Mur de traceur ou cookie wall : où en est-on ?
Corinne THIERACHE
Les implications de l’avis du CEPD du 17 avril 2024 sur les pay walls
Dans le duel opposant le Groupe Meta (Facebook, Instagram, WhatsApp…) à la réglementation sur la protection des données personnelles, un nouveau coup de boutoir a été porté à la stratégie mise en place par les filiales du groupe pour maintenir leur modèle économique de publicité comportementale. Le Comité Européen sur la Protection des Données (CEPD), sans viser spécifiquement Meta, s’est en effet prononcé[1] sur la conformité au RGPD du choix offert aux utilisateurs de grandes plateformes en ligne entre « consentir [aux traitements de leurs données personnelles aux fins de publicité comportementale] ou payer ».
Ce faisant, et bien que cet avis ne soit pas contraignant, le CEPD pourrait remettre en cause le modèle adopté par un grand nombre d’acteurs du numérique par le biais de cookie walls.
- La construction de l’avis du CEPD
Cet avis cherche à pallier, sur demandes de trois autorités nationales de protection des données personnelles, les conséquences directes de la décision rendue par la CJUE le 4 juillet 2023[2] qui enjoignait à Meta de fonder les traitements de données personnelles nécessaires à la publicité personnalisée sur le consentement (art. 6.1.a. du RGPD) de l’utilisateur et non sur son propre intérêt légitime (point f du même article). Pour mémoire, en 2022, le CEPD avait déjà dû rappeler à Meta que la signature des CGU par l’utilisateur, et de ce fait l’exécution du contrat (point b du même article) par la plateforme, ne pouvait pas être une base légale acceptable au traitement de données qu’elle réalisait[3]. La CJUE a ainsi précisé que les utilisateurs devaient se voir proposer une « alternative équivalente » des services offerts par l’opérateur sans traitement de données, « le cas échéant contre une rémunération appropriée », pour que le consentement soit valable.
À l’inverse, le CEPD semble considérer ici qu’« un choix binaire entre le paiement d’une redevance et le consentement au traitement à des fins de publicité comportementale » ne saurait satisfaire pleinement à la logique de recherche d’un consentement « libre, informé, non-ambiguë et spécifique » voulu par le RGPD.
S’adressant aux grandes plateformes en ligne au sens des « plateformes » encadrées par le DSA[4] (article 3 i.[5]) et des « contrôleurs d’accès » listés sur le fondement du DMA[6] (article 3 1.), le CEPD précise qu’il leur incombe d’offrir un véritable choix à leurs utilisateurs, choix factice lorsque certaines circonstances s’avèrent être liberticides (cf. infra).
Le CEPD semble ainsi chercher à revenir à ses principes fondateurs qu’il rappelait déjà dans son avis consultatif[7] quant à la Directive de 2019[8] sur les contrats de fourniture de contenus et de services numériques qui consacrait la possibilité d’user des données personnelles comme contreparties à ces contrats : « les droits fondamentaux, comme le droit à la protection des données à caractère personnel, ne peuvent être réduits aux seuls intérêts des consommateurs, et les données à caractère personnel ne peuvent être considérées comme une simple marchandise ».
- L’élaboration d’une évaluation au cas par cas des modèles « Consent or Pay » des grandes plateformes
Sans chercher à proscrire expressément le modèle « Consent or Pay », le CEPD dresse en réalité une liste d’éléments dont les grandes plateformes en ligne devraient tenir compte pour évaluer la conformité au RGPD de leur stratégie d’obtention de consentement aux fins de publicité comportementale :
- « la personne concernée subit un préjudice du fait qu’elle n’a pas donné son consentement ou qu’elle l’a retiré (…) ;
- il existe un déséquilibre des pouvoirs entre la personne concernée et lesdites plateformes (…) ;
- le consentement est nécessaire pour accéder à des biens ou à des services, même si le traitement fondé sur le consentement n’est pas nécessaire à l’exécution du contrat applicable à l’offre de ces biens ou services (…) ;
- les frais imposés sont de nature à empêcher les personnes concernées de faire un véritable choix ou à les inciter à donner leur consentement (…) ;
- les personnes concernées sont libres de choisir la finalité du traitement qu’elles acceptent, plutôt que d’être confrontées à une demande de consentement regroupant plusieurs finalités (granularité) ».
En tout état de cause, bien que le comité précise que l’évaluation d’une telle conformité devrait se faire au cas par cas, il semble privilégier la piste d’une troisième alternative permettant à l’utilisateur d’échapper au traitement de données aux fins de publicité comportementale sans contrepartie financière tout en bénéficiant du même service.
Les potentielles répercussions de l’avis sur les modèles de financement des acteurs de la communication en ligne
- Cet avis s’inscrit directement en France dans le débat récurrent autour des murs de traceurs ou cookie walls mis en en place sous la forme de pay walls par de nombreuses plateformes et éditeurs en ligne[9], approuvés par la CNIL dans ses critères d’évaluation de 2022. La CNIL, qui avait cherché dans un premier temps à interdire les murs de traceurs en 2019, s’était vue contrainte par une décision du Conseil d’État[10] à les autoriser, sous réserve toutefois de pouvoir constater « l’existence d’alternatives réelles et satisfaisantes » dans le cas où le refus des traceurs bloquerait l’accès au service[11]. Plus encore, dans le cas d’un acteur dominant ou incontournable, l’utilisateur en ligne devait pouvoir accéder malgré tout au service grâce au paiement d’une contrepartie monétaire raisonnable.
