Marion Boige et Thaima Samman, avocates au cabinet Samman, reviennent sur le cadre régulatoire défini par la CNIL sur les murs de traceurs et ses conséquences en matière d'insécurité juridique.
Alors qu’elle fournit le socle du modèle économique de bon nombre de créateurs de contenus en ligne, éditeurs de presse, développeurs d’applications, moteurs de recherche, réseaux sociaux… et qu’elle est, de facto, le moteur de l’internet ouvert et gratuit, la publicité en ligne est aujourd’hui largement remise en question par une série d’acteurs, soutenus par les autorités de protection des données en Europe, qu’ils considèrent comme trop intrusive.
Ces autorités ont ainsi adopté des décisions et lignes directrices posant des balises très strictes sur la manière dont les plateformes peuvent fixer le prix de leurs services lorsque l’utilisateur refuse la collecte de ses données de navigation à des fins publicitaires, régulant par extension le prix des services sur internet.
Si ces autorités doivent être parties prenantes de ce débat, au regard du caractère fondamental du respect de la vie privée, elles ne sauraient être les seules à traiter de cette question, afin de ne pas considérer la régulation du numérique du seul point de vue de la protection des données.
Dans une étude publiée en avril 2024, le Professeur d’économie Laurent Benzoni (Université Panthéon-Assas) s’est penché sur l’impact des lignes directrices sur les murs de traceurs (cookie walls) de la Commission nationale de l’informatique et des libertés (CNIL) sur l’écosystème de la publicité en ligne.
Les lignes directrices « cookies » de la CNIL : comment collecter un consentement valide et éclairé en ligne ?
Le Professeur Benzoni se concentre sur une pratique courante qui consiste pour un éditeur de conditionner l’accès à son contenu à l’acceptation de cookies. L’éditeur choisit de monétiser son activité par la publicité, pratique parfaitement légale, pour financer la production et l’accès à ses contenus. Se pose alors la question du consentement libre et éclairé de l’internaute à la collecte de ses données de navigation au sens du RGPD.
Dans des lignes directrices publiées en juillet 2019, la CNIL répond que ce choix binaire ne satisfaisait pas les exigences du RGPD et a donc interdit les murs de traceurs. Saisi d’un recours du Groupement des éditeurs de services en ligne (GESTE), le Conseil d'État a invalidé en juin 2020 cette interdiction de principe au motif que la CNIL avait excédé ce qu’elle pouvait légalement régir dans le cadre d’un acte « de droit souple ».
Tirant les conséquences de cette décision, la CNIL est revenue sur ses lignes directrices et à la place d’une interdiction, a fixé une série de critères d’évaluation relatifs à la mise en œuvre des murs de traceurs afin de déterminer, au cas par cas, si la validité du consentement.
Le premier critère requiert l’existence d’une « alternative réelle et sérieuse » au service auquel l’utilisateur cherche à accéder, lequel doit être accessible sans devoir forcément consentir au traitement des données personnelles à des fins publicitaires. Selon la CNIL, à défaut d’alternative, dans le cas d’un éditeur dominant ou incontournable, l’internaute refusant les cookies doit pouvoir se voir proposer un accès payant ou « pay wall » sous réserve du « caractère raisonnable de la contrepartie monétaire ».
Il incombe alors à l'éditeur de prouver sa conformité à ces critères, la CNIL se réservant le droit d'évaluer cette conformité au cas par cas, a posteriori, et de sanctionner les prix jugés « non conformes ».
Une insécurité juridique qui vient heurter les ambitions de la french tech
La question de la collecte d’un consentement valide au sens du RGPD relève bien sûr du mandat de la CNIL. Mais qu’en est-il de la détermination du prix des services qu’un fournisseur peut exiger de ses clients lorsqu’ils refusent le traitement de leurs données personnelles ?
L’étude du Professeur Benzoni montre qu’en se posant comme régulateur des prix, la CNIL dépasserait largement son champ de compétences : pour déterminer s’il existe une alternative réelle et sérieuse à un service, il faut d’abord définir le marché pertinent puis statuer sur la position de l’acteur sur ce marché (acteur dominant, exclusif ou non-dominant). Il s’agit d’analyses complexes qui relèvent en Europe de la compétence des autorités de concurrence ou d’autorités de régulation sectorielle.
Dans nos pays d’économie de marché, ce pouvoir de régulation des prix se limite à quelques secteurs spécifiques et assujettis à des procédures très encadrées. À notre connaissance, aucune loi ne confie ce mandat à la CNIL, qui semble fort éloigné de celui reçu au titre de la loi « informatique et libertés » modifié en 2018.
L’imprécision des lignes directrices et la référence assumée par la CNIL d’une appréciation « au cas par cas » induit également une insécurité juridique paradoxale dans un état de droit, évalué par TERA Consultants entre 120 et 450 millions d’euros pour le marché français de la publicité digitale.
Avis du Comité européen : une pente glissante vers la régulation des prix
L’avis d’avril 2024 du Comité européen de la protection des données (CEPD) sur le modèle dit « Pay or Consent » renforce encore la problématique posée par les lignes directrices de la CNIL.
Ce modèle, notamment utilisé par nombre de médias en ligne pour se conformer à la jurisprudence actuelle, donne le choix à l’utilisateur entre accepter la collecte de ses données personnelles à des fins publicitaires, et payer un prix.
Dans son avis lié au modèle de Meta, le CEPD a jugé que le consentement ne pouvait être valablement obtenu lorsque les utilisateurs étaient confrontés à ce choix « binaire » et considère qu’une troisième alternative, sans obligation de paiement ou de collectes de données à des fins de publicité personnalisée, doit être offerte aux utilisateurs. Bien que cet avis ne concerne actuellement que les grandes plateformes, le CEPD précise qu’il a cependant vocation à avoir une portée générale.
Comme dans le cas des lignes directrices de la CNIL, il est permis de s’interroger sur la compétence du CEPD d’intervenir sur le modèle économique de sociétés privées et le risque d’insécurité juridique.
L’équilibre entre liberté d’entreprendre et protection des données personnelles en question
La genèse du RGPD est la recherche de l’équilibre entre l’impératif de la protection des données et le soutien au développement de l’économie numérique, intégrant intelligemment les valeurs européennes dans les règles du jeu de la compétition économique mondiale.
Cet objectif est d’ailleurs inscrit dès le quatrième considérant du texte : « le droit à la protection des données à caractère personnel n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité » et rappelé régulièrement par la Cour de Justice de l’Union européenne.
Le droit souple imposé par la CNIL et le CEPD permet-il aux entreprises de déterminer leur modèle économique dans le respect de la loi et de définir librement les conditions d’accès à leurs services ? Peut-on vraiment remettre en cause le principe de payer pour accéder à des services privés et des contenus coûteux à produire ? Une telle ingérence ne contrevient-elle pas à un autre principe de valeur constitutionnelle, celui de liberté d’entreprendre, consacré par l’article 4 de la Déclaration des droits de l’homme et du citoyen et de jurisprudence constante ? Enfin, le pouvoir de limitation d’une liberté n'appartient-il pas constitutionnellement au seul législateur ? On peut ainsi légitimement s’interroger sur la possibilité pour des outils de droit souple comme les lignes directrices de la CNIL ou l’avis du CEPD de fixant la nature et le montant de la contrepartie à un service octroyé par une société privée.
Si l’on peut réaffirmer la dimension fondamentale du respect de la vie privée et le rôle essentiel des autorités de protection des données, il faut néanmoins rappeler que la question du ou des modèles économiques de l’internet est bien plus large et qu’elle requiert d’autres compétences. Une approche d’élaboration de la norme plus collaborative, en ligne avec la nature du droit souple, permettrait de construire les outils juridiques plus adaptés aux enjeux du numérique au XXIe siècle.
Marion Boige et Thaima Samman, avocates, cabinet Samman