Un cookie est un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile[1].

Il existe deux typologies de cookies :

  • Les cookies “first party” qui ne peuvent être déposés et lus que par le site web consulté par l’internaute (identification, données de personnalisation, historique de panier, etc.)
  • Les cookies “third party” – appelés cookies tiers – qui peuvent être déposés par un nom de domaine différent de celui visité (Google Analytics, Régie publicitaire). Ce sont ici des cookies de suivi ou de ciblage.

Les cookies ont initialement été développés dans le but d’améliorer l’expérience utilisateur. Par exemple, en reconnaissant l’internaute, le site peut ainsi lui éviter d’avoir à ressaisir ses identifiants. Même si ce n’était pas l’objectif initial, ces cookies sont aujourd’hui utilisés par les acteurs de la publicité digitale (annonceurs, agences, régies, etc.)

Depuis le 31 mars 2021, les éditeurs de sites internet doivent se mettre en conformité avec les nouvelles lignes directrices modificatives de la CNIL relatives aux cookies et autres traceurs en date du 17 septembre 2020. Il est vrai que ces nouvelles obligations sont assez restrictives.

Depuis cette date, certains sites internet proposent un choix aux internautes :

  • accepter des cookies publicitaires, c’est-à-dire accepter la collecte de leurs données personnelles, pour accéder au contenu dudit site internet,
  • ou, refuser ces cookies et, en contrepartie de ce refus, payer un abonnement mensuel pour accéder à leurs pages

La question de la monétisation de cette collecte de données est l’occasion pour ITLAW Avocats de revenir sur la nouvelle réglementation et de s’interroger sur la légalité d’une telle pratique.

1/ Les règles applicables aux cookies et autres traceurs

Les obligations d’information des utilisateurs de site internet sur le dépôt des cookies, déjà en vigueur sur le fondement de la directive ePrivacy, sont renforcées par les dernières recommandations de la CNIL sur les bandeaux cookies.

Ces nouvelles lignes directrices de la CNIL applicables depuis le 31 mars 2021 mettent l’accent sur la protection des internautes autour de deux points fondamentaux :

  • L’information : la CNIL indique que chaque finalité des traceurs doit être explicitée :« de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent ».
  • L’expression du consentement : la CNIL rappelle la position du Conseil d’Etat[2], selon laquelle « l’absence de consentement des utilisateurs est désignée par le terme « refus ». Toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus ».

Dans l’intervalle, en s’inscrivant dans un contexte de renforcement des mesures de protection des données individuelles, Google a annoncé la fin de l’utilisation de cookies tiers pour mars 2022 et donc du suivi individuel lors de la navigation.

Cette disparition programmée des cookies tiers est susceptible de réduire les capacités de ciblage des annonceurs, et ainsi impacter négativement la performance de leurs campagnes, puisqu’elles toucheront plus aléatoirement les internautes, de tous profils.

2/ Les incertitudes autour du cookies wall

La pratique du « cookies wall » consiste, pour un site web ou un service internet, à interdire l’accès aux internautes qui n’accepteraient pas que des « cookies », ou d’autres traceurs, soient installés sur leur équipement (ordinateur, téléphone).

Depuis quelques semaines, on constate la prolifération d’un nouveau genre de cookies wall, le « cookies or pay wall » qui propose un accès gratuit au site internet sous réserve d’acceptation des cookies publicitaires et/ou un accès payant sans dépôt cookies publicitaires.

Les incertitudes autour de la légalité de ces cookies wall persistent en raison de l’absence d’harmonisation sur la question.

En cause, la dernière décision du Conseil d’Etat en la matière du 19 juin 2020[3], qui annulait partiellement la délibération du 4 juillet 2019[4] de la CNIL en considérant que cette dernière ne pouvait légalement interdire les « cookies walls » dans ses lignes directrices dans le cadre d’un acte dit « de droit souple ».

Les actes de droit souple désignent les instruments, telles que les lignes directrices des autorités de régulation, qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques. Sans se prononcer sur le fond de la question, à savoir la légalité des cookies walls, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue.

L’AFCDP rappelle que les cookies walls ne sont pas interdits « d’office » et que la décision du Conseil d’Etat n’équivaut pas une autorisation de ceux-ci[5].

Par une communication en date du 2 avril 2021, la CNIL informe qu’en présence d’un cookie wall, elle déterminera « au cas par cas si le consentement des personnes est libre ». En ce sens, la CNIL sera, très attentive à l’existence d’alternatives réelles et satisfaisantes, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

 

Le paiement constituera-il une alternative satisfaisante au refus de cookies tiers ?

Dans l’attente des éclaircissements à ce sujet en provenance de l’Union Européenne, ce type bandeau cookies confirme l’importance du rôle du Délégué à la Protection des Données, qui doit s’assurer dans le cas d’une offre payante d’accès à un site internet qu’aucun traceur n’est utilisé.

 

Claudia Weber, avocat fondateur et Céline Dogan, avocat collaboratrice | ITLAW Avocats

Vous avez des questions concernant la mise en conformité de vos projets informatiques avec le RGPD ou la directive ePrivacy ? Vous souhaitez mettre à jour votre politique de confidentialité cookies ou contractualiser avec une agence marketing, une régie publicitaire ou avoir recours aux services d’un réseau social ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles ,  de projets informatiques complexes  de contrats, d’innovation et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que les projets e-marking.

Nous contacter

 

[1] CNIL, Définitions

[2]  CE, 19 juin 2020, n° 434684, T

[3] CE 12 juin 2020 N° 434684

[4] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

[5] AFCDP, Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall », GlobalSecurityMag, juillet 2020 : https://www.globalsecuritymag.fr/Les-DPD-DPO-de-l-AFCDP-mettent-en,20200702,100281.html

Nous contacter