Pour rappel, les cookies sont de petits fichiers qui sont insérés sur votre ordinateur par le site que vous visitez ou l’application que vous utilisez. Ces fichiers contiennent les informations que vous aurez renseignées (un pseudo, votre âge, une adresse, un numéro de carte bleue, etc.) qui seront ensuite collectées et analysées afin de faciliter votre navigation ou vous proposer des publicités qui vous correspondent.
Que dit la loi concernant les cookies ?
Le RGPD, ou « Règlement général sur la protection des données », est une série de règles adoptées par le Parlement européen et destinées à protéger les données personnelles des citoyens européens, tant des abus commerciaux que des attaques informatiques.
Concernant les cookies, elle stipule que les internautes doivent être informés et donner leur consentement préalablement à l'insertion de cookies sur leur disque dur. En d’autres termes, avant de déposer un cookie sur votre appareil, les éditeurs de sites ou d'applications doivent vous informer de sa finalité et obtenir votre accord. D’où l’apparition de ces longs messages commençant généralement par « Nous nous soucions de votre vie privée... » et se terminant par « Oui, j’accepte » ou « Non, je refuse » lorsque vous arrivez sur un site.
Généralement, trois choix vous sont proposés : accepter sans distinction tous les cookies, vous rendre dans un menu permettant d'en autoriser certains mais pas d'autres, et enfin tous les refuser.
Les cookie walls, c’est quoi exactement ?
Depuis quelque temps, certains éditeurs au modèle économique historiquement basé sur la gratuité et financés par la publicité ont conditionné l’accès à tout ou partie des services de leurs sites à l’acceptation d’un certain nombre de cookies.
Si l’internaute refuse, il ne pourra tout simplement pas accéder aux services en question ou se verra proposer une alternative, le plus souvent payante. AlloCiné donne par exemple le choix entre l'acceptation des cookies OU un abonnement payant d’un mois pour accéder au contenu du site.
Début mars 20201, cette pratique, baptisée « cookie wall », a été jugée illicite par la Commission nationale de l'informatique et des libertés (Cnil). Toutefois, quelques semaines plus tard, le Conseil d’État a considéré que la Cnil avait outrepassé ses compétences en énonçant « une telle interdiction générale et absolue des cookie walls ». Il a également estimé que « l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale de la pratique des murs de traceurs, la liberté du consentement des personnes devant être appréciée au cas par cas ».
Suite à cette décision, la CNIL a donc commencé à autoriser ou non les cookie walls et leurs éventuelles alternatives payantes en fonction de chaque situation. Tout en relançant régulièrement le Comité Européen de la Protection des Données (CEPD) pour qu’il délivre dès que possible ses recommandations concernant cette nouvelle pratique. Ce qu’il n’avait toujours pas fait en août 2022.
En attendant, la CNIL a publié des recommandations à l’attention des éditeurs de manière qu’ils puissent utiliser correctement les cookie walls.
Les recommandations de la CNIL si vous utilisez des cookie walls
Puisque le fait, pour un éditeur, de conditionner l’accès à son contenu soit à l’acceptation de traceurs contribuant à rémunérer son service, soit au paiement d’une somme d’argent (sous la forme d’un abonnement) n’est pas interdit par principe, « cette contrepartie monétaire ne doit toutefois pas être de nature à priver les internautes d’un véritable choix : on peut ainsi parler de tarif raisonnable », précise la CNIL.
En d’autres termes, vous devrez effectuer un vrai travail d’analyse pour déterminer le tarif à appliquer. Tarif que vous devrez ensuite justifier auprès de la CNIL en cas de contrôle.
En outre, la CNIL vous encourage à envisager d’autres options que les abonnements payants, en particulier les micropaiements via les porte-monnaie virtuels (Paypal, Lydia, Google Pay, etc.). Un moyen de permettre aux internautes d’accéder ponctuellement à vos services sans avoir à enregistrer leur carte bancaire sur votre site et ne pas les engager avec un abonnement.
Enfin, la CNIL souligne que si vous imposez la création d’un compte à vos visiteurs pour qu’ils puissent visiter votre site, vous devez :
Limiter la collecte de données aux informations strictement nécessaires au bon fonctionnement de l’abonnement ;
Informer clairement les internautes de l’usage que vous ferez de leurs données.