Cookie walls : la CNIL statue sur cette pratique de plus en plus répandue

Le saviez-vous ? De plus en plus de sites et d’applications mobiles mettent en place des cookie walls en France. Ce qui s’est d’ailleurs soldé par une longue liste de plaintes auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés). Celle-ci a statué de son mieux au cas par cas en attendant les directives officielles de la Cour de Justice de l’Union européenne. Mais après de longs mois d’attente, la CNIL présente enfin ses premiers critères d’évaluation ! Nous décryptons pour vous ses recommandations si vous avez déjà installé un cookie wall. Ou que vous souhaitez en implanter un !

Les cookie walls, c’est quoi exactement ?

Pour bien commencer, rappelons que les cookies walls sont apparus très récemment. En effet, ils découlent de la nouvelle réglementation en vigueur sur la protection des données, imposant de donner aux internautes le droit d’accepter ou de refuser les cookies utilisés sur chaque site et application mobile.

Ce qui a rapidement posé souci. En particulier à ceux qui tirent la plus grande partie – voire la totalité – de leurs revenus des annonces publicitaires ! C’est pourquoi beaucoup d’éditeurs ont commencé à installer des cookie walls ( « murs de traceurs »). Le principe ? Conditionner l’accès à tout ou partie des services du site à l’acceptation d’un certain nombre de cookies. Si l’internaute refuse :

• il ne pourra tout simplement pas accéder aux services en question ;
• ou il se verra proposer une alternative, le plus souvent payante. AlloCiné, par exemple, donne le choix entre l’acception des cookies OU un abonnement payant d’un mois pour accéder au contenu du site. Dans ce genre de cas, on parle plus précisément de « paywall ». Littéralement : mur payant.

Sans grande surprise, cette pratique a généré de nombreuses plaintes auprès de la CNIL. Ainsi que de nombreuses réactions enflammées sur les réseaux sociaux, twittosphère en tête ! Beaucoup d’internautes n’ont en effet guère apprécié de devoir choisir entre des cookies publicitaires ou de payer pour accéder à un service dont ils profitaient jusqu’ici gratuitement… Au point de souvent qualifier cette pratique de « chantage ». Pour en savoir plus sur ce phénomène, nous vous invitons à consulter l’article La Bourse ou les cookies.

Quelle est la position officielle de la CNIL sur les cookie walls en 2022 ?

En 2019, la CNIL s’est prononcée fermement contre les cookie walls. Avant d’être contrainte de faire machine arrière en 2020, sur décision du Conseil d’Etat. Ce dernier a en effet estimé que « l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale de la pratique des murs de traceurs, la liberté du consentement des personnes devant être appréciée au cas par cas. »

Suite à cette décision, la CNIL a commencé à autoriser ou non les cookie walls et leurs éventuelles alternatives payantes en fonction de chaque situation. Tout en relançant régulièrement le Comité Européen de la Protection des Données (CEPD) pour qu’il délivre dès que possible ses recommandations concernant cette nouvelle pratique.

Depuis, la position de la CNIL n’a guère évolué. Elle reste circonspecte sur le sujet mais elle autorise toujours les cookie walls et les paywalls sous certaines conditions. Ce qui change en revanche, c’est qu’elle a enfin publié des recommandations le 16 mai 2022, pour aider les éditeurs à utiliser correctement les murs de traceurs. Nous vous les présentons ci-dessous !

Focus sur les conditions à respecter pour que vos cookie walls soient acceptés par la CNIL

Assurez-vous que les internautes puissent bénéficier d’une alternative équitable

Premier point important mis en avant par la CNIL : si vous installez un cookie wall, les internautes ne doivent pas être trop pénalisés lorsqu’ils refusent de l’accepter. Comprenez par là que vous devez :

• de préférence, leur proposer vous-même une autre solution pour accéder à vos services. Il peut s’agir aussi bien d’une solution gratuite qu’un paywall ;
• ou à défaut, vous assurer que l’un de vos concurrents propose le même type de service ou contenu que vous SANS en conditionner l’accès à l’acceptation d’un cookie wall. N’omettez pas de faire cette vérification, car la CNIL pourra vous demander de lui prouver que les internautes peuvent obtenir ce qu’ils souhaitent ailleurs, sans partager leurs données. Ce qui risque de devenir de plus en plus difficile à faire dans certains secteurs, compte tenu de la popularité grandissante des cookie walls… En particulier dans les médias en ligne !

Concrètement, cela signifie que l’utilisation des murs de traceurs est envisageable sur tous les sites. SAUF sur ceux qui proposent des services ou des contenus exclusifs. Comme les sites administratifs par exemple : ils ne peuvent pas conditionner l’accès à une téléprocédure par un cookie wall sinon les internautes seraient contraints de l’accepter, faute de choix. Autre exemple : les sites d’entreprises ayant encore une situation de monopole. Comme EDF, qui reste le seul fournisseur d’énergie autorisé à proposer des contrats d’électricité aux tarifs réglementés.

Cookie walls : les traceurs nécessaires et uniquement les traceurs nécessaires

Profiter de votre cookie wall pour demander aux internautes d’accepter l’intégralité des cookies utilisés sur votre site ? Mauvaise idée. En effet, ce genre de comportement est prohibé par la CNIL. Pourquoi ? Tout simplement parce qu’en empêchant les utilisateurs d’accepter ou de refuser certains traceurs en fonction de leur objectif, vous affectez leur liberté de choix. Et donc la validité de leur consentement !

En d’autres termes, vous devez choisir soigneusement les traceurs à utiliser. Comme les cookies permettant de personnaliser les annonces publicitaires de votre site par exemple. Si vous estimez que les revenus qu’elles génèrent représentent une juste contrepartie aux services que vous proposez, bien entendu ! En revanche, demandez-vous si les cookies permettant de personnaliser le contenu éditorial de votre site sont bien nécessaires pour accéder à vos services. Si la réponse est non, ne les incluez pas dans votre cookie wall.

Bon à savoir

La CNIL rappelle également que les cookie walls sont soumis au RGPD (Règlement Général sur la Protection des Données). Ce qui implique, entre autres, d’indiquer clairement aux internautes :

• quels sont les types de cookies que vous leur demander d’accepter ;
• quelles sont les données que vous collectez (ex. : données de géolocalisation pour les publicités ciblées) ;
• à quelles fins vous les utiliser ;
• combien de temps vous comptez conserver leurs données, etc.

Les alternatives payantes sont autorisées mais doivent rester raisonnables

Concernant les paywalls, la CNIL rappelle tout d’abord qu’ils ne sont pas interdits. Tant que la somme n’est pas exagérément élevée ! Dans le cas contraire, la CNIL pourrait vous soupçonner d’essayer de contraindre les internautes à accepter votre cookie wall gratuit.

Le fait, pour un éditeur, de conditionner l’accès à son contenu, soit à l’acceptation de traceurs contribuant à rémunérer son service, soit au paiement d’une somme d’argent, n’est pas interdit par principe puisque cela constitue une alternative au consentement aux traceurs. Cette contrepartie monétaire ne doit toutefois pas être de nature à priver les internautes d’un véritable choix : on peut ainsi parler de tarif raisonnable.

Source : Premiers critères d’évaluation des cookie walls de la CNIL

En revanche, la CNIL n’indique pas en-dessous de quel seuil le tarif peut être considéré comme « raisonnable ». L’évaluation s’effectue au cas par cas ! Cependant, elle invite tout de même les éditeurs à :

• effectuer un vrai travail d’analyse pour déterminer le tarif à appliquer. Hors de question donc de fixer un montant « au hasard ». D’autant plus que vous devrez justifier la somme auprès de la CNIL en cas de contrôle ;
• indiquer aussi clairement aux internautes comment vous avez fixé le tarif demandé, dans un souci de transparence. Pour cela, vous pouvez simplement publier les résultats de votre analyse ! Cependant, retenez que ce dernier point n’est pas une obligation. Il s’agit plutôt d’une recommandation. Mais mieux vaut en tenir compte car votre transparence ne pourra jouer qu’en votre faveur auprès de la CNIL…

Pensez à d’autres solutions que les abonnements pour vos alternatives payantes

Si la CNIL n’interdit en rien les abonnements, elle vous encourage à envisager d’autres options. En particulier les micropaiements via les porte-monnaie virtuels (ex. : Paypal, Lydia, Google Pay). Cela permettrait aux internautes d’accéder ponctuellement à vos services sans avoir à enregistrer leur carte bancaire sur votre site. A méditer !

Cela leur éviterait aussi d’avoir à créer un compte sur votre site. Un sujet qui semble particulièrement sensible pour la CNIL ! En effet, celle-ci rappelle que les éditeurs imposant la création d’un compte utilisateur doivent pouvoir justifier que celui-ci est vraiment nécessaire. C’est notamment le cas lorsque ce compte permet aux internautes de profiter de leur abonnement sur différents appareils.

De plus la CNIL souligne que si vous imposez la création d’un compte à la suite de votre paywall, vous devez :

• limiter la collecte de données aux informations strictement nécessaires au bon fonctionnent de l’abonnement ;
• informer clairement les internautes de l’usage que vous ferez de leurs données.

A noter que pouvez aussi réutiliser les données collectées à d’autres finalités que celles prévues à l’origine. MAIS si et seulement si vous en informez au préalable les internautes. Il est également souvent nécessaire de recueillir à nouveau leur consentement pour les nouveaux objectifs.

Question délicate : pouvez-vous utiliser des traceurs même lorsque l’internaute a choisi l’option payante ?

Dans la plupart des cas, non. La CNIL est très claire à ce sujet : en temps normal aucun cookie nécessitant le consentement de l’internaute ne devrait être déposé si celui-ci a refusé le cookie wall et choisi plutôt l’alternative proposée par l’éditeur.

Cependant, la CNIL fait quelques exceptions. En particulier lorsqu’il s’agit de cookies (publicitaires ou non) « imposés » par un fournisseur tiers afin de visualiser un contenu ou d’accéder à un service.

Concrètement ce cas de figure se présente surtout lorsque :

• vous hébergez une de vos vidéos chez un fournisseur externe ;
• ou plus simplement encore, lorsque vous avez installé des boutons de partage pour les réseaux sociaux.

Cela étant dit, même si ces pratiques sont autorisées, vous êtes tenu(e) de demander l’accord des internautes. Par exemple au sein d’une fenêtre qui s’affichera automatiquement lorsqu’ils essaieront d’activer le contenu concerné. Au sein de cette fenêtre, vous leur indiquerez clairement :

• que pour visionner la vidéo ou activer les boutons de partage, ils doivent accepter le dépôts de certains cookies. En précisant bien la nature des cookies et leurs objectifs. Pensez aussi à inclure un lien vers la politique de confidentialité du fournisseur de contenu externe. En français, dans la mesure du possible ;
• qu’ils ont le droit de retirer leur consentement à tout moment, en leur expliquant comment faire. Plus la procédure est simple, mieux c’est ;
• qu’elles seront les conséquences de leur choix s’ils refusent les cookies ou annulent leur consentement par la suite. A savoir : l’impossibilité de lire les contenus externes ou d’activer les boutons de partage sur les réseaux sociaux.

A noter

Fenêtre pop-up ou non, la CNIL rappelle que vous devez aussi donner la possibilité aux internautes de se rendre d’eux-mêmes dans les paramétrages du site pour consentir – ou non – à certaines fonctionnalités. Comme, par exemple, la personnalisation de votre contenu éditorial en fonction de leurs habitudes de navigation.

Pour en savoir plus, nous vous invitons à consulter directement les premières recommandations de la CNIL concernant les cookie walls.

En conclusion

Même si la CNIL accepte les cookie walls, il y a beaucoup d’écueils à éviter pour ne pas être sanctionné. Retenez également que sa position n’est pas définitive : elle peut encore ajouter d’autres consignes. Ou même invalider totalement l’utilisation des cookie walls, en fonction des nouvelles directives européennes. Nous vous conseillons donc de rester en veille !

Si vous ne maîtrisez pas encore parfaitement le sujet, il serait également intéressant de suivre une formation en RGPD et droit de l’internet. Entre autres choses, elle vous donnerait toutes les clés pour collecter les données de vos visiteurs dans le respect de la loi !

À noter qu’il existe également des formations spécialement dédiées aux DPO (Délégués à la Protection des Données) pour les aider à sécuriser les données personnelles récoltées… Et savoir comment réagir en cas de contrôle de la CNIL !

Au besoin ces formations sont accessibles en e-learning : top pour apprendre à distance à votre propre rythme ! Divers dispositifs de financement (ex. : CPF, FNE-formation) sont également envisageables en fonction de votre situation professionnelle. N’hésitez pas à interroger nos conseillers à leur sujet ! Si vous le souhaitez, ils peuvent aussi vous accompagner dans vos démarches pour les activer.