De plus en plus de sites Internet, et même certaines applications mobiles, commencent à afficher aux internautes des bandeaux d’information sur les cookies et autres traceurs qu’ils souhaitent installer sur leur terminal.
La législation actuelle, comme l’a rappelé la CNIL dans ses lignes directrices n° 2019-093 du 4 juillet 2019 relatives notamment aux cookies et autres traceurs, impose en principe une information préalable de l’internaute et de le mettre en mesure de n’accepter qu’une partie de ces traceurs. La Quadrature du Net a d’ailleurs déféré ce texte au Conseil d’Etat, considérant que la CNIL faisait preuve de trop de bonté en fixant un moratoire à l’application de ces dispositions.
Dans la mesure où ils s’avèrent indispensables aux applications de publicité ciblée, etc., certains sites avaient mis en place des « cookies wall » imposant l’acceptation des cookies pour l’accès au contenu. Cette condition sine qua non a en principe pour objectif de garantir la pérennité du modèle économique de l’éditeur, qui valorise ses visiteurs plutôt que de monétiser son contenu.
Dans sa déclaration sur la révision de la directive ePrivacy et son incidence sur la protection de la vie privée, le Comité́ Européen de la Protection des Données (CEPD) avait considéré que cette pratique entrait en contradiction avec le principe de liberté du consentement. Le Comité en arrivait à la conclusion que « les cookies walls devraient être explicitement interdits ». Cette position est rappelée par la CNIL dans ses récentes lignes directrices, comme l’avait fait l’autorité de protection des données hollandaises, quelques mois plus tôt.
Jusque cela, tout semble limpide.
La situation se complique à la lecture de la directive sur les Contenus et Services Numériques.
Lors de l’élaboration de ce texte, la Commission Européenne avait noté que « la vaste majorité des consommateurs, des États membres et des professions juridiques préconisent de couvrir non seulement le contenu numérique fourni en échange du paiement d’un prix mais aussi celui fourni en échange de données (à caractère personnel et autres) transmises par les consommateurs ».
Ce point a finalement été approuvé par le législateur européen, de sorte que désormais, un service numérique peut être proposé en contrepartie de données à caractère personnel (Art. 2§1 de la directive). Les données sont alors véritablement intégrées dans une forme de « troc 2.0 ».
Partant de là, l’éditeur d’un site Internet pourrait tenter de prendre appui sur ce texte pour contester l’interdiction des cookies wall.
Ni le règlement sur la protection des données, ni la directive ne semblent permettre de déterminer s’il serait entendu.
Certes, la directive prévoit qu’en cas de conflit entre les deux textes, primauté est donnée au RGPD. Mais le RGPD n’interdit pas les cookies wall. Il impose un consentement libre et spécifique et ce n’est que l’interprétation du texte par les autorités de protection des données européennes qui conduit à les considérer comme non conformes.
La question reviendrait alors à savoir si l’alternative proposée par un tel dispositif respecte ces caractéristiques. On connaît la position des autorités de protection des données, mais quid de celles des juges ? Tenus de concilier plusieurs textes de valeur différente, ceux-ci peuvent en effet parfois apparaître plus « conciliants » comme ce fut le cas de la Chambre Criminelle de la Cour de Cassation, admettant la collecte sans information ni consentement de données relatives à l’orientation sexuelle par un établissement de santé.
En l’occurrence, si l’on reprend l’analogie entre le paiement d’un prix et par la fourniture de données, est ce que la liberté et la spécificité du consentement ne devrait pas être interprété comme le consentement sur le prix, dans le cadre d’une vente?