Cookies walls : la Cnil ne peut pas les interdire

S’il ne statue pas sur leur légalité, le Conseil d’État considère en revanche que les cookies walls ne peuvent pas être interdits par la Cnil, au titre de sa lecture du RGPD.

Le RGPD (règlement général sur la protection des données) a imposé aux éditeurs de services en ligne qui souhaitent collecter les données de leurs utilisateurs de les informer sur l’utilisation qu’ils en feront et d’obtenir de leur part un consentement explicite à cette utilisation. Sans cela, la récolte et l’exploitation des données des utilisateurs de services en ligne ne sont pas possibles, ce qui pénalise les éditeurs qui ne peuvent pas personnaliser leurs offres ni cibler leur publicité, pour ceux qui ont recours à ce mode de financement. Sur le marché publicitaire en ligne, où Google et Facebook s’octroient l’essentiel des revenus et la presque totalité de la croissance du marché (voir La rem n°42-43, p.92), cette obligation au titre du RGPD est fortement pénalisante pour les éditeurs de services en ligne. Ils sont en effet nombreux, à l’inverse de Google et de Facebook, à ne pas pouvoir compter sur le log de l’internaute comme moyen de l’identifier et ils doivent dès lors recourir aux cookies, ces fichiers qui tracent les activités des internautes en se logeant dans leurs terminaux connectés. À défaut de logs, certains éditeurs de services en ligne avaient donc opté pour une stratégie dite de cookies walls, à savoir interdire l’accès à leur service à tout internaute refusant l’installation de cookies.

Cette pratique des cookies walls avait été dénoncée par la Cnil en tant qu’elle constituait un « inconvénient majeur » pour les internautes qui se retrouvaient interdits d’accéder à certains services s’ils refusaient les cookies. Cette lecture des cookies walls par la Cnil avait été consignée dans les recommandations aux éditeurs de services en ligne que l’instance chargée des libertés informatiques a publiées en janvier 2020. Les représentants des services en ligne (Geste), de l’e-commerce (Fevad), de la publicité sur internet (IAB, SRI) avaient saisi le Conseil d’État en réponse à cette lecture du RGPD par la Cnil.

Après un premier avis du rapporteur le 12 juin 2020, le Conseil d’État a donné en partie raison aux éditeurs de services en ligne dans une décision publiée le 19 juin 2020. L’avis du rapporteur indiquait en effet que les cookies walls concernent principalement des sites marchands, où la concurrence existe, donc qu’il est possible pour un internaute qui refuserait les cookies d’un éditeur de se tourner vers un autre service en ligne. Dès lors, les cookies walls ne seraient pas l’inconvénient majeur décrit par la Cnil. Si le Conseil d’État n’a pas statué sur le fond, à savoir la légalité ou non des cookies walls, au moins a-t-il considéré que la Cnil a « excédé ce qu’elle peut légalement faire » en ayant statué sur le fond, alors que sa mission d’autorité de régulation lui impose de seulement veiller à l’application des textes. La Cnil devra donc revoir les recommandations qu’elle a émises en janvier 2020 et il faudra probablement atten­dre la directive européenne e-privacy, qui aborde la question des cookies walls, pour qu’une lecture sur le fond de leur légalité soit possible.

Sources :

  • « La Cnil mise en difficulté sur les « cookies walls » », Florian Debès, Les Echos, 15 juin 2020.
  • « Le Conseil d’État contredit la Cnil sur l’utilisation des cookies », Alexandre Debouté, Le Figaro, 16 juin 2020.
  • « Blocage autorisé pour les internautes qui refusent les cookies », Florian Debès, Les Echos, 22 juin 2020. 

1 COMMENTAIRE

  1. Bonjour,

    Sauf erreur, un « log » (ou quel que soit l’identifiant) est considéré comme un tracer, et donc soumis à l’acceptation (ou non) de sa pose.
    Les Google et Facebook devraient donc suivre la même démarche.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici