Dans une note, la CNIL tente de répondre à la problématique des cookie walls et de leur multiplication. La question du financement des sites est centrale, mais l'information claire aux internautes et le respect de ses choix priment. Encore faut-il que le choix soit équitable.
Les cookie walls posent un problème croissant. En témoigne le propre communiqué de la CNIL, qui confirme qu’elle est « régulièrement interrogée sur le sujet et saisie de nombreuses plaintes », ainsi que les articles que nous y avons déjà consacrés. Mais la thématique qu’ils recouvrent est loin d’être simple, la Commission ayant d'ailleurs communiqué à plusieurs reprises sur le sujet.
D'abord, qu’est-ce qu’un cookie wall ? Un mur de traceurs conditionnant l’accès : soit on accepte le dépôt d’un ou plusieurs cookies sur son appareil, soit on fait demi-tour. Cependant, le phénomène a évolué chez certains éditeurs vers une autre voie : accepter les cookies ou payer. Cookie wall et paywall sont alors en contact, comme chez Allociné.
La méthode peut faire grincer des dents, puisque la seule alternative au paiement est le pistage. Le choix peut donc apparaître comme orienté, avec une incitation claire à l'acceptation. La question des cookies n'est pas non plus toujours claire face aux paiements : garantissent-ils l'absence de pistage ? Les questions sont en fait plus vastes.
Les murs de cookies ne sont pas interdits
La pratique du cookie wall n’a rien d’illégal. Le Conseil d’État l’a confirmé dans sa décision du 19 juin 2020 : exiger un consentement libre ne justifie pas une interdiction générale des murs de traceurs. Rien n’interdit donc d’y recourir dans l’absolu, même si les modalités sont à préciser. En effet, la décision ne signifie pas que tout mur est nécessairement légal.
La publication de la CNIL témoigne cependant d’un cadre flou. La Commission indique qu’avec le CEPD (Comité européen de la protection des données, qui surveille l’application cohérente du RGPD en Europe), elle a interpellé les autorités européennes à plusieurs reprises. Ils souhaitent tous deux que le législateur se penche sérieusement sur la pratique et propose un encadrement strict, qui serait intégré au futur règlement ePrivacy.
La CNIL en est réduite à proposer des critères et des pistes. Les fameuses modalités du mur doivent être scrutées sur la base d’une grille de lecture dont la Commission donne les clés principales. Objectif : juger de la légalité d’un mur spécifique.
Car oui, en l’absence de cadre clair, « ces critères se concentrent sur les pratiques les plus couramment constatées : ils doivent être utilisés dans le cadre d’une analyse au cas par cas ». Les critères sont donnés sous forme de quatre questions à se poser.
Y a-t-il une alternative équitable ?
La recommandation de la CNIL est de proposer « une alternative réelle et équitable permettant d’accéder au site et qui n’implique pas de devoir consentir à l’utilisation de leurs données » quand l’internaute refuse que ses habitudes soient pistées. Et puisque le RGPD est passé par là, il doit impérativement donner son accord avant tout dépôt de cookie.
Le conseil est légitime, mais la situation se complique très vite : il n’y a pas de définition claire du mot « équitable » dans ce cas. La CNIL propose surtout des pistes de réflexion et invite les éditeurs de sites à penser correctement leur approche dans ce domaine.
S’ils ne proposent pas d’autre voie, ils devront pouvoir démontrer « qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs », autrement dit sans mur. Traduction, un site peut se défendre de ne pas proposer d’alternative s’il prouve que les informations recherchées sont disponibles ailleurs et sans cookies.
Ce premier critère reste cependant sensible, car l’éditeur devra se poser la question d’un éventuel déséquilibre entre lui et les internautes, qui priverait alors ce dernier d’un « véritable choix ». Par exemple quand l’éditeur a l’exclusivité sur les contenus ou services proposés, ou même quand l’internaute n’a que peu d’alternatives, voire pas.
Le premier cas renvoie surtout aux services administratifs, qui ne peuvent en aucun cas conditionner l’accès à une procédure à l’acceptation de cookies. Le choix serait contraint. Le second vise les fournisseurs de services considérés comme « dominants ou incontournables ». On pense aux géants du web, et notamment à Google qui a largement révisé sa bannière il y a peu.
Le tarif est-il raisonnable ?
C’est une question centrale concernant les murs de traceurs. La CNIL rappelle que ce choix – qui peut pourtant paraître orienté – n’est pas interdit par principe. Il faut alors déterminer si la somme demandée par le site est « raisonnable » au regard des prestations offertes.
Et si la Commission utilise à nouveau un mot flou, c’est parce qu’elle se refuse à aller plus loin, et surtout à fixer elle-même un montant. Comment, dès lors, déterminer si le tarif est raisonnable ? Par une analyse au cas par cas. « L’éditeur qui souhaite mettre en œuvre un paywall devra être en mesure de justifier du caractère raisonnable de la contrepartie monétaire proposée. Pour plus de transparence à l’égard des internautes, la CNIL encourage les éditeurs à publier leur analyse », indique la Commission.
L’analyse au cas par cas se comprend aisément : aucun tarif commun ni même grille ne pourrait convenir à la pluralité des services proposés sur le web. Selon qu’ils sont proposés au grand public ou aux entreprises, que le champ du service est commun ou restreint et d’autres critères, il peut être estimé que 3 euros par mois soit un tarif raisonnable pour un site, quand un autre le sera tout autant avec ses 15 euros.
Si la question du prix est centrale, elle n’est pas la seule. La CNIL recommande ainsi l’utilisation des porte-monnaie virtuels pour mieux « s’adapter aux modes de consommation ». Le mode de consommation du service peut avoir un impact sur l’évaluation du montant raisonnable. En clair, il n’est pas toujours besoin de réclamer un abonnement payant et donc régulier, quand un micropaiement pourrait suffire, surtout pour un accès jugé ponctuel. Cela évitera que l’internaute ait besoin d’enregistrer ses coordonnées bancaires auprès de l’éditeur.
De même, la création d’un compte doit paraître proportionnée. Dans le cas d’un abonnement, par exemple, le compte peut se justifier par la capacité d’accéder à ses services depuis plusieurs terminaux. Si compte il y a, la Commission rappelle que la collecte d’informations doit se limiter aux seules nécessaires pour les objectifs poursuivis, et que toute réutilisation de ces informations doit faire l’objet d’une communication claire et préalable à l’internaute. Si besoin, il faudra recueillir son consentement.
Le mur peut-il imposer l’acceptation de tous les traceurs ?
C’est un point essentiel dans l’évaluation d’un mur de traceurs : attention à ne pas tout mélanger.
« S’il n’est pas interdit de conditionner l’accès au site au consentement à une ou plusieurs finalités des traceurs, l’éditeur devra démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé », explique la CNIL.
En clair, cela signifie que non seulement payer ne revient pas à tout accepter, mais aussi – et surtout – que le refus de certaines finalités doit non seulement être possible, mais également qu’il ne bloquera pas l’accès au contenu du site.
« L’éditeur doit informer les internautes, de manière claire, des finalités pour lesquelles il est nécessaire - ou non - de consentir pour accéder au service », ajoute la Commission. Et de préciser que la publicité ciblée et la personnalisation du contenu éditorial n’ont rien à voir. Il est donc impératif de les distinguer dans l’élaboration du choix qui sera donné aux internautes.
Le cas le plus courant est l’acceptation des cookies pour ne pas avoir à payer. Ici, les sites concernés doivent établir une distinction nette entre les traceurs participant à la publicité privée – qui prend le relai financier – et le reste. En effet, l’internaute peut accepter la personnalisation de la publicité sans pour autant vouloir du reste. Ce choix doit être préservé.
Le paiement bloque-t-il pour autant les traceurs ?
Nouvelle preuve que la question des traceurs n’est pas si simple : payer pour accéder à un contenu n’épargne pas toujours d’avoir à faire un choix sur les traceurs.
La CNIL expose le problème : « L’éditeur pourra toutefois demander, au cas par cas, le consentement de l’internaute au dépôt de traceurs lorsque ces derniers sont imposés pour accéder à un contenu hébergé sur un site tiers (par exemple, pour visionner une vidéo hébergée par un site tiers) qui requiert l’utilisation d’un cookie non strictement nécessaire, ou à un service demandé par l’utilisateur (par exemple, pour donner accès aux boutons de partage sur des réseaux sociaux) ».
