La CNIL a publié, le 16 mai 2022, une liste des premiers critères d’évaluation des cookie walls.

Qu’est qu’un cookie wall ?

« cookie wall » désigne le fait de conditionner l’accès à un service à l’acceptation par l’internaute du dépôt de certains cookies ou traceurs sur son terminal (ordinateur, smartphone, etc.).

Certains sites ont recours, en cas de refus, à la mise en place d’un choix alternatif consistant à demander un paiement (aussi appelé « pay wall »). Il s’agit de compenser la perte de revenus publicitaires résultant de l’absence de cookies, par un autre mode de rémunération.

Contexte juridique

Dans le contexte de ses recommandations sur les cookies et autres traceurs, la CNIL avait dans un premier temps interdit les cookie walls, considérant qu’ils ne permettaient pas un consentement libre conformément à ce qui est requis par le RGPD. Le Conseil d’Etat avait jugé par une décision du 19 juin 2020, que la CNIL ne pouvait pas en l’état du droit prendre une telle position, mais que la liberté du consentement des personnes devait être appréciée au cas par cas.

La CNIL et le CEPD ont appelé, à plusieurs reprises, le législateur européen à fixer des règles plus précises en la matière dans le futur règlement européen ePrivacy, en cours d’élaboration.

Dans l’attente d’une telle législation ou d’une décision de la Cour de Justice de l’Union Européenne, la CNIL a déterminé un certain nombre de premiers critères pour procéder à une évaluation au cas par cas d‘un cookie wall.

Les critères

Les critères s’articulent autour des questions suivantes.

1. L’internaute refusant les traceurs dispose-t-il d’une alternative équitable pour accéder au contenu ?

Il s’agit notamment de :

  • savoir si le contenu est accessible sans cookie wall auprès d’un autre site et
  • ne pas permettre les cookie wall dans certains cas tels que : lorsque le contenu est exclusif (comme pour des services administratifs en ligne) ou dans le cas de « fournisseurs de services dominants ou incontournables ».

2. Alternative payante : le tarif est-il raisonnable ?

  • L’éditeur qui souhaite mettre en œuvre un paywall devra être en mesure de justifier du caractère raisonnable de la contrepartie monétaire proposée. Pour plus de transparence à l’égard des internautes, la CNIL encourage les éditeurs à publier leur analyse.
  • Les modalités de paiement devront être adaptées : selon les cas, l’éditeur pourra choisir de recourir à des porte-monnaie virtuels permettant de réaliser des micropaiements, sans qu’il soit nécessaire pour l’internaute d’enregistrer ses données de carte bancaire auprès de l’éditeur.
  • Lorsqu’il y a création d’un compte, le compte doit poursuivre des objectifs déterminés et transparents pour l’internaute.

3. Un cookie wall ou un pay wall peut-il systématiquement imposer d’accepter l’intégralité des traceurs du site web ?

« L’éditeur devra démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé. Par exemple, si un éditeur considère que la rémunération de son service dépend des revenus qu’il pourrait obtenir de la publicité ciblée, seul le consentement à cette finalité devrait être nécessaire pour accéder au service : le refus de consentir à d’autres finalités (personnalisation du contenu éditorial, etc.) ne devrait alors pas empêcher l’accès au contenu du site. »

4. L’utilisateur choisit l’accès payant sans consentir aux cookies : dans quels cas (limités) des traceurs peuvent-ils tout de même être déposés ?

Dans le cas où l’internaute choisit l’alternative « paiement », aucun cookie, autre que ceux essentiels au fonctionnement du site, ne devrait en principe être déposé.

« L’éditeur pourra toutefois demander, au cas par cas, le consentement de l’internaute au dépôt de traceurs lorsque ces derniers sont imposés pour accéder à un contenu hébergé sur un site tiers (par exemple, pour visionner une vidéo hébergée par un site tiers) qui requiert l’utilisation d’un cookie non strictement nécessaire, ou à un service demandé par l’utilisateur (par exemple, pour donner accès aux boutons de partage sur des réseaux sociaux). » La CNIL donne un exemple de la façon dont le consentement peut être recueilli dans ce cas.

Respect du RGPD

L’ensemble des principes du RGPD restent applicables aux traitements de données liés à l’usage de cookie walls, y compris le fait d’avoir une base légale (peut-il encore s’agir du consentement ?) : « licéité, loyauté, transparence », « minimisation des données », « limitation de la conservation », « limitation des finalités » (y compris pour les usages ultérieurs) et garanties à mettre en place en cas de transferts de données en dehors de l’Union européenne.

Quelle portée ?

Les cookie walls ne sont pas interdit en France mais leur mise en œuvre requiert une analyse préalable attentive.

Des incertitudes demeurent cependant sur le point de savoir si ces critères offrent une réelle flexibilité. Certaines notions sont sujettes à interprétation, telle que la notion de prix équitable ou celle de « fournisseurs de services dominants ou incontournables ».