Publicité en ligne

Il est impos­sible de déter­mi­ner avec exac­ti­tude les origines des premières pratiques publi­ci­taires. Pour l’anecdote, il est cepen­dant inté­res­sant de consta­ter que des fresques annon­çant des combats de gladia­teurs ont été retrou­vées par des archéo­logues, ce qui suggère que de telles pratiques exis­taient déjà dans la Rome antique. En ce qui concerne le World Wide Web, la première bannière publi­ci­taire est appa­rue en 1994 sur le site web du maga­zine en ligne HotWired, spécia­lisé sur l’incidence des tech­no­lo­gies émer­gentes. Il s’agissait d’une publi­cité du four­nis­seur de services télé­pho­niques AT&T. Pour la plus grande satis­fac­tion de l’industrie – et à l’inverse, pour la plus grande frus­tra­tion des inter­nautes –, la publi­cité en ligne s’est depuis nette­ment déve­lop­pée, et ce en raison de plusieurs motifs.

Premièrement, les éditeurs de sites web sont désor­mais nombreux à tirer des reve­nus de la vente d’espaces publi­ci­taires. Ce choix déli­béré s’explique notam­ment en raison du nombre élevé d’éditeurs de sites web offrant gratui­te­ment du contenu. Il existe pour eux un véri­table inté­rêt à moné­ti­ser leur travail.

Deuxièmement, le World Wide Web est devenu rapi­de­ment un outil indis­pen­sable, si ce n’est irrem­pla­çable. Le nombre d’internautes n’a logi­que­ment jamais cessé de s’accroître, au même titre que les moyens infor­ma­tiques pour y accéder.

Troisièmement, les four­nis­seurs de réseaux publi­ci­taires ont investi des moyens consi­dé­rables pour déve­lop­per des tech­no­lo­gies – inva­sives – pour déter­mi­ner avec préci­sion les centres d’intérêt des inter­nautes. Figure parmi les tech­no­lo­gies les plus décriées en matière de protec­tion de la vie privée celle du traçage en ligne des inter­nautes qui permet de déter­mi­ner avec préci­sion leurs centres d’intérêt, et donc de propo­ser du contenu publi­ci­taire pertinent.

Par abus de langage, ou simpli­fi­ca­tion de la réalité tech­nique, la notion de cookies publi­ci­taires (que nous repren­drons égale­ment) est couram­ment utili­sée, alors même que les tech­no­lo­gies de traçage comprennent de nombreuses tech­no­lo­gies (p. ex. cookie, finger­prin­ting, web beacon, etc.). À souli­gner qu’en pratique, et sans prétendre à l’exhaustivité, la distinc­tion entre les cookies néces­saires et les cookies non néces­saires est géné­ra­le­ment faite. Les cookies non néces­saires comprennent notam­ment les cookies statis­tiques, les cookies fonc­tion­nels ou les cookies publicitaires.

Les méthodes de suivi en ligne posent de nombreux défis juri­diques, dont un certain nombre ont été empoi­gnés par les auto­ri­tés euro­péennes de protec­tion des données ou par les tribu­naux euro­péens à l’aune du RGPD. Parmi ceux-ci, nous pensons notam­ment aux prin­ci­pales obli­ga­tions à respec­ter (p. ex. l’information des personnes) ou aux moda­li­tés du consen­te­ment (p. ex. la récolte, la durée de vali­dité, le retrait et les exemptions).

Les condi­tions quant à la collecte du consen­te­ment (art. 7 RGPD) sont parti­cu­liè­re­ment déli­cates à mettre en place pour les éditeurs de sites web, celles-ci empié­tant sur leur inté­rêt à moné­ti­ser le contenu de leur site web. Pour y faire face, de nombreux éditeurs de sites web ont mis en place des cookies walls (ou murs de traceur) afin de permettre à leur modèle écono­mique de perdurer.

Cookies walls

Les cookie walls permettent à l’éditeur de site web (i) de bloquer l’accès à son site web, ou plus préci­sé­ment au service proposé sur celui-ci, pour tout inter­naute ayant refusé le dépôt de cookies non néces­saires à la four­ni­ture de ce service et (ii) de condi­tion­ner l’accès au service à l’acceptation par l’internaute du dépôt de cookies non néces­saires. Cette pratique vise prin­ci­pa­le­ment le dépôt de cookies publi­ci­taires et se heurte au prin­cipe de la liberté de consen­te­ment. À noter qu’aujourd’hui, en cas de refus de l’internaute au dépôt des cookies non néces­saires, l’éditeur du site web propose géné­ra­le­ment une alter­na­tive consis­tant en un accès payant au service (p. ex. l’accès au site web) plutôt que de pure­ment et simple­ment refu­ser son accès.

Critères d’évaluation

Sans avoir été inter­dite, l’expansion de cette pratique a conduit la CNIL à présen­ter des critères d’évaluation pour déter­mi­ner leur confor­mité vis-à-vis du RGPD.

Premièrement, le site web doit propo­ser une alter­na­tive réelle et équi­table pour accé­der au contenu dans le cas où l’internaute refu­se­rait les cookies non néces­saires (p. ex. le paie­ment d’une somme d’argent). Dans le cas contraire, l’éditeur du site web doit démon­trer l’existence d’un autre site offrant une telle alter­na­tive. L’accès au contenu de cet autre éditeur de site web doit être possible sans cookie wall. La CNIL met en avant le risque de déséqui­libre entre l’éditeur du site web et l’internaute. En effet, le choix entre les traceurs et l’alternative doit être libre et l’accès à cette dernière faci­lité. Dans le cas où un éditeur de site web aurait l’exclusivité sur les conte­nus propo­sés ou lorsque peu d’alternatives existent, le choix ne peut pas être consi­déré comme véritable.

Deuxièmement, si l’alternative consiste au paie­ment d’une somme d’argent, le montant de cette dernière doit être raison­nable. Celui-ci est consi­déré comme tel lorsqu’il ne prive pas l’internaute d’un choix véri­table. Le montant se déter­mine au cas par cas, mais ne doit pas repo­ser selon nous sur la situa­tion écono­mique person­nelle de l’internaute. La CNIL encou­rage la publi­ca­tion de l’analyse faite par les éditeurs de sites web pour justi­fier le carac­tère raison­nable de la contre­par­tie finan­cière. L’utilisation de porte-monnaie virtuels est égale­ment privi­lé­giée, afin que des tran­sac­tions ponc­tuelles soient possibles sans enre­gis­tre­ment des données bancaires de l’internaute. La créa­tion d’un compte ne doit être impo­sée que si la fina­lité le justifie.

Si l’alternative est accep­tée, aucun cookie non néces­saire ne doit être déposé. Reste cepen­dant la possi­bi­lité pour l’éditeur du site web de récol­ter le consen­te­ment de l’internaute au cas par cas pour les cookies non néces­saires qui ne concernent pas les cookies publi­ci­taires. Il appar­tient alors à l’éditeur du site web de respec­ter les exigences usuelles.

Troisièmement, dans le cas où l’utilisateur accepte les cookies non néces­saires, seuls les cookies publi­ci­taires dont la fina­lité est la rému­né­ra­tion peuvent être dépo­sés. La CNIL recon­naît impli­ci­te­ment ici l’intérêt des éditeurs de sites web de dépo­ser de tels cookies afin de moné­ti­ser le contenu de leur site web (et ce même si la ques­tion est contro­ver­sée). À l’inverse, il faut comprendre que les autres cookies non néces­saires ne visant pas cette fina­lité ne peuvent pas être impo­sés par un cookie wall, à l’instar des cookies statis­tiques. Là aussi, l’éditeur du site web peut toute­fois récol­ter le consen­te­ment de l’internaute au cas par cas pour les autres cookies non nécessaires.

Quel avenir pour les cookies walls ?

Les critères d’évaluation de la CNIL apportent de la clarté quant à la ques­tion du recours aux cookies walls. Il est probable que d’autres auto­ri­tés euro­péennes de protec­tion des données émettent des critères semblables, celles-ci adop­tant géné­ra­le­ment une forme d’unité dans le trai­te­ment des affaires. À titre d’exemples, on peut citer les déci­sions prises dans les affaire Google Analytics : la déci­sion de l’au­to­rité autri­chienne de protec­tion des données du 22 décembre 2021 ainsi que la déci­sion de mise en demeure de la CNIL du 10 février 2022 et plus récem­ment la déci­sion de l’autorité italienne de protec­tion des données du 9 juin 2022.

La ques­tion des cookies walls n’a jusqu’à aujourd’hui jamais été trai­tée par la CJUE. Elle a toute­fois été effleu­rée dans le cadre de l’arrêt C‑673/​17 du 1^er octobre 2019. Sans que la ques­tion ne lui soit posée par la juri­dic­tion de renvoi, la CJUE souligne au consi­dé­rant 64 dans son arrêt ce qui suit :

« Il convient, enfin, de souli­gner que la juri­dic­tion de renvoi n’a pas saisi la Cour de la ques­tion de savoir si la circons­tance que le consen­te­ment d’un utili­sa­teur au trai­te­ment de ses données person­nelles à des fins publi­ci­taires condi­tionne la possi­bi­lité, pour celui-ci, de parti­ci­per à un jeu promo­tion­nel, comme cela semble être en l’occurrence le cas, selon les indi­ca­tions figu­rant dans la déci­sion de renvoi, à tout le moins pour la première case à cocher, est compa­tible avec l’exigence d’un consen­te­ment « libre » […]. »

La remarque de la CJUE peut être trans­po­sée au cas des cookies walls, dès lors que ceux-ci condi­tionnent l’accès à un site web à la possi­bi­lité de dépo­ser des cookies publi­ci­taires. Si la CJUE n’a vrai­sem­bla­ble­ment pas souhaité ouvrir la boîte de pandore, elle devra toute­fois le faire dans le cadre de l’affaire C‑446/​21 qui a été portée devant la CJUE par la Cour suprême autri­chienne. Plusieurs ques­tions préju­di­cielles sont posées dans le cadre de cette affaire oppo­sant Maximilian Schrems (oui, ce Schrems là) à Facebook Ireland (oui, encore). Parmi celles-ci, il y a notam­ment la ques­tion de savoir si le consen­te­ment (art. 6 par. 1 let. a RGPD) est l’unique motif justi­fi­ca­tif possible quant à la possi­bi­lité de trai­ter des données person­nelles à des fins de publi­cité personnalisée.

Outre les consi­dé­ra­tions juri­diques, il reste à voir quelle atti­tude sera adop­tée par les inter­nautes dans le futur quant à la ques­tion de la publi­cité person­na­li­sée et des cookies walls. Les alter­na­tives payantes seront-elles réel­le­ment utili­sées par les inter­nautes, ou ceux-ci préfé­re­ront-ils – en toute conscience ou non – le dépôt de cookies publi­ci­taires ? L’avenir le dira. À noter fina­le­ment que la tech­nique est elle aussi suscep­tible de se déve­lop­per rapi­de­ment. La société Google, qui est l’un des prin­ci­paux acteurs de la publi­cité en ligne, réflé­chit déjà à chan­ger en profon­deur le fonc­tion­ne­ment de son système rela­tif à la publi­cité en ligne.