Les deux cas très classiques où le problème se pose sont les vidéos hébergées sur d’autres plateformes (Facebook, TikTok…) et la disponibilité de boutons de partage sur les réseaux sociaux. Il sera donc nécessaire de demander le consentement à l’internaute pour ces fonctions.
Souvent, le choix est fait en même temps que les autres, mais l’éditeur doit veiller à ce que la différence soit clairement indiquée. Il peut être nécessaire de reposer plus tard la question aux internautes, particulièrement quand la bannière permet de refuser tous les traceurs facilement. Si les vidéos hébergées par des tiers ou les boutons de réseaux sociaux sont estimés comme faisant partie intégrante de l’expérience attendue, il peut être judicieux de demander le consentement à la première utilisation.
Dans tous les cas, c’est à l’éditeur d’indiquer clairement et en français la présence de ce contenu externe et les conditions qui l’accompagnent, la possibilité de retirer facilement le consentement, ainsi que les conséquences du refus ou du retrait de consentement sur le fonctionnement du site. Il s’agit encore une fois de transparence.
Subtilités compréhensibles, torrent d’informations
La note de la CNIL est à la fois bienvenue et complexe. Bienvenue parce qu’elle fournit un cadre de réflexion, à défaut d’un cadre légal. Complexe parce qu’il ne s’agit en fin de compte que de pistes, qui n’engagent personne en particulier et dont l’efficacité dépend du bon vouloir des éditeurs de sites. « Raisonnable », « véritable » et « équitable » restent des termes soumis à interprétation.
À la lecture de la note, on comprend pourquoi la CNIL ne se risque pas à formuler des barrières plus précises ni à trancher : les critères à prendre en compte sont multiples. La Commission semble d’avis que toute autre évaluation conduirait à un résultat déséquilibré. Elle appelle pourtant de ses vœux le législateur européen à proposer un cadre clair.
Mais on comprend également que les éditeurs et les internautes peuvent faire face à une certaine saturation sur le sujet. Les bannières sont partout et, quand elles n’invitent pas à payer, proposent souvent de continuer sans accepter. Ce petit lien bleu, en général situé en haut à droite de la bannière, est bien pratique et témoigne d’un certain respect pour l’internaute.
D’un autre côté, la question du financement des sites est réelle et reste entière. La CNIL est claire dans sa communication : c’est à l’éditeur de réfléchir son approche. L’internaute, lui, doit avoir le choix.
Commentaires (22)
#1
Le gros avantage des cookie wall c’est qu’ils permettent de faire le tri dans les sites et dégager de ses favoris ceux qui ont recours à cette pratique. Après tout si ils n’ont pas besoin de leurs visiteurs tant pis pour eux :)
#1.1
Perso, le cookie wall m’impose juste d’ouvrir le site dans une session privée. J’affiche la page que je veux voir, puis je ferme la fenêtre. Au temps pour les cookies !
La grande époque !!! Mais quand tu faisais une recherche là dessus, tu savais ce que tu trouvais et tu faisais attention. Ou alors tu te faisais avoir. Une fois !
(et au passage, tu te plaignais pas de tomber par accident sur des sites de Q)
#2
Voilà, je veux bien de la publicité mais pas ciblée. Et la publicité non ciblé n’a pas besoin de traceurs.
Il faudrait que les éditeurs affirment que la publicité finance leur site web se rappellent qu’il existe différents canaux de publicité et que tout le monde ne souhaite pas la publicité en mode proctologue.
#3
Le pire, c’est le Cookie wall qui s’impose pour arriver finalement sur un article payant… Double peine.
#4
Perso, je ne dirais pas que les Cookies wall ne sont pas illégaux. De mémoire, le CE a juste dit que la CNIL ne pouvait dire qu’ils étaient interdit. Ça ne les rend pas conforme au RGPD pour autant.
À mon sens le consentement ne peut pas être libre et éclairé si la décision, le consentement, est orienté au regard de tes capacités financières à protéger ou non tes données personnelles. D’autant plus que ça nécessite la création d’un compte, donc un traitement de données personnelles… bref tu te fait avoir.
