposé en exclusivité (comme un journal), l’internaute ne disposera d’aucune alternative pour accéder à ce contenu. Il en irait de même pour un service « dominant ou incontournable », pour lequel un internaute n’aurait pas ou peu d’alternatives.

La CNIL considère que le paiement d’une somme d’argent est une alternative possible si le tarif est « raisonnable ».

La CNIL ne se prononce cependant pas sur la manière de déterminer une somme raisonnable mais fournit quelques indices.

D’une part, elle met en avant les porte-monnaie virtuels permettant de « réaliser des micropaiements ».

D’autre part, la CNIL met en garde sur les objectifs qui doivent être poursuivis par la création d’un compte. Elle indique notamment que l’obligation de créer un compte peut se justifier lorsque l’internaute souscrit à un abonnement.

Ainsi, les éditeurs de site Internet sont invités à la réflexion entre plusieurs schémas :

• Un micropaiement de quelques centimes pour accéder à un contenu en particulier ou à un site Internet pendant un certain temps ;
• Un paiement plus conséquent sous la forme d’un abonnement au site Internet.

En tout état de cause, si l’internaute décide de ne pas opter pour l’alternative, et donc d’accepter les cookies, la CNIL précise que seuls les cookies qui « permettent une juste rémunération du service proposé » doivent être déposés.

Un parallèle pourrait être fait entre les notions de « tarif raisonnable » et de « juste rémunération ».

Ainsi, un éditeur de site Internet pourrait calculer les sommes qu’il perçoit en moyenne lorsqu’un internaute accède à son site, et qui pourrait constituer la « juste rémunération » à laquelle il s’attend. Cette somme moyenne pourrait constituer l’alternative à payer pour accéder au site Internet sans cookies, et être qualifiée de « tarif raisonnable ».

La détermination du caractère raisonnable nécessite cependant une analyse au cas par cas.

Le Pôle Contrats informatiques, Données et Conformité accompagne les éditeurs de site Internet ainsi que les sociétés développant et exploitant des cookies et autres traceurs afin de se conformer à leurs obligations, en adoptant une vision business compliant et prospective dans un domaine où les règles évoluent constamment. Pour toute question, n’hésitez pas à nous contacter.