La CNIL a publié, le 31 mai dernier, sur son site internet un article qui traite des questions éthiques et juridiques de la monétisation des données personnelles, notamment en ce qui concerne les cookies walls qui bloquent l’accès au site internet tant que l’utilisateur n’a pas consenti au placement de cookies ou payé pour accéder au contenu.
La CNIL avait, à la fin de l’année 2020, publié ses lignes directrices[1] et recommandations[2] relatives aux « cookies et autres traceurs ». Conformément au plan d’action de la CNIL[3], les acteurs avaient six mois à compter de la publication des lignes directrices sur les cookies, soit jusqu’au 31 mars 2021[4] pour se mettre en conformité avec la directive e-Privacy[5] (transposée à l’article 82 de la Loi informatique et liberté[6]). Désormais, la CNIL est à tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit à la protection des données et au respect de la vie privée, y compris en matière de traçage illégal via cookies, ainsi que l’a rappelé le Conseil d’Etat en octobre 2019[7].
C’est dans ce contexte que certains sites internet ont décidé de se positionner sur la monétisation des données personnelles et l’utilisation de cookies publicitaires. Des sites comme Marmiton, JeuxVideos.com ou encore Allociné peuvent craindre de voir leurs revenus publicitaires baisser si tous les internautes pouvaient refuser le placement de cookies aussi facilement qu’ils ne les accepteraient. Ces sites ont donc décidé de soumettre leurs internautes à un choix : soit accepter les cookies, soit s’abonner à leur site internet pour accéder au contenu. Par exemple, si l’on refuse les cookies sur le site Marmiton, l’internaute voit apparaître le message suivant : « Vous avez choisi de refuser les cookies, notamment ceux concernant la publicité personnalisée et la mesure d’audience. En l’absence de revenus publicitaires, l’accès aux contenus est payant : vous pouvez donc vous abonner pour continuer sur notre site sans publicité ciblée »[8]. Ainsi, dans les deux cas, ces sites, qui assument percevoir une part importante de leur revenu de la publicité ciblée, seraient rémunérés pour leur contenu publié en ligne.
La CNIL a pris position, le 31 mai 2021, sur la question des « Cookie-walls » : « Pour reprendre l’exemple le plus répandu, le fait, pour un éditeur de presse en ligne, de conditionner l’accès à son contenu, soit à l’acceptation de cookies publicitaires contribuant à rémunérer son service, soit au paiement d’une somme d’argent raisonnable, n’est pas interdit par principe, si ce dernier permet d’accéder à une version équivalente du site en termes de contenu et totalement dépourvue de traceurs publicitaires. D’autres éléments, telle que la position dominante du site, peuvent conduire à l’illicéité de certains ’’murs de traceurs’’. ».
Autrement dit, l’éditeur de presse en ligne peut proposer, au terme d’un abonnement, un contenu équivalent et dépourvu de cookies publicitaires à celui qu’obtient l’internaute qui accepte les cookies. La CNIL semble ainsi sensible à l’argument économique des éditeurs de presse qui font de la publicité ciblée une part importante de leur chiffre d’affaires. La CNIL se réserve toutefois la possibilité de préciser son interprétation lorsque le projet de règlement e-Privacy[9] sera adopté.
[1] CNIL, lignes directrices « cookies », 17 septembre 2020 : https://bit.ly/3xbOWnq
[2] CNIL, recommandations « cookies », 17 septembre 2020 : https://bit.ly/3zmd0WL
[3] CNIL, plan d’action « cookies », 28 juin 2019 : https://bit.ly/35ASnYZ
[4] CNIL, « Cookies : la CNIL incite les organismes privés et publics à auditer leurs sites webs et applications mobiles », 4 février 2021 : https://bit.ly/2THXlkf
[5] Directive 2002/58/CE du 12 juillet 2002, dite e-Privacy : https://bit.ly/3zjPZDL
[6] Loi n°78-17 du 6 janvier 1978, dite Loi informatique et libertés, article 82 : https://bit.ly/3xi5j1F
[7] CE, ch. réunies, 16 oct. 2019, n°433069 : https://bit.ly/3xjFYER
[8] Site web de marmiton : https://bit.ly/3iFr6g1
[9] Proposition de règlement européen (PE) n°2017/0003, abrogeant la directive e-Privacy, dit règlement e-Privacy, https://bit.ly/35buSG0.