De plus, ça entérine une idée de patrimonialité des données personnelles qui n’est pas souhaitable, d’autant plus qu’il me semble qu’en Europe on est plutôt sur une conception personnaliste des données personnelles, et c’est pour ça qu’on vise à leur protection.
Bref, après 4 ans, le RGPD n’est toujours pas respecté, et au final c’est un juste un texte de plus qui fait pschitt.
#5
La même ici, ménage de printemps, et je découvre parfois des petits sites qui sont très sympas :)
#6
C’est là ou la cnil nuance :
“S’ils ne proposent pas d’autre voie, ils devront pouvoir démontrer « qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs », autrement dit sans mur. Traduction, un site peut se défendre de ne pas proposer d’alternative s’il prouve que les informations recherchées sont disponibles ailleurs et sans cookies.”
Du coup “en théorie” tu n’as pas ce dilemme financier puisque tu peux consulter le même contenu ailleurs sans cookies.
#7
J’avoue ne pas vraiment comprendre cette position. Un site, en tant que responsable de traitement n’a, en théorie, à se soucier que de son site. En quoi une information potentiellement accessible ailleurs change-t-elle, de quelque manière que ce soit, les traitements réalisés par le responsable de traitement ?
Le seul cas où je pourrais éventuellement comprendre cette position, c’est si sur le cookie wall était affichée l’URL où l’information est disponible… sans cookie wall !
#8
Et puis “l’information est disponible ailleurs”, sauf a parler d’une fiche produit c’est hyper obscur aussi comme notion.
Le test d’un appareil, un produit en vente, le traitement d’une actu… D’un site a l’autre on ne verra jamais exactement la même chose (respectivement, pas le même test, pas les mêmes prix de vente, pas la même façon de traiter l’actu), et c’est d’ailleurs une force : la pluralité de l’information.
A ce titre là, le nombre de cas où l’on pourrait effectivement “trouver pareil ailleurs” s’effondre.
Mais avant même de s’attaquer à la complexité des paywalls, si on pouvait déjà mettre au clair une bonne fois pour toute les cookies walls ce serait pas mal… Parce qu’entre les designs obscurs, les opt-out sur services tiers qui requièrent qu’on ailleurs sur des sites externes, les traclers planqués dans les “usages légitimes”, et l’incapacité a comprendre ce que fait et ne fait pas chaque coche du formulaire (genre impossible de savoir lequel on est censé activer pour pouvoir voir une vidéo ou un tweet d’un service tiers quand on lit les descriptifs…)… Bref il reste un sacré boulot à faire !!
Une petite pensée pour le cookie wall de Marianne, qui reprend le template classique (avec le “continuer sans accepter” en haut à droite vous voyez ?)… Sauf qu’en haut a droite c’est “tout accepter et continuer” ! Et le “sans accepter” se planque sous forme de texte (ne laisse pas penser que c’est un bouton) en bas à gauche….
Sinon pour en revenir aux pay-cookie-walls il y a un effet de bord qui me semble déplorable et pas traité par la CNIL si j’ai bien lu :
Les sites où l’on possède déjà un compte, mais on se retrouve dans l’incapacité manifeste d’y accéder sans choisir son poison.
Typiquement : si tu as un compte AlloCiné ou LesNumeriques, relativement actif, et qu’avec l’apparition du paywall tu décidé d’aller voir ailleurs (c.f. “l’information se trouve ailleurs sans cookies”)… Et bien ça te laisse dans l’incapacité totale d’accéder, modifier voire supprimer ton compte ..!
Cet effet de bord n’irait pas à l’encontre de la possibilité inconditionnelle d’accès, modification et suppression de ses données personnelles du RGPD..?
#9
Tu dois pouvoir envoyer un mail de résiliation, non ?
#9.1
Comment tu trouves l’adresse mail de contact avec le cookie paywall ?
#10
La page de connexion semble disponible sur allocine (je ne sais pas si des cookies qui ne devraient pas l’être sont ajoutés)
https://mon.allocine.fr/connexion/
J’ai pu y accéder en cliquant sur la politique de cookie. Je suppose que l’équipe légale y a réfléchi.
Je n’ai pas de compte, donc je ne peux pas vérifier à quoi on a accès
Par contre ton argument est valable pour Jeuxvideo.com où on ne peut pas accéder à la page de politique des cookies sans accepter les cookies (et ça je pense que c’est illégal).
