Connexion
Démo
Home » Blog » Mise en conformité RGPD » Évaluer la légalité d’un cookie wall sur un site web

Évaluer la légalité d’un cookie wall sur un site web

Publié le

Avoir un cookie wall sur son site web est-il légal et conforme au RGPD ?

Le cookie wall, une expérience de plus en plus banalisée..

Nous avons tous vécu cette expérience lors d’une navigation sur internet : nous souhaitons accéder à un site en particulier et une bannière cookies apparaît, recouvrant la majorité de l’écran et bloquant l’accès au contenu du site internet.

Pour disparaître, la bannière vous donnera le choix généralement entre deux possibilités :

  • accepter des cookies non-essentiels (souvent ceux qui permettent la publicité ciblée)
  • refuser les cookies non-essentiels et payer une somme (abonnement ou paiement unique) pour accéder au contenu du site.

Cette catégorie de bannière cookies géante est appelée un “mur de traceurs”/”cookie wall“. Dans le cas de l’exigence d’une contrepartie financière, le terme de “Paywall” est également utilisé.

Example de Cookie Wall : le visiteur n’a pas le choix de tout accepter, y compris les cookies non-essentiels

Exemple d'un paywall, l'utilisateur est forcé d'accepter les cookies non-essentiels. Sinon, il doit souscrire à un abonnement.

Exemple de Paywall: le visiteur doit payer pour ne pas accepter les cookies non-essentiels

L’objectif de cette pratique ?
Inciter le visiteur à accepter des cookies non-essentiels pour pouvoir accéder au contenu du site, ou éventuellement, lui demander de payer une somme d’argent pour pouvoir y accéder sans être traqué (et compenser ainsi une perte de revenus publicitaires).

Mais est-ce bien légal ?

Pouvoir évaluer la légalité du cookie wall, une information d’intérêt pour de multiples acteurs

En tant qu’éditeur responsable de site internet, vous souhaitez recourir à cette pratique sans risquer de vous faire sanctionner ?

En tant qu’organisation à la recherche d’un partenaire/prestataire, vous consultez le site internet d’autres organisations pour mesurer leur sérieux et leur professionnalisme notamment en matière de conformité Eprivacy / RGPD ?

En tant qu’agence web créant des sites internet, vous voulez conseiller vos clients au mieux et éviter une plainte de leur part s’ils se font sanctionner pour site non conforme, voire même qu’ils obtiennent l’annulation du contrat qu’ils ont signé avec vous (et le remboursement de ce qu’ils vous ont payé) ?

En tant que (futur) client de la société éditeur du site web, vous souhaitez évaluer si celle-ci n’essaie pas de vous extorquer vos données ou votre argent de manière abusive ? 

Vous l’aurez compris, pouvoir évaluer la légalité d’un cookie wall vous donne effectivement des informations intéressantes, qu’importe ce qui vous amène sur le site concerné.

Cadre légal du consentement aux cookies.. 

Directive “EPrivacy” – Consentement aux cookies

Contrairement à la croyance populaire, ce n’est pas l’arrivée du Règlement Général sur la Protection des Données (RGPD) qui a déclenché le déferlement de bannières cookies et les demandes de consentement à répétition sur les sites internet.

C’est la directive EPrivacy qui a fixé la règle du consentement nécessaire pour pouvoir déposer (ou lire) des traceurs “non-essentiels” sur le terminal (smartphone, tablette, smart TV, etc..) d’un individu.

Dans le cas du cookie wall, l’éditeur du site web est typiquement dans une situation où il souhaite déposer/lire des cookies considérés comme non-essentiels, vu que le placement d’un cookie wall est généralement lié à du tracking publicitaire.

La directive EPrivacy précise que pour ce type de cookies, pas d’exception possible à l’obligation de consentement, l’éditeur du site devra donc obtenir le consentement de son visiteur. 

RGPD – Collecte de données personnelles via les cookies

Lorsqu’un éditeur de site collecte des informations via l’utilisation de cookies, il utilise / traite des données qui sont considérées comme des données personnelles.

Le RGPD a donc aussi un impact sur la manière dont cette collecte de données doit avoir lieu.

Plus spécifiquement, le RGPD va imposer une certaine qualité au consentement prévu par la directive EPrivacy. Ce consentement devra répondre à 4 critères pour être considéré comme étant valide :
– Univoque (sans ambiguïté)
– Libre (sans contrainte)
– Spécifique (le consentement ne porte que sur l’utilisation de données visée et n’est pas couplé avec un consentement de conditions générales, par exemple)
– Éclairé (en ayant informé clairement le visiteur)

Le visiteur a toujours le droit de changer d’avis et de retirer son consentement. Retirer son consentement doit d’ailleurs être aussi facile que le donner (à évaluer par exemple en comparant le nombre de « clic » nécessaire pour changer d’avis).

Bouton "gestion cookies" toujours disponible sur toutes les pages du site web dans le footer, pour que l'utilisateur puisse changer d'avis à tout moment

Bouton “gestion cookies” accessible sur toutes les pages du site pour que le visiteur puisse changer d’avis

La question principale que pose l’utilisation d’un cookie wall pour inciter le visiteur à accepter des cookies « non-essentiels » est la suivante : 

Si le visiteur accepte des cookies pour éviter de devoir payer un abonnement, peut-on vraiment considérer que son consentement est donné librement, sans contrainte ? 

Et qu’il est donc effectivement valide au regard du RGPD ? 

Malheureusement, les autorités de protections des données qui se sont penchées sur cette question ne sont pas unanimes.

… et incertitudes de la législation sur le cookie wall en Europe

Si le RGPD est un règlement européen qui permet une application des mêmes obligations aux différents états membres de l’Union Européenne (à quelques spécificités près), la directive Eprivacy a nécessité des textes nationaux pour être transposée localement, des textes permettant une plus grande marge de manœuvre aux états. 

La manière de gérer les cookies et autres traceurs n’est donc pas entièrement uniformisée. 

Si un jour le projet de règlement Eprivacy se concrétise, peut-être aurons-nous plus d’uniformité sur le sujet. En attendant, il faudra évaluer la situation dans chaque pays. 

La légalité du cookie wall en Belgique

L’interprétation de l’Autorité de protection des données est simple : obliger les visiteurs d’un site internet à accepter des cookies « non-essentiels » (ou une alternative payante) pour accéder à du contenu, ce n’est pas considéré comme un consentement libre, et donc, pas légal au regard du RGPD. 

L’utilisation d’un cookie wall par des sites belges est donc interdit. 

La légalité du cookie wall en France

La Commission nationale de l’informatique et des libertés (CNIL) avait initialement adopté la même position que sa collègue belge, en interdisant l’utilisation des cookies walls. 

Suite à une décision du conseil d’état français (qui considérait qu’une interdiction générale était disproportionnée), la CNIL prône désormais une approche plus nuancée.

En effet, elle prescrit une analyse au cas par cas de la contrepartie exigée par le cookie wall afin de déterminer si l’utilisation de ce dernier est autorisé ou non.

L’éditeur de site web désireux d’installer un cookie wall devra donc procéder à une analyse sur base de différents critères :

  • Par rapport à l’existence d’une alternative équitable si le visiteur souhaite refuser les traceurs/cookies et ne souhaite pas payer
    • soit par l’éditeur du site web 
    • soit par un autre éditeur

Ex : une administration qui conditionnerait l’accès à des services aux citoyens qu’elle est par définition la seule à pouvoir fournir aurait du mal à le justifier.  

  • Par rapport à l’obligation d’accepter des cookies « non-essentiels » pour accéder au contenu, quand les cookies ont plusieurs finalités
    • s’assurer que l’obligation d’accepter les cookies ne porte que pour les finalités qui permettent la rémunération du service proposé / l’accès au contenu via le site et pas sur l’acceptation de tous les cookies de manière indistincte 

Ex : permettre du contenu personnalisé, c’est une finalité différente qu’être soumis à de la publicité ciblée.

  • Par rapport au paiement pour accéder au contenu sans dépôt de cookies « non-essentiels »
    • le montant demandé doit être « raisonnable », à évaluer au cas par cas également
    • le format du paiement peut également être sélectionné afin de minimiser les données personnelles requises, comme par exemple l’utilisation de porte-monnaie virtuels (évitant ainsi au visiteur de devoir en plus fournir des données bancaires)

  • Par rapport à l’obligation éventuelle de créer un compte utilisateur pour accéder au contenu
    • s’assurer que cette obligation est justifiée (ex : permettre d’accéder au contenu sur différentes plateformes)
    • bien entendu, respecter les autres principes du RGPD (information des internautes, collecte des données nécessaires uniquement, ..)

La légalité du cookie wall en Allemagne

Le DSK (l’assemblée des autorités de protection des données allemandes) considère que l’utilisation d’un cookie wall est possible à condition qu’une alternative sans “cookies non-essentiels” soit disponible pour le visiteur du site web. 

Le fait que cette alternative soit payante n’est pas un problème en soi et n’empêche pas le consentement d’être libre, à condition de respecter les conditions suivantes : 

  • L’alternative payante doit fournir les mêmes avantages/services que la version “gratuite avec cookies non-essentiels” ;
  • La somme réclamée pour accéder au contenu du site doit être en lien avec les pratiques du marché pour des services équivalents. 

La légalité du cookie wall en Italie 

La Garante, l’autorité de protection des données italienne, prévoit dans ses lignes directrices  que l’utilisation d’un cookie wall pour obtenir le consentement au dépôt de cookies “non-essentiels” n’est pas considéré comme un consentement libre. 

Une exception serait possible si le site permet au visiteur d’accéder à du contenu équivalent sans qu’il doive consentir au dépôt et à l’utilisation de cookies “non-essentiels”. Tout comme en France, l’évaluation se ferait au cas par cas.

La Garante insiste dans tous les cas sur l’importance de la transparence dans la manière de communiquer les informations au visiteur par rapport aux utilisations de cookies et autres traqueurs.

Nos conseils si vous souhaitez utiliser un cookie wall sur votre site internet 

Actuellement, c’est donc chaque état membre de l’Union Européenne qui est libre de choisir sa position en la matière.

Si vous êtes dans la situation où vous souhaitez recourir à un cookie wall (pas en Belgique, donc), posez-vous les questions suivantes :

  • Dans quel pays êtes-vous situé, en tant qu’organisme éditeur responsable du site internet ?
  • Quelle est la position de l’autorité de protection des données compétente localement ?

Afin d’anticiper des problèmes, nous vous conseillons dans tous les cas de : 

  • Procéder à votre analyse détaillée par écrit, afin de pouvoir facilement démontrer que vous l’avez réalisée (et éventuellement mis à jour selon les évolutions de votre contexte) comme le requiert le principe de responsabilité du RGPD ;
  • Faire valider cette analyse par l’organe d’administration de votre organisme (si vous n’avez pas la capacité juridique de l’engager) ;
  • Anticiper un texte de justification à fournir sur demande aux visiteurs de votre site web (afin de désamorcer le conflit et éviter une plainte) ;
  • Inclure des éléments de justification dans votre politique de gestion de cookies (ou directement sur la bannière) pour faire preuve de plus de transparence auprès des visiteurs de votre site web ;

Conclusion 

Vous l’aurez compris, le design même de votre bannière cookies et la formulation des informations communiquées aux visiteurs joueront un rôle important dans l’évaluation de la légalité du cookie wall. 

Nous ajoutons donc un dernier conseil pour la route, valable pour toute bannière cookies mais d’autant plus sensible dans le cas d’une analyse au cas par cas de la légalité d’un cookie wall :  

Éviter la pratique encore très répandue d’induire votre visiteur en erreur, en recourant à des interfaces trompeuses / dark patterns, qui sont des moyens d’entrer en conflit avec le RGPD, dans le design de votre bannière. 

Attention : ces dark patterns ne se limitent pas aux éléments graphiques ou à la structure de votre bannière cookies, mais peuvent également se retrouver dans le texte de celle-ci.

Le fait, par exemple, de culpabiliser le visiteur sur sa décision de refuser les cookies de ciblage peut être considéré comme du « shaming », un type de dark pattern. 

Un visiteur qui se sent trompé est un visiteur qui perd confiance, un prospect qui ne signera pas le contrat, un individu qui s’adresse à des associations telles que NOYB pour défendre ses droits. 

Et ça, qu’importe l’issue finale, ce n’est jamais bon pour le business. 

Chez Admeet, on a choisi de vous proposer des bannières cookies conviviales et pas oppressantes, afin d’informer en toute transparence vos visiteurs sur la manière dont vous allez collecter et utiliser leur données personnelles via les cookies et autres traceurs. 

Les bannières cookies doivent toujours avoir un lien qui mène vers la politique de cookies. Admeet vous aide à générer la politique de cookies, unique à votre organisation.

Bannière Admeet conforme au RGPD : en Legal Design et sans dark patterns

Bannière cookies Admeet

Envie de découvrir nos bannières 100% legal design ? C’est par là !

Découvrez nos bannières 100% Legal Design


Catégories

Derniers articles