Dans une note, la CNIL tente de répondre à la problématique des cookie walls et de leur multiplication. La question du financement des sites est centrale, mais l'information claire aux internautes et le respect de ses choix priment. Encore faut-il que le choix soit équitable.
Les cookie walls posent un problème croissant. En témoigne le propre communiqué de la CNIL, qui confirme qu’elle est « régulièrement interrogée sur le sujet et saisie de nombreuses plaintes », ainsi que les articles que nous y avons déjà consacrés. Mais la thématique qu’ils recouvrent est loin d’être simple, la Commission ayant d'ailleurs communiqué à plusieurs reprises sur le sujet.
D'abord, qu’est-ce qu’un cookie wall ? Un mur de traceurs conditionnant l’accès : soit on accepte le dépôt d’un ou plusieurs cookies sur son appareil, soit on fait demi-tour. Cependant, le phénomène a évolué chez certains éditeurs vers une autre voie : accepter les cookies ou payer. Cookie wall et paywall sont alors en contact, comme chez Allociné.
La méthode peut faire grincer des dents, puisque la seule alternative au paiement est le pistage. Le choix peut donc apparaître comme orienté, avec une incitation claire à l'acceptation. La question des cookies n'est pas non plus toujours claire face aux paiements : garantissent-ils l'absence de pistage ? Les questions sont en fait plus vastes.
Les murs de cookies ne sont pas interdits
La pratique du cookie wall n’a rien d’illégal. Le Conseil d’État l’a confirmé dans sa décision du 19 juin 2020 : exiger un consentement libre ne justifie pas une interdiction générale des murs de traceurs. Rien n’interdit donc d’y recourir dans l’absolu, même si les modalités sont à préciser. En effet, la décision ne signifie pas que tout mur est nécessairement légal.
La publication de la CNIL témoigne cependant d’un cadre flou. La Commission indique qu’avec le CEPD (Comité européen de la protection des données, qui surveille l’application cohérente du RGPD en Europe), elle a interpellé les autorités européennes à plusieurs reprises. Ils souhaitent tous deux que le législateur se penche sérieusement sur la pratique et propose un encadrement strict, qui serait intégré au futur règlement ePrivacy.
La CNIL en est réduite à proposer des critères et des pistes. Les fameuses modalités du mur doivent être scrutées sur la base d’une grille de lecture dont la Commission donne les clés principales. Objectif : juger de la légalité d’un mur spécifique.
Car oui, en l’absence de cadre clair, « ces critères se concentrent sur les pratiques les plus couramment constatées : ils doivent être utilisés dans le cadre d’une analyse au cas par cas ». Les critères sont donnés sous forme de quatre questions à se poser.
Y a-t-il une alternative équitable ?
La recommandation de la CNIL est de proposer « une alternative réelle et équitable permettant d’accéder au site et qui n’implique pas de devoir consentir à l’utilisation de leurs données » quand l’internaute refuse que ses habitudes soient pistées. Et puisque le RGPD est passé par là, il doit impérativement donner son accord avant tout dépôt de cookie.
Le conseil est légitime, mais la situation se complique très vite : il n’y a pas de définition claire du mot « équitable » dans ce cas. La CNIL propose surtout des pistes de réflexion et invite les éditeurs de sites à penser correctement leur approche dans ce domaine.
S’ils ne proposent pas d’autre voie, ils devront pouvoir démontrer « qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs », autrement dit sans mur. Traduction, un site peut se défendre de ne pas proposer d’alternative s’il prouve que les informations recherchées sont disponibles ailleurs et sans cookies.
Ce premier critère reste cependant sensible, car l’éditeur devra se poser la question d’un éventuel déséquilibre entre lui et les internautes, qui priverait alors ce dernier d’un « véritable choix ». Par exemple quand l’éditeur a l’exclusivité sur les contenus ou services proposés, ou même quand l’internaute n’a que peu d’alternatives, voire pas.
Le premier cas renvoie surtout aux services administratifs, qui ne peuvent en aucun cas conditionner l’accès à une procédure à l’acceptation de cookies. Le choix serait contraint. Le second vise les fournisseurs de services considérés comme « dominants ou incontournables ». On pense aux géants du web, et notamment à Google qui a largement révisé sa bannière il y a peu.
Le tarif est-il raisonnable ?
C’est une question centrale concernant les murs de traceurs. La CNIL rappelle que ce choix – qui peut pourtant paraître orienté – n’est pas interdit par principe. Il faut alors déterminer si la somme demandée par le site est « raisonnable » au regard des prestations offertes.
Et si la Commission utilise à nouveau un mot flou, c’est parce qu’elle se refuse à aller plus loin, et surtout à fixer elle-même un montant. Comment, dès lors, déterminer si le tarif est raisonnable ? Par une analyse au cas par cas. « L’éditeur qui souhaite mettre en œuvre un paywall devra être en mesure de justifier du caractère raisonnable de la contrepartie monétaire proposée. Pour plus de transparence à l’égard des internautes, la CNIL encourage les éditeurs à publier leur analyse », indique la Commission.
L’analyse au cas par cas se comprend aisément : aucun tarif commun ni même grille ne pourrait convenir à la pluralité des services proposés sur le web. Selon qu’ils sont proposés au grand public ou aux entreprises, que le champ du service est commun ou restreint et d’autres critères, il peut être estimé que 3 euros par mois soit un tarif raisonnable pour un site, quand un autre le sera tout autant avec ses 15 euros.
Si la question du prix est centrale, elle n’est pas la seule. La CNIL recommande ainsi l’utilisation des porte-monnaie virtuels pour mieux « s’adapter aux modes de consommation ». Le mode de consommation du service peut avoir un impact sur l’évaluation du montant raisonnable. En clair, il n’est pas toujours besoin de réclamer un abonnement payant et donc régulier, quand un micropaiement pourrait suffire, surtout pour un accès jugé ponctuel. Cela évitera que l’internaute ait besoin d’enregistrer ses coordonnées bancaires auprès de l’éditeur.
De même, la création d’un compte doit paraître proportionnée. Dans le cas d’un abonnement, par exemple, le compte peut se justifier par la capacité d’accéder à ses services depuis plusieurs terminaux. Si compte il y a, la Commission rappelle que la collecte d’informations doit se limiter aux seules nécessaires pour les objectifs poursuivis, et que toute réutilisation de ces informations doit faire l’objet d’une communication claire et préalable à l’internaute. Si besoin, il faudra recueillir son consentement.
Le mur peut-il imposer l’acceptation de tous les traceurs ?
C’est un point essentiel dans l’évaluation d’un mur de traceurs : attention à ne pas tout mélanger.
« S’il n’est pas interdit de conditionner l’accès au site au consentement à une ou plusieurs finalités des traceurs, l’éditeur devra démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé », explique la CNIL.
En clair, cela signifie que non seulement payer ne revient pas à tout accepter, mais aussi – et surtout – que le refus de certaines finalités doit non seulement être possible, mais également qu’il ne bloquera pas l’accès au contenu du site.
« L’éditeur doit informer les internautes, de manière claire, des finalités pour lesquelles il est nécessaire - ou non - de consentir pour accéder au service », ajoute la Commission. Et de préciser que la publicité ciblée et la personnalisation du contenu éditorial n’ont rien à voir. Il est donc impératif de les distinguer dans l’élaboration du choix qui sera donné aux internautes.
Le cas le plus courant est l’acceptation des cookies pour ne pas avoir à payer. Ici, les sites concernés doivent établir une distinction nette entre les traceurs participant à la publicité privée – qui prend le relai financier – et le reste. En effet, l’internaute peut accepter la personnalisation de la publicité sans pour autant vouloir du reste. Ce choix doit être préservé.
Le paiement bloque-t-il pour autant les traceurs ?
Nouvelle preuve que la question des traceurs n’est pas si simple : payer pour accéder à un contenu n’épargne pas toujours d’avoir à faire un choix sur les traceurs.
La CNIL expose le problème : « L’éditeur pourra toutefois demander, au cas par cas, le consentement de l’internaute au dépôt de traceurs lorsque ces derniers sont imposés pour accéder à un contenu hébergé sur un site tiers (par exemple, pour visionner une vidéo hébergée par un site tiers) qui requiert l’utilisation d’un cookie non strictement nécessaire, ou à un service demandé par l’utilisateur (par exemple, pour donner accès aux boutons de partage sur des réseaux sociaux) ».
Les deux cas très classiques où le problème se pose sont les vidéos hébergées sur d’autres plateformes (Facebook, TikTok…) et la disponibilité de boutons de partage sur les réseaux sociaux. Il sera donc nécessaire de demander le consentement à l’internaute pour ces fonctions.
Souvent, le choix est fait en même temps que les autres, mais l’éditeur doit veiller à ce que la différence soit clairement indiquée. Il peut être nécessaire de reposer plus tard la question aux internautes, particulièrement quand la bannière permet de refuser tous les traceurs facilement. Si les vidéos hébergées par des tiers ou les boutons de réseaux sociaux sont estimés comme faisant partie intégrante de l’expérience attendue, il peut être judicieux de demander le consentement à la première utilisation.
Dans tous les cas, c’est à l’éditeur d’indiquer clairement et en français la présence de ce contenu externe et les conditions qui l’accompagnent, la possibilité de retirer facilement le consentement, ainsi que les conséquences du refus ou du retrait de consentement sur le fonctionnement du site. Il s’agit encore une fois de transparence.
Subtilités compréhensibles, torrent d’informations
La note de la CNIL est à la fois bienvenue et complexe. Bienvenue parce qu’elle fournit un cadre de réflexion, à défaut d’un cadre légal. Complexe parce qu’il ne s’agit en fin de compte que de pistes, qui n’engagent personne en particulier et dont l’efficacité dépend du bon vouloir des éditeurs de sites. « Raisonnable », « véritable » et « équitable » restent des termes soumis à interprétation.
À la lecture de la note, on comprend pourquoi la CNIL ne se risque pas à formuler des barrières plus précises ni à trancher : les critères à prendre en compte sont multiples. La Commission semble d’avis que toute autre évaluation conduirait à un résultat déséquilibré. Elle appelle pourtant de ses vœux le législateur européen à proposer un cadre clair.
Mais on comprend également que les éditeurs et les internautes peuvent faire face à une certaine saturation sur le sujet. Les bannières sont partout et, quand elles n’invitent pas à payer, proposent souvent de continuer sans accepter. Ce petit lien bleu, en général situé en haut à droite de la bannière, est bien pratique et témoigne d’un certain respect pour l’internaute.
D’un autre côté, la question du financement des sites est réelle et reste entière. La CNIL est claire dans sa communication : c’est à l’éditeur de réfléchir son approche. L’internaute, lui, doit avoir le choix.