En forçant un peu j’ai pu accéder à l’interface de connexion (les conditions générales d’utilisation n’ont pas de wall). Mon compte a été supprimé pour cause d’inactivité (je n’ai plus été sur le site depuis les paywall).
(j’ai pris jeuxvideo.com par ce que c’est le même éditeur)
#11
Grande tristesse de voir ces atermoiements.
Le conseil d’État a interdit les cookies-walls systématiquement et dans tous les cas.
La CNIL devrait aller les voir un par un (allociné, jeuxvideos.com…) pour voir si celui en question est correct ou non. C’est le minimum.
C’est dommage qu’un tel bricolage soit proposé.
#11.1
C’est surtout triste de voir ce qu’est devenu le web aujourd’hui…
Ceux qui ont connu le web à ses débuts savent de quoi je parle. Certes ce n’était pas parfait mais on pouvait faire des recherches et naviguer sur des sites sans devoir cliquer sur des trilliards de popups…
#11.2
il n’y avait pas de pop-ups car les sites ne te demandaient pas ton avis pour t’espionner.
Si le RGPD est vraiment appliqué, ces bandeaux devraient disparaître, car une part énorme des gens refuseront le filtrage.
Mais ça implique une grosse destruction de valeur dans la filière…
#11.3
Ca dépend, quand tu faisais des recherche sur Astalavista
, les sites retournés était souvent truffés de popup porn et autres malware.
#12
Déjà en ces temps bénis du début du web, certains faisaient n’importe quoi avec les cookies.
La FNAC, par exemple, où tu ne pouvais pas voir de contenu sur le site si tu avais bloqué tous les cookies dans NetScape ou IE.
Depuis, le web est devenu un espace commercial, alors que les utilisateurs continuent de penser que c’est un espace d’information, qui devrait être accessible à tout le monde gratuitement.
Il est fini le temps ou des passionnés passaient leur temps libre et leur argent à faire tourner un site.
Ce n’est plus gérable ni soutenable.
Maintenant, tout doit être monétisable, et surtout, au minimum rapporter de quoi payer les factures pour qu’un site continue d’exister.
La pub ciblée rapportant plus que la pub générale, pas étonnant que cette plaie du traçage se soit répandue partout.
#13
refuseront le fliquage* pas filtrage, désolé
#14
Au tout début je sais pas, mais fin des années 90 et début des années 2000, y avait des popups, souvent de pub, partout dans tous les sens, c’était l’horreur. Pas des popups intégrés au site, mais qui ouvraient une nouvelle fenêtre. Il était devenu vital d’utiliser un bloqueur de popups, jusqu’à ce que les navigateurs intègrent ça en natif, et la pratique a fini par disparaître.
Mais depuis quelques années, et je l’ai déjà dit plusieurs fois, cette pratique revient sous forme de popup intégrés au site. Y en a de plus en plus, même hors RPGD, et ça recommence à redevenir invivable. J’espère que des anti popup vont bientôt réapparaître, à moins que ce ne soit déjà le cas.
#14.1
Je parlais bien du WEB avant son côté commercial et les popups. Lorsqu’on fait des recherches sur un sujet précis c’est dommage d’être pollué par des sites commerciaux et par les popups en tout genre (cookie walls inclus).
#15
C’est surtout triste que les sites ne fassent pas mieux apparaitre les différences dans les acceptations des cookies entre:
Il y’a me semble-t-il un intérmédiaire notamment sur les cookies de paramétrage/mesure d’audience qui sont un contenu “acceptable” sur ce qui peut être utilisé pour un site (à l’inverse des cookies réseaux sociaux/publicité ciblée). Car ils permettent au site de “gérer” son fonctionnement.
Au titre du RGPD, je dirais même presque qu’ils sont légitimes, et donc non refusables. Enfin à mon avis, ça se défend juridiquement parlant.
A l’inverse, les cookies sociaux/pub, clairement : non.
#16
Il y a surtout un gros problème sur le changement de consentement avec cette histoire de paywall… impossible de changer d’avis sans payer (la fameuse option “refuser et s’abonner”).
C’est d’autant plus problématique que chez certains (coucou Prisma Media) cet unique consentement est valable pour plusieurs sites d’un coup…