À la suite d’une décision du Conseil d’Etat en date du 19 juin 2020, la CNIL a dû reconsidérer sa position sur les « cookies walls » et ajuster ses lignes directrices sur les cookies. Les juges français ont estimé que l’autorité de contrôle est allée au-delà de ce que lui permettent ses compétences légales, s’opposant ainsi aux guidelines du Comité européen de la protection des données (CEPD), pourtant garant de l’application du RGPD sur le sol européen.
La CNIL a publié en 2013 ses premières lignes directrices sur les cookies, des fichiers utilisés lors d’une navigation et déposés sur l’ordinateur de l’utilisateur afin de garder une trace de ses informations dans l’éventualité d’un passage ultérieur. Elle n’a depuis cessé d’encadrer et de conseiller les professionnels et les utilisateurs sur leur mise en conformité par rapport à la Loi informatique et libertés de 1978.
Avec l’arrivée du RGPD (Règlement général sur la protection des données), elle a actualisé ses lignes directrices en juillet 2019, notamment en prohibant de façon absolue la pratique des cookies walls. Elle s’aligne sur la position du CEPD à ce sujet.
Qu’est-ce qu’un cookie wall ?
Littéralement « mur de cookies », c’est une véritable barrière virtuelle qui impose à l’utilisateur d’accepter la distribution des cookies utilisés sous peine de se voir refuser la poursuite de sa navigation sur une page web ou une application.
Est-ce légal ?
Cette nouvelle décision du Conseil d’Etat révise les lignes directrices de la CNIL en s’opposant à la prohibition de la pratique des cookies walls. Il justifie sa position sur le fait que la CNIL a outrepassé ses compétences légales dans le cadre d’un acte de droit souple et qu’il lui est donc impossible d’interdire de façon « générale et absolue » les cookies walls. Il ne tranche cependant pas sur la licéité de ces derniers !
Il faudra attendre le 1er octobre 2020 pour que la CNIL tire des conséquences de la décision du Conseil d’Etat et adopte deux nouvelles délibérations dont l’une actualise sa position sur le sujet. Le CEPD quant à lui considère toujours que l’utilisation des cookies walls constitue un consentement forcé des utilisateurs. La question reste donc encore en suspens…
Quid de la liberté du consentement ?
La CNIL ne peut interdire les cookies walls, mais elle garde tout de même une réserve en insistant que cette pratique est « susceptible de porter atteinte à la liberté de consentement des utilisateurs ».
A rappeler que tout utilisateur doit pouvoir consentir ou non à l’usage de cookies sur le site qu’il visite :
- De manière éclairée : c’est-à-dire que l’information de recueil du consentement doit être écrite de façon claire et simple.
- De manière libre et spécifique : bien que les sites web puissent proposer de « tout refuser » ou de « tout accepter » en matière de cookies, il leur est par exemple impossible de varier la forme ou la couleur du bouton de recueil du consentement, au risque d’inciter l’utilisateur à choisir l’une des options proposée à leur avantage.
- De manière univoque : le consentement doit être constitué par une action positive de l’utilisateur, ainsi, selon la justice européenne, une case pré-cochée ne peut valoir consentement à l’enregistrement des cookies.
Le problème des cookies walls est que les accepter oblige à consentir à toute forme de cookies utilisés, que ce soit des cookies fonctionnels, qui permettent le bon usage du site visité, ou des cookies tiers. Ces derniers peuvent être désactivés en temps normal, ce qui n’est pas le cas s’ils font partie intégrante d’un cookie wall. Ils comportent des cookies marketing (qui vont faire de l’internaute la cible de publicités plus adaptées lors de son prochain passage), statistiques (qui vont mesurer les fréquentations ou les performances du site) ou encore de préférence (qui vont tout simplement enregistrer les préférences de l’utilisateur).
La CNIL recommande donc une appréciation de l’utilisation des cookies walls « au cas par cas ». Les utilisateurs sont malgré tout informés des conséquences de leur choix en cas de refus d’un cookie wall. Ils doivent également être libres de modifier leur choix de départ et de « pouvoir retirer leur consentement à tout moment » par une option qui leur serait proposée sur la page ou l’application visitée.
Elle précise enfin que les plateformes ont jusqu’à fin mars 2021 pour se conformer à ces nouvelles recommandations.
Existe-t-il des alternatives ?
Face à cette pratique encore litigieuse des cookies walls opposant la CNIL et le Conseil d’Etat, de nouvelles règles devraient être adoptées. Pour certains experts, il serait plus judicieux pour chaque plateforme de privilégier un consentement « granulaire », c’est-à-dire un consentement différent pour chaque finalité de cookie utilisée. Cela donne la possibilité d’activer certains cookies et pas d’autres.
Pourtant, une étude dénommée « Dark Patterns after the GDPR » réunissant une équipe de chercheurs de trois grandes universités (le MIT, l’UCL et Aarhus University) a démontré que la mise en place de bannières de consentement « granulaires » participait à réduire le consentement des utilisateurs. En effet ces derniers préfèrent, afin de visiter une page au plus vite, cliquer sur le premier bouton visible (« tout accepter » apparaissant seul en première page dans 87,7% des cas) et acceptent l’entièreté des cookies proposés par paresse.
Les plateformes tirent avantage du fait qu’il apparait encore très facile d’accepter des cookies d’un simple clic afin de continuer son activité en ligne, plutôt que de se protéger à chaque site visité au travers d’une pratique quelque peu fastidieuse.
Marussia SAMOT
M2 Cyberjustice – Promotion 2020/2021
Sources :
https://www.cnil.fr/sites/default/files/atoms/files/ligne-directrice-cookies-et-autres-traceurs.pdf
https://www.nextinpact.com/article/43955/cookies-et-autres-traceurs-nouvelle-doctrine-cnil
https://arxiv.org/pdf/2001.02479.pdf
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf