Décisions de l’Agence danoise de protec­tion des données du 8 février 2023 (Jysk Fynske Mediers 2021−31−5553) et (Gul og Gratis 2021−31−4871)

Faits

L’Agence danoise de protec­tion des données a rendu en février 2023 deux déci­sions de prin­cipe sur le sujet de l’utilisation des cookies walls (« murs de cookies ») par deux entre­prises danoises, Jysk Fynske Mediers et Gul og Gratis, propo­sant respec­ti­ve­ment un site de média et un site d’achat et vente en ligne. Les deux déci­sions portent sur des faits simi­laires et débouchent sur des conclu­sions semblables. Elles sont par consé­quent analy­sées simul­ta­né­ment et les diffé­rences sont mises en évidence.

Dans les deux cas, un plai­gnant saisit l’Agence de protec­tion des données danoise, remet­tant en cause l’utilisation des cookies walls selon le modèle « Pay-or-Okay ». Cette pratique consiste à condi­tion­ner l’accès au contenu d’un site web à l’acceptation de traceurs ou au paie­ment d’une certain somme d’argent, géné­ra­le­ment sous la forme d’un abon­ne­ment mensuel au service proposé.

Bien qu’aucune donnée du plai­gnant n’ait été trai­tée par les deux entre­prises, l’Agence se penche sur le modèle « Pay-or-Okay » et examine si les trai­te­ments de données person­nelles des visi­teurs actuels des deux sites sont conformes au RGPD.

Les points liti­gieux portent sur l’utilisation des cookies à des fins de statis­tiques, dont la néces­sité à des fins de finan­ce­ment n’est pas démon­trée par les deux sites, ainsi que sur l’aspect « large­ment équi­valent » de l’offre de services entre les deux alter­na­tives (consen­te­ment v. abonnement).

D’emblée, l’Agence danoise établit qu’en géné­ral, l’utilisation du modèle « Pay-or-Okay » est conforme au RGPD, reje­tant les obser­va­tions du plai­gnant. À noter que la plupart des auto­ri­tés euro­péennes de protec­tion des données partagent cette opinion. C’est le cas notam­ment de la Commission natio­nale de l’informatique et des liber­tés (CNIL) et ses lignes direc­trices sur les cookies walls (cf. www.swissprivacy/163), de l’autorité alle­mande qui a rendu une réso­lu­tion (cf. Bewertung von Pur-Abo-Modellen auf Websites), ou encore de l’autorité autri­chienne dans une déci­sion visant le cas d’un média ayant recours à ce modèle d’accès (DSB-D122.974/0001-DSB/2019).

Les cookies à des fins statistiques

Lorsqu’une personne accède aux sites web respec­tifs de ces entre­prises, elle est accueillie par un cookie wall. Deux options sont alors présen­tées à l’internaute pour accé­der au contenu du site. La première est d’accepter l’intégralité des cookies, la deuxième de sous­crire à un abon­ne­ment mensuel.

La possi­bi­lité de choi­sir les types des cookies (préfé­rences, statis­tiques, publi­ci­taires) appli­qués est réser­vée aux personnes abon­nées au service. Dans les motifs présen­tés par les deux sites web sur la néces­sité de ces traceurs, le besoin de recettes publi­ci­taires est invoqué.

À cet égard, l’Agence danoise relève que, bien que les cookies publi­ci­taires ou marke­ting soient à même de remplir la fina­lité du finan­ce­ment des services, les deux entre­prises ne démontrent pas en quoi cette fina­lité peut être atteinte par les cookies statis­tiques. Les poli­tiques de confi­den­tia­lité respec­tives des deux sites ne clari­fient pas non plus cette ques­tion, ces derniers invo­quant devant l’Agence le consen­te­ment volon­taire comme base du traitement.

La fina­lité n’étant pas justi­fiée pour l’utilisation des traceurs statis­tiques, l’Agence conclut que les exigences pour le consen­te­ment prévu à l’art. 4 par. 11 RGPD ne sont pas respec­tées. Le trai­te­ment doit ainsi être consi­déré comme illicite.

L’Agence danoise soutient que le consen­te­ment au trai­te­ment des données à des fins statis­tiques devrait être séparé du consen­te­ment visant les autres fina­li­tés, dans la mesure où il ne peut être démon­tré que les cookies statis­tiques contri­buent au finan­ce­ment des services. À noter que la CNIL estime que des traceurs statis­tiques peuvent être dépo­sés sans consen­te­ment dans certaines circons­tances précises (cf. Cookies : solu­tions pour les outils de mesure d’audience).

Les services « large­ment équivalents »

La deuxième analyse effec­tuée par l’Agence danoise vise cette fois unique­ment le site web de l’entreprise Jysk Fynkse Mediers. L’analyse a toujours pour objet la vali­dité du consen­te­ment au trai­te­ment des données, cette fois sous l’angle du carac­tère « large­ment équi­valent » de l’offre de service entre les deux alter­na­tives de cookies walls.

En effet, il découle de plusieurs lignes direc­trices ainsi que d’une juris­pru­dence autri­chienne – citée dans la déci­sion – certains critères dans l’utilisation du modèle « Pay-or-Okay » (sur les autres critères, cf. www​.swiss​pri​vacy​.law/​163).

Le critère spéci­fique du carac­tère « large­ment équi­valent » de l’offre de service requiert que, quel que soit l’alternative choi­sie entre celle du consen­te­ment ou celle de l’abonnement payant, l’internaute puisse avoir accès à du contenu substan­tiel­le­ment équivalent.

Or dans le cas d’espèce, l’Agence danoise de protec­tion des données estime que ce critère n’est pas rempli. En effet, lorsque la personne accède au site sur la base de son consen­te­ment à l’utilisation des cookies, elle ne jouit que d’un accès restreint au contenu du site web (seuls certains articles sont « déver­rouillés »). À l’inverse, la sous­crip­tion à un abon­ne­ment fait béné­fi­cier d’un accès au contenu inté­gral proposé par la page web.

Selon l’Agence danoise, cette diffé­rence dans l’étendue de l’accès va à l’encontre du critère de l’équivalence dans l’offre et est à même de disqua­li­fier le carac­tère volon­taire du consen­te­ment au trai­te­ment des données.

Partant, elle conclut que Jysk Fynske Mediers doit propo­ser un contenu large­ment équi­valent quelle que soit l’alternative choi­sie pour accé­der au contenu du site.

Conclusion

L’Agence danoise fixe un délai au 8 mars 2023 pour la mise en confor­mité pour les deux entre­prises concer­nées. Il semble­rait que, au jour de la publi­ca­tion du présent article, le méca­nisme permet­tant des consen­te­ments sépa­rés soit en place (un menu dérou­lant permet d’accepter ou refu­ser les diffé­rents types