Or, les prochaines lignes directrices du CEPD laisseront vraisemblablement le champ libre aux autorités nationales pour étendre le périmètre de son avis du 17 avril à d’autres acteurs, en sus d’y inclure l’ensemble des plateformes en ligne. La CNIL pourrait ainsi s’inspirer du raisonnement du CEPD en tant que nouvelle grille de lecture dans ses décisions à l’encontre des plateformes et éditeurs en ligne pour évaluer avec davantage de sévérité leurs pay walls, revenant ainsi sensiblement à sa position première d’interdiction de principe tempérée par une appréciation – restreinte – au cas par cas. À charge pour les acteurs concernés de contester l’une de ses décisions devant le Conseil d’Etat pour amener les juges français à adresser une question préjudicielle à la CJUE en la matière.
Actuellement, il est clair que la situation inconfortable pourrait en particulier inciter les éditeurs en ligne à proposer une troisième alternative non contractuelle, non payante et non assortie de publicité comportementale au sein de leur cookie walls. Le bouleversement des modèles économiques de ces éditeurs pourrait consister au retour de la publicité contextuelle[12] qui, si elle entre également dans la publicité ciblée, se distingue largement de la publicité comportementale en ce qu’elle n’est pas intrusive lorsqu’elle ne conduit ni au stockage ni à l’accès aux données du terminal de l’utilisateur (sans traçage) conformément à la Directive ePrivacy et aux lignes directrices du CEPD afférentes[13].
Toutefois, cette technique renferme nettement moins de valeur économique pour les annonceurs publicitaires que la publicité comportementale et suppose donc une fracture nette dans l’équilibre budgétaire des acteurs concernés, dont la position sur le marché est sans commune mesure avec elle occupée par les très grandes plateformes. Ce constat peut être inquiétant une fois transposé au modèle des médias en ligne qui repose aujourd’hui essentiellement sur celui des pay walls offrant une alternative entre consentement au traitement de données personnelles aux fins de publicité comportementale ou paiement d’une contrepartie (relativement dérisoire mais existante). Les risques encourus par les médias quant à leur indépendance auraient tôt fait de se répercuter sur le pluralisme de l’information.
Cette critique peut être liée plus généralement à celle de la légitimité de la CNIL voire du CEPD à se prononcer et à trancher sur la question des modèles de financement des plateformes en ligne qui, si elle doit nécessairement faire l’objet d’une appréciation à l’aune du RGPD, suppose d’être soumise à une analyse économique approfondie et de l’état de la concurrence (détermination du marché pertinent, intérêt des consommateurs…). Selon une première étude menée par le cabinet TERA Consultants qui demande à être confortée, le préjudice de l’insécurité juridique régnant autour des pay walls serait ainsi aujourd’hui évalué entre 60 et 355 millions d’euros pour le PIB français[14].
Les équipes du Cabinet Alerion Avocats se tiennent à vos côtés pour relever les défis qu’implique le récent positionnement du CEPD quant à la conformité au RGPD des modèles de financement fondés sur la publicité comportementale en l’absence d’alternative équivalente gratuite au traitement des données.
Par Corinne Thiérache, Avocat Associée, et Romane Cussinet, Élève-Avocate des départements Propriété intellectuelle, Droit des technologies et du Numérique et Protection des données personnelles du Cabinet Alerion Avocats.
[1] Opinion 08/2024 on valid consent in the context of consent or pay models implemented by large online platforms.
[2] CJUE, 4 juillet 2023, Meta Platforms Inc. v Bundeskartellamt, C-252/21.
[3] CEPD, Décisions contraignantes « Facebook », « Instagram » et « WhatsApp » du 5 décembre 2022
[4] Le Digital Services Act vise à encadrer la mise en ligne de contenus et de produits illicites et à protéger les utilisateurs. Il est entré en application le 25 août 2023 pour les très grandes plateformes et le 17 février 2024 pour toutes les plateformes numériques.
[5] Plateforme en ligne : « service d’hébergement qui, à la demande d’un destinataire du service, stocke et diffuse au public des informations (…) ».
[6] Le Digital Market Act ou Règlement sur les marchés numériques vise à encadre le comportement des « contrôleurs d’accès » du numérique. Il est entré en totale application le 6 mars 2024.
[7] JO C 200 du 23.6.2017, p. 10.
[8] Directive (UE) 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques.
[9] « Personnes dont l’activité est d’éditer un service de communication au public en ligne » – article 6 III.1. de la Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
[10] CE, 19 juin 2020, DC n°43684.
[11] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019.
[12] La publicité contextuelle est une technique publicitaire qui vise à diffuser sur un support (web, télévision) des publicités choisies en fonction du contexte dans lequel le contenu publicitaire est inséré.
[13] Article 5 §3 de la Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques encore dite ePrivacy)
Lignes directrices du CEPD 2/2023 sur le périmètre technique de l’article 5 (3) de la Directive ePrivacy adoptées le 14 novembre 2023
[14] TERA Consultants, Impact du RGPD : cas des lignes directrices de la CNIL sur les murs de traceurs – Note économique, étude commandée par le cabinet SAMMAN, Mars 2024 Réf. 2022-35.