Lignes directrices de la CNIL sur les Cookies Walls

Qu'est-ce qu'un mur de cookies?

Un mur de cookies est un type de notification de cookies qui empêche les utilisateurs d'accéder à un site web s'ils n'acceptent pas les cookies. Voici un exemple de mur de cookies:

Comme vous pouvez le constater, un mur de cookies empêche les utilisateurs d'accéder au site web s'ils n'acceptent pas les cookies. Toutefois, en vertu des règles du RGPD, le consentement aux cookies doit être donné librement ; un consentement conditionné à l'accès au site web n'est pas considéré comme donné librement. Par conséquent, un tel consentement n'est pas valable, ce qui rend les cookies walls illégaux.

Les lignes directrices de l'EDPB étaient claires à ce sujet, mais les nouvelles lignes directrices de la CNIL sur la même question le sont moins.

Dans le passé, la CNIL a interdit les cookies walls, faisant ainsi écho aux mesures de l'EDPB. Cette décision a toutefois été contestée devant le tribunal administratif français. Le tribunal a jugé que l'agence de protection des données avait outrepassé son interdiction totale des cookies walls, ce qui a incité la CNIL à publier de nouvelles lignes directrices.

Que disent les lignes directrices de la CNIL sur les cookies walls?

Selon les lignes directrices de la CNIL, les cookies walls peuvent être utilisés dans certains cas s'ils répondent à des critères spécifiques. Les lignes directrices abordent quatre questions principales concernant l'utilisation des cookies walls:

• L'utilisateur qui refuse les cookies dispose-t-il d'une alternative équitable pour accéder au contenu ?
• Quel est le prix raisonnable pour placer un mur payant ?
• Un mur de cookies ou un paywall peut-il automatiquement signifier l'acceptation de certains types de cookies ?
• L'utilisateur choisit un accès payant sans consentir aux cookies : dans quels cas (limités) les traceurs peuvent-ils encore être déposés ?

Un utilisateur qui refuse les cookies dispose-t-il d'une alternative équitable pour accéder au contenu?

Imaginons qu'un utilisateur refuse les traceurs en cliquant sur le bouton "refuser". Dans ce cas, la CNIL conseille aux éditeurs de sites de proposer une alternative réelle et loyale pour accéder au site sans nécessiter le consentement des données.

Si l'éditeur du site n'est pas en mesure de le faire, il doit démontrer à la CNIL qu'un autre éditeur propose un accès sans condition au même type de contenu. Les sites web qui requièrent le consentement des cookies pour l'accès doivent s'assurer qu'il n'y a pas de déséquilibre de pouvoir avec l'utilisateur qui pourrait limiter un véritable choix. Ils doivent faire en sorte que les alternatives soient faciles d'accès.

Des déséquilibres potentiels peuvent se produire dans les cas suivants:

• L'éditeur est le seul fournisseur d'un contenu ou d'un service spécifique, comme les services administratifs. L'accès à ces services ne devrait pas nécessiter le consentement du traqueur. Dans ce cas, le choix de l'utilisateur est limité car le service n'est disponible que sur le site de l'administration.
• Les utilisateurs n'ont que peu ou pas d'alternatives de service et n'ont donc pas de véritable choix quant à l'utilisation des cookies. Il en va de même pour les fournisseurs de services dominants ou essentiels.

Toutefois, un média qui publie le même type de contenu que de nombreuses autres entreprises médiatiques peut facilement prouver qu'il existe d'autres sources d'information.

En outre, si un site web conditionne l'accès au site à l'acceptation ou au paiement d'un tracker, cela est généralement considéré comme une alternative au consentement du tracker. Toutefois, le coût ne doit pas priver les utilisateurs d'un véritable choix et doit être raisonnable.

Qu'est-ce qu'un tarif raisonnable?

La CNIL ne précise pas ce qui constitue un taux raisonnable pour le paiement en tant qu'alternative au suivi des visiteurs. C'est à vous de le déterminer, en veillant à ne pas enfreindre la loi.

Elle indique simplement que si un éditeur souhaite mettre en place un paywall, il doit être en mesure d'en justifier le caractère abordable. La CNIL recommande également aux éditeurs de partager leur analyse tarifaire pour une plus grande transparence avec les utilisateurs. Il ne s'agit pas d'une obligation, mais d'une simple recommandation.

Un "cookie wall" ou un "pay wall" peut-il imposer systématiquement l'acceptation de tous les traceurs présents sur le site?

Non, car cela impliquerait que le consentement n'est pas donné librement, ce qui le rendrait invalide. S'il n'est pas interdit de conditionner l'accès au site à l'acceptation d'un ou de plusieurs traceurs, l'éditeur doit s'assurer que son mur de cookies n'inclut que des objectifs liés à la rémunération équitable du service. Par exemple, si les revenus d'un éditeur reposent sur des publicités ciblées, seul le consentement à cette fin devrait être nécessaire pour l'accès au site. Le refus de consentir à d'autres fins (comme la personnalisation du contenu) ne doit pas empêcher l'accès au contenu du site.

En outre, les éditeurs doivent clairement informer les utilisateurs des finalités qui requièrent un consentement pour l'accès au service. La CNIL insiste particulièrement sur le fait que les publicités ciblées et la personnalisation du contenu sont deux finalités distinctes lorsqu'il s'agit de déterminer les conditions d'accès au service. Dans le cas de services comme YouTube, cela signifie qu'ils peuvent utiliser des données pour informer l'algorithme des préférences de l'utilisateur, mais pas pour diffuser des publicités.

En substance, votre modèle d'entreprise peut justifier l'utilisation de cookies dans certains cas.

Si l'utilisateur choisit l'accès payant sans consentir aux cookies, dans quels cas limités les traceurs peuvent-ils encore être déposés?

En règle générale, aucun cookie ne doit être utilisé lorsque l'utilisateur les refuse et choisit l'alternative proposée par l'éditeur. Dans ce cas, seuls les traceurs nécessaires au fonctionnement du site web peuvent être utilisés.

Dans certains cas, l'exploitant du site web peut demander le consentement de l'utilisateur pour l'accès à des contenus hébergés sur des sites web tiers. C'est le cas, par exemple, lorsqu'une vidéo YouTube est intégrée sur le site ou lors de l'utilisation des boutons de partage des médias sociaux.

Le consentement de l'utilisateur peut être recueilli, par exemple, dans une fenêtre spéciale affichée lorsque l'utilisateur souhaite accéder au contenu:

• L'utilisateur doit être informé que l'activation d'un contenu externe ou l'utilisation de boutons de partage nécessite son consentement pour le dépôt de traceurs en ligne.
• Il doit être informé des finalités de traitement des traceurs en ligne.
• L'utilisateur doit être informé de la possibilité de retirer facilement son consentement à tout moment.
• Il doit être informé des conséquences du refus ou du retrait de son consentement, qui peuvent inclure l'impossibilité d'accéder au contenu externe.

L'utilisateur doit toujours avoir la possibilité de définir ses propres préférences en matière de cookies.

Résumé: qu'est-ce qui est autorisé ?

En résumé, les lignes directrices de la CNIL relatives aux cookies walls vous autorisent à

• Donner aux utilisateurs le choix entre être suivis ou payer pour accéder à votre contenu.
• Fixer vos propres prix, mais ils doivent être raisonnables.
• Vous n'êtes pas autorisé à utiliser des cookies sans consentement tout en facturant l'accès à votre contenu.