Publicité ciblée et consentement aux cookies et traceurs : la CNIL et les internautes au pied du mur, par Lorraine Maisnier-Boché
Par Lorraine Maisnier-Boché, Chargée d'enseignement, Université Paris II Panthéon-Assas, Université Paris V, Avocat à la Cour.
Lorraine Maisnier-Boché, Chargée d’enseignement, Université Paris II Panthéon-Assas, Université Paris V, Avocat à la Cour
L’entrée en vigueur de l’obligation de recueillir un consentement actif à l’utilisateur de cookies et de traceurs a entrainé un alourdissement conséquent des bannières d’information et de consentement, ainsi que des pratiques de « cookies walls », qui imposent aux internautes un choix cornélien entre accès payant et accès gratuit avec publicité ciblée. En toile de fond de ce phénomène, se poursuit en réalité le bras de fer entre l’industrie de la publicité en ligne et les défenseurs de la protection des données à caractère personnel, dont les positions apparemment irréconciliables bloquent depuis des années les négociations européennes sur le projet de Règlement e-Privacy.
Quelle est l’origine de la multiplication en ligne de « bannières cookies » d’une complexité croissante ?
Le secteur de la publicité ciblée, soit les annonceurs, les intermédiaires tels que les courtiers en données (« data brokers »), les plateformes de l’adtech et enfin, les éditeurs de site Internet qui se financent grâce à la publicité, vit un moment crucial.
L’invasion des sites Internet et des applications mobiles par des bannières cookies plus ou moins claires ne constitue que la partie émergée du phénomène. Celui-ci est issu de la réinterprétation des exigences de la réglementation issue de la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée (directive vie privée et communications électroniques, dite « ePrivacy ») à la lumière du haut standard de consentement imposé par le règlement général sur la protection des données (RGPD). A ce titre, l’utilisation de traceurs (à savoir les cookies, mais également l’empreinte du matériel ou du navigateur, certaines CAPTCHA, etc.) est soumise au consentement de l’utilisateur. La CNIL a publié des lignes directrices et recommandations, dont la version définitive du 17 septembre 2020 fait suite à différents recours exercés tant par les associations de défense de la protection des données personnelles d’une part que des représentants du secteur de la publicité de l’autre – recours dont les fondements étaient diamétralement opposés.
Dans quelle mesure ces « bannières cookies », et notamment dans un contexte de tracking walls, sont-elles conformes à la législation de protection des données personnelles ?
Si le principe du consentement actif ne fait plus de doute, le débat s’est aujourd’hui déplacé vers les modalités de son obtention, la forme et le contenu de la bannière, la durée de conservation du consentement et celle durant laquelle l’utilisateur ne doit plus faire l’objet de sollicitations visant à obtenir son consentement.
Tout particulièrement, suite à l’entrée en vigueur des lignes directrices et recommandations de la CNIL, certains sites Internet reposant sur un contenu majoritairement gratuit et financé par la publicité ciblée, ont décidé de poser les enjeux du consentement de façon très claire, voire provocante : soit un accès payant aux contenus du site, sans aucune publicité ciblée, financé par la souscription d’un abonnement, soit un accès « gratuit », financé par la publicité ciblée et donc le consentement aux traceurs et cookies à finalité publicitaire. Ceci se traduit par un affichage à l’entrée sur le site, empêchant l’accès aux contenus avant que l’utilisateur n’ait fait ce choix (« tracking walls »).
Cette pratique constitue une forme de « cookies wall », terme désignant de façon plus large le fait de soumettre l’accès à un site à l’acceptation des cookies. Les cookies walls ne sont pas intrinsèquement interdits par la législation de protection des données personnelles – ce que le Conseil d’Etat a rappelé dans une décision n°434684 du 19 juin 2020 – mais la CNIL, si elle constate au cas par cas que le consentement aux cookies est vicié, peut estimer que certains cookies walls, tels que les tracking walls, ne sont pas licites.
Aussi, ces tracking walls, mettant les utilisateurs au pied du mur en ce qui concerne le fait de payer en devises ou en données à caractère personnel, risquent d’être les premiers visés par l’analyse au cas par cas que mène la CNIL concernant la licéité des cookies walls. En effet, la question se pose bien évidemment de la liberté du consentement des utilisateurs lorsque le choix s’effectue entre un accès payant ou un accès qui peut sembler gratuit, les utilisateurs n’étant pas nécessairement conscients de la valeur de leurs données et des risques liés au profilage et du ciblage (notamment au regard de l’ampleur du partage d’informations lié aux cookies tiers). D’un autre côté, il est possible de considérer qu’un tracking wall ne met pas l’utilisateur face à une fausse alternative telle qu’accepter les cookies ou ne pas accéder au site : il ouvre une troisième voie, celle de l’accès payant sans publicité ciblée. Cette question rejoint également les interrogations sur la patrimonialisation des données à caractère personnel, qui, dans de tels contextes, sont clairement identifiées comme une monnaie d’échange, à rebours de la position du législateur. Le projet de règlement ePrivacy, en cours de discussion, prévoit dans ses considérants que ce type de cookies wall pourrait être licite si l’internaute est en mesure de choisir entre deux offres du même fournisseur de service, l’une impliquant l’utilisation de traceurs et l’autre non, ceci sous réserve de l’absence de déséquilibre manifeste entre l’internaute et le fournisseur du service (par exemple, dans le cas d’un service en ligne fourni par une autorité publique, ou encore par un fournisseur en position dominante) (Projet de règlement ePrivacy, version du 10 février 2021, csd. 20aaaa).
L’enjeu est de trouver un équilibre entre les sources de financement des services numériques liées à la publicité ciblée et le niveau d’intrusion corollaire impliqué par le ciblage pour les utilisateurs de ces services numériques. Cet équilibre repose notamment sur la question de savoir si le niveau d’intrusion impliqué par la publicité ciblée est nécessaire et proportionné à son objectif, notamment au regard de la réelle efficacité et rentabilité du ciblage, qui est parfois discutée.
Quand peut-on s’attendre à une prise de position des autorités de protection des données sur ces « tracking walls » et sur les bannières de recueil du consentement ?
En attendant l’adoption du règlement ePrivacy par le législateur européen, la question est du ressort des autorités de protection des données personnelles, vivement sollicitées par les associations de défense du droit au respect de la vie privée et de la protection des données personnelles. La célèbre association Non Of Your Business (NOYB) continue ses actions dans le secteur, en émettant par exemple plusieurs centaines de mises en demeure auprès d’éditeurs de sites ne respectant pas, à leurs yeux, la réglementation, afin de mettre fin à ce que NOYB appelle la « cookie banner terror ».
De façon similaire, l’Interactive Advertising Bureau (« IAB »), qui regroupe les acteurs de la publicité sur Internet et a développé un cadre de référence pour l’information et le consentement aux cookies et traceurs (« Transparency and Consent Framework » ou « TCF »), fait l’objet de différents recours concernant la conformité de ses outils à la réglementation (tels que la plainte déposée auprès de l’autorité irlandaise concernant le cookies wall, ou encore l’investigation par l’autorité de protection des données belge). Enfin, les intermédiaires du secteur du profilage (courtiers en données, adtechs…) sont également visés par des plaintes de l’association Privacy International, à la suite desquelles l’autorité du Royaume-Uni a conduit des investigations. Des clarifications ne devraient plus tarder à être fournies, d’autant plus que la CNIL vient de mettre en demeure une vingtaine d’organismes concernant la conformité de leurs bannières cookies et traceurs.