Vous n’avez-pas pu le rater. Et si tel était le cas, vous allez bientôt probablement le constater dans votre quotidien.
Dans un avis du 17 avril 2024, le CEPD a considéré que dans l’immense majorité des cas, la pratique du « Pay or consent » ne pouvait être conforme au RGPD, au regard des conditions de validité du consentement.
Mais c’était pas déjà tranché ça? Si, si. Et en sens inverse, d’ailleurs. En France, le Conseil d’Etat avait ainsi exclu toute interdiction pure et simple des cookies Walls, par exemple (CE, 19 juin 2020, n° 434684).
Ah, donc l’Europe remet en cause la position française? Non, non.
En tout cas, ce serait aller trop vite en besogne. En dehors des positions contraignantes prises à l’égard des CNIL des Etats membres, les articles, documents et autres papiers du CEPD n’ont… aucune valeur (CE, 30 janvier 2024, n° 466115 ; Förvaltningsrätten, 22 décembre 2022, n° 11453-22). Au mieux, peut-on y voir une orientation (FiS, 14 avril 2023, Klarna Bank AB, n° 7679-22). Orientation qui ne peut être aveuglément suivie, naturellement. Le RGPD doit toujours être mis en balance avec le reste du droit, ce que le CEPD et certaines autorités nationales omettent fréquemment.
Et en l’occurrence, il y a un colossal obstacle. Dans l’affaire de 2020, le Rapporteur Public avait présenté deux voies permettant d’annuler les lignes directrices de la CNIL. La 1ère reposait sur la nature des données personnelles. Reconnues marchandises pour permettre l’intervention du législateur communautaire en 1995 (visa de l’article 100 A du TCE), elles sont expressément devenues une monnaie d’échange avec le « troc 2.0 » de la directive Contenus et Services. La 2nde reposait sur le principe selon laquelle l’administration ne peut rien interdire de façon générale et absolue.
Le CE a retenu cette branche de l’alternative.
Donc, c’est plié! Et non. Car il n’a pas statué sur la 1ère option proposée.
Résultat, loin d’être invalidée, cette hypothèse poursuit son chemin.
Elle a ressurgi dans l’affaire Alicem. Et ce que les tenants de la non-marchandisation des données omettent parfois de retenir est que l’argumentaire du RP avait alors permis de rejeter la requête. La question de la validité du consentement au regard du RGPD? Balayée.
Désormais, la thèse de la « monétisation » des données guette la malheureuse autorité de protection des données qui « endossera » la position du CEPD. Et – peut-être suis je un collapsologue du RGPD? – tout l’édifice menacerait alors de s’effondrer. Pourquoi? parce que le contentieux pourrait aboutir à une décision pulvérisant la notion de « consentement », telle qu’elle est actuellement interprétée dans le RGPD.
Mon avis? Le CEPD a commis une belle erreur tactique en se prononçant sur le sujet.