La protection des données est un sujet d’actualité dans le monde, et surtout au sein de l’Union européenne – pionnière en matière de protection des données personnelles, depuis l’entrée en vigueur du Règlement général sur la protection des données 2016/679 (RGPD). Toutefois, la tentative d’harmonisation du traitement des données personnelles au sein de l’Union européenne se heurte aux interprétations divergentes retenues par les Etats membres et les autorités de contrôle nationales. Alors que les autorités européennes tentent de faire un pas de plus avec le projet de règlement « e-Privacy », la Haute juridiction administrative française a sanctionné la CNIL pour avoir fait un pas de trop. Le Conseil d’Etat a annulé l’Article 2 de la délibération de la CNIL (du 4 Juillet 2019) qui posait une interdiction générale et absolue de recourir aux « cookie walls ».

Dans cet article nous abordons : (I) le concept de « cookie walls » ; (II) les dispositions des lignes directrices de la CNIL du 4 juillet 2019, et l’impact de la décision du Conseil d’Etat du 19 juin 2020 ; (III) la position européenne à ce jour : les lignes directrices adoptées au Royaume-Uni, en Allemagne, aux Pays-Bas et en Espagne ; (IV) l’impact du consentement granulaire et des pratiques obscures sur l’acceptation des cookies par les utilisateurs ; et (V) notre conclusion.

I. Qu’est-ce qu’un cookie wall ?

Un cookie wall est une méthode permettant aux sites web de forcer les utilisateurs à accepter tous les cookies et traceurs, sous peine de perdre l’accès au site web. Cette barrière crée un scénario « « à prendre ou à laisser » » et ne permet pas aux utilisateurs de faire la distinction entre les différents types de cookies. Le Comité Européen de la Protection des Données (ci-après, le CEPD) a publié des lignes directrices en mai 2020 [1], qui stipulent que les cookie walls ne peuvent jamais être un moyen valable pour les sites web d’obtenir le consentement des internautes pour utiliser des cookies et donc traiter leurs données personnelles.

Mais, à quoi ressemble ce cookie wall en pratique ?

Il y a de fortes chances que nous ayons tous rencontré un cookie wall dans nos activités quotidiennes. Dans la pratique, ce sont des bannières ou des boîtes de cookies qui apparaissent sur le site web, et la seule possibilité pour les utilisateurs désireux d’accéder au site web est de cliquer sur le bouton "accepter" ou "j’accepte" - sans possibilité de choisir quels cookies accepter ou rejeter. Ainsi, les cookie walls ne permettent pas un recueil granulaire du consentement.

II. Les lignes directrices de la CNIL du 4 juillet 2019, et la décision du Conseil d’Etat du 19 juin 2020.

Le 4 juillet 2019, la Commission nationale de l’informatique et des libertés (CNIL) a adopté une délibération n° 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) [2].

L’article 2 de cette délibération précise les caractères d’un consentement valide et prévoit notamment, au titre « du caractère libre du consentement » [3] que la personne concernée doit être « en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement » [4].

Après avoir posé cette condition de validité la CNIL rappelle la déclaration du CEPD, lequel considère « que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie wall ») n’est pas conforme au RGPD » [5].

En effet, selon la CNIL, l’utilisateur, dans une telle hypothèse ne peut refuser les cookies sans subir de conséquences négatives. Par conséquent, le consentement exprimé n’est pas libre et donc pas valide. Les lignes directrices contenues dans cette délibération posent une interdiction de recourir aux cookie walls.

L’Association des agences-conseils en communication (entre autres) a saisi le Conseil d’Etat afin de former un recours pour excès de pouvoir à l’encontre de cette délibération et en obtenir l’annulation au motif qu’elle porte une atteinte excessive à la liberté d’entreprendre et d’information.

Le Conseil d’Etat a fait droit à une partie des demandes des requérants et annulé l’article 2 de la délibération attaquée. En effet, d’après la Haute juridiction, le fait pour la CNIL de déduire de l’impossibilité faite à tout utilisateur refusant la pratique des cookie walls l’existence d’un inconvénient majeur, de nature à entacher la validité du consentement donné par l’utilisateur entraîne l’illégalité de la délibération attaquée. La CNIL en posant une interdiction générale et absolue des cookie walls a excédé les pouvoirs dont elle est légalement investie dans le cadre de l’utilisation d’instrument de droit souple.

Par conséquent, le Conseil d’État ne s’est pas expressément prononcé sur la question de savoir si les cookie walls sont autorisés ou non, mais a plutôt rendu une décision sur l’étendue des pouvoirs juridiques dont la CNIL est investie dans le cadre de l’édiction de lignes directrices. Ce faisant, cette décision a créé une situation précaire et incertaine en ce qui concerne la validité des cookie walls en France.

III. La position européenne à ce jour : les lignes directrices adoptées au Royaume-Uni, en Allemagne, aux Pays-Bas et en Espagne.

En examinant les lignes directrices publiées par les différentes autorités de contrôle sur la question des cookie walls et du consentement, l’International Association of Privacy Professionals a mis en évidence certaines similitudes et différences entre ces autorités [6].

Par exemple, sur la question des cookie walls, alors que la position de la CNIL était que les cookie walls ne sont pas auorisés car l’utilisateur subirait des conséquences négatives s’il refusait d’accepter le suivi par des cookies, l’Information Commissioner’s Office (ICO), l’autorité de contrôle au Royaume-Uni, a déclaré que « le consentement qui est forcé par un cookie wall n’est probablement pas valable ».

L’ICO a également déclaré que le RGPD doit être mis en balance avec d’autres droits, tels que le droit à la liberté d’expression et la liberté de mener une entreprise. En tant que tel, l’ICO semble pour le moment adopter une approche équilibrée.

Le Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), l’autorité allemande chargée de la protection des données, a adopté une position similaire à celle de la CNIL dans le sens que le consentement obtenu grâce aux cookie walls n’est pas valide ou autorisé.

L’autorité néerlandaise, l’Autoriteit Persoonsgegevens, a également déclaré que les cookie walls ne sont pas conformes aux dispositions du RGPD [7].

Toutefois, il est intéressant de noter que l’Agencia Española de Protección de Datos (AEPD), l’autorité espagnole de protection des données, a déclaré que les cookie walls sont autorisés « tant que l’utilisateur en est informé et sauf si le refus signifie que l’utilisateur ne sera pas en mesure d’exercer un droit légal » [8].

En outre, sur la question de l’offre d’un consentement granulaire, les exigences de la CNIL comprennent l’utilisation d’un deuxième volet qui permet à un utilisateur de donner un consentement spécifique et séparé à chaque catégorie de cookies regroupés selon leurs finalités. L’autorité espagnole exige également un consentement granulaire pour chaque catégorie de cookies par l’ajout d’un lien vers un outil qui permet cela, dès le premier volet.

De même, l’autorité allemande exige également un consentement granulaire, mais ne précise pas si celui-ci doit être fourni au premier ou au second niveau. L’ICO n’a pas précisé la nécessité d’un consentement granulaire pour chaque finalité de traçage, mais cela est considéré comme une bonne pratique.

De la même façon, les autorités sont assez fragmentées dans leur approche du consentement pour les cookies analytiques ; la CNIL et la BfDI indiquant que le consentement n’est pas toujours requis pour les cookies analytiques s’ils remplissent certaines conditions, et l’AEPD et l’ICO déclarant que même les cookies analytiques devront toujours être approuvés avant d’être utilisés.

Toutefois, cette dernière autorité a nuancé cette position en déclarant qu’il est « peu probable que la priorité d’une action officielle soit accordée aux utilisations de cookies présentant un faible niveau d’intrusion et un faible risque de préjudice pour les personnes » [9]. avec les cookies analytiques de première partie étant cités comme un exemple de « cookie à faible risque ».

IV. L’impact du consentement granulaire et des pratiques obscures sur l’acceptation des cookies par les utilisateurs.

Quelles que soient les approches des différentes autorités de contrôle nationales, les recherches montrent que l’utilisation de cookie walls et autres « pratiques obscures » similaires sont répandues. Dans un document de recherche intitulé « Dark patterns after the GDPR : Scraping Consent Pop-ups and Demonstrating their Influence » [10] une étude menée par des chercheurs de l’Université d’Aarhus au Danemark, du MIT aux États-Unis et de l’UCL au Royaume-Uni, sur les cinq « plateformes de gestion du consentement » les plus populaires utilisées sur les 10 000 principaux sites web du Royaume-Uni, a montré que le consentement implicite est omniprésent. Seuls 11,8 % de ces sites web répondaient aux exigences minimales fixées par la législation de l’Union européenne.

En outre, tout argument selon lequel la mise en place d’un mécanisme de consentement granulaire, c’est-à-dire permettant aux utilisateurs de choisir le type de cookies auquel ils consentent ou non, aurait un effet significatif sur l’utilisation du site web, est également faux.

L’étude ci-dessus a révélé que le fait de fournir des contrôles plus granulaires sur un site web ne fait que réduire les taux de consentement de 8 à 20 points de pourcentage. L’étude a également révélé que le style de notification, par exemple l’utilisation d’une bannière ou d’une barrière, n’a aucun effet sur les choix de consentement et que la suppression du bouton "opt-out" du premier écran n’augmente le consentement que de 22-23 points de pourcentage.

De plus, une étude allemande menée par des chercheurs de la Ruhr-Universität Bochum intitulé « (Un)informed Consent : Studying GDPR Consent Notices in the Field » [11] , a montré que 57 % des sites étudiés utilisent des techniques autres que les cookie walls pour contraindre les utilisateurs à accepter un traçage moins favorable, ces techniques comprenant l’utilisation d’une couleur plus vive pour le bouton « accepter », ou l’affichage de liens beaucoup moins visibles vers « plus d’options/d’informations ».

VI. Conclusion.

En attendant une recommandation officielle de la Commission européenne, qui devrait être publiée vers septembre 2020, il est clair que non seulement les règles entourant l’interdiction des cookie walls doivent être harmonisées au niveau européen, mais aussi que l’application et la réglementation de ces mesures constitueront une tâche énorme pour les autorités de contrôle européennes dans les années à venir, si nous voulons garantir la protection des données personnelles traitées par ces traceurs. Nous attendons donc la version finale du très discuté e-Privacy Regulation avec impatience.

Charlotte Gerrish Associée Fondatrice du Cabinet GERRISH LEGAL Paris - Londres