Cookies publicitaires : L'ICO soulève la question des modèles « Consent or Pay »
Le 6 mars 2024, l'Information Commissioner’s Office (« ICO »), l’autorité de contrôle britannique sur la protection des données, a lancé un appel à commentaires sur les modèles de « Consent or Pay ».
Cet appel s'inscrit dans le contexte d'un large débat réglementaire au sein de l'UE sur ces modèles et sur la nécessité de garantir que les entreprises opèrent dans le respect des règles et que leurs investissements dans de tels systèmes sont pertinents.
Accepter ou Payer
En termes simples, les modèles « Consent or Pay », (c’est-à-dire « Accepter ou Payer »), consistent à donner aux individus le choix entre un accès gratuit à des services en ligne s'ils consentent à ce que leurs données à caractère personnel soient utilisées à des fins de publicité personnalisée ou, s'ils refusent ce consentement, à devoir payer pour accéder à ce service.
Conformité avec les lois sur la protection des données
Le RGPD britannique repose sur le principe de la protection des données des personnes contre toute utilisation abusive. Le libellé de l'article 4, paragraphe 11, du RGPD britannique définit le consentement comme « toute manifestation de volonté librement consentie, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par une action affirmative claire, le traitement de ses données ».
Toute organisation souhaitant traiter des données à caractère personnel doit disposer d'une base légale valable qui lui permette de le faire. Dans le cas du consentement ou de la rémunération, le recueil du consentement doit être valide et les organisations doivent s'assurer qu'il est "librement donné". Les modèles « Consent or Pay » peuvent ne pas respecter cette règle s'il n'y a pas de véritable choix libre de recevoir ou non des publicités personnalisées. L'utilisation de « cookie walls », ou « murs de traceurs », qui interdisent l'accès à un service à moins que les utilisateurs ne consentent à recevoir des publicités personnalisées, en est un exemple. Les « cookie walls » ont été jugés illégaux à de nombreuses reprises. Selon l'ICO, si vous utilisez un « cookie walls » dans le but d'obliger ou d'influencer les utilisateurs à accepter que leurs données à caractère personnel soient utilisées par vous ou par des tiers comme condition d'accès à votre service, il est peu probable que le consentement de l'utilisateur soit considéré comme valable.
Certains pays de l'UE ont la même position en la matière. En France, l'autorité française chargée de la protection des données, la Commission nationale de l'informatique et des libertés (« CNIL »), estime illégal le recours à des « cookie walls » lorsque les informations fournies aux utilisateurs indiquent clairement les conséquences de leur choix et notamment l'impossibilité d'accéder au contenu ou au service en l'absence de consentement. La CNIL va plus loin en indiquant qu'il n'y a pas de recueil simultané d'un consentement unique pour plusieurs traitements répondant à des finalités distinctes, sans possibilité de consentement ou de refus par finalité de cookies, car une telle pratique est susceptible d'affecter la liberté de choix des utilisateurs et donc la validité de leur consentement. En fin de compte, l'utilisateur doit disposer d'une alternative réelle et satisfaisante s'il refuse les cookies.
Les modèles de consentement ou de paiement ne sont pas, en soi, illégaux, mais leur utilisation doit être soigneusement évaluée par rapport au risque de consentement non valide à la publicité personnalisée.
Les quatre facteurs d'intérêt
Dans le cadre de son appel à commentaires, l'ICO a mis en évidence quatre facteurs sur lesquels il souhaite recevoir un retour et des commentaires :
1. Déséquilibre des pouvoir - Dans les cas où le fournisseur estime détenir la majorité du pouvoir sur le marché et où l'utilisateur n'a que peu ou pas de choix quant à l'utilisation ou non du service, l'ICO indique qu'aucun consentement ne peut être donné.
2. Équivalence - La validité du consentement pour le service financé par la publicité serait remise en question par l'ICO si ce service offrait des avantages supplémentaires allant au-delà du non-traitement des données à des fins publicitaires ou autres, tels que des fonctionnalités supplémentaires non disponibles dans la version gratuite.
3. Les frais facturés - L'ICO affirme que les entreprises devraient être en mesure de fournir une justification objective des frais facturés et qu'il est donc peu probable que le consentement à la publicité ciblée soit donné librement lorsque l'alternative est un frais déraisonnablement élevé. L'idée de refonte est que les frais fixés par ces sociétés devraient l'être de manière à « offrir aux gens un choix réaliste entre les options ».
4. Le respect de la vie privée dès la conception - L'ICO insiste fortement sur l'idée que les choix doivent être présentés de manière équitable dans toutes les demandes de consentement. En outre, l'organe de contrôle insiste sur l'idée que les utilisateurs doivent disposer d'informations claires et facilement compréhensibles sur les conséquences de chaque choix effectué. Pour déterminer si les entreprises se sont conformées à cette exigence, l'ICO tiendra probablement compte des facteurs énoncés dans son document conjoint avec la CMA sur la conception préjudiciable dans les marchés numériques.
Ce que l'avenir nous réserve
L’appel à commentaires de l’ICO sera ouvert jusqu'au 17 avril 2024 à 17 heures. L'ICO déclare qu’il tiendra compte des réponses dans une prochaine mise à jour de ses orientations existantes sur les cookies et les technologies similaires. Ce processus de l'ICO se déroule parallèlement aux discussions en cours sur ces modèles économiques au sein du Comité européen de la protection des données (« EDPB »), qui a déclaré dans le procès-verbal de sa réunion plénière de mars 2024 qu'il émettrait un avis sur ces modèles.
Chez Gerrish Legal, nous soutenons les initiatives de l'ICO et de l'EDPB et nous nous félicitons de la clarté qui sera apportée à ces modèles dans un avenir proche. L'objectif est de permettre aux entreprises d'opérer avec succès dans un environnement commercial en ligne en ayant la certitude que les options offertes à leurs utilisateurs s'inscrivent dans des cadres réglementaires bien définis.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Wilem Loba, juriste pour Gerrish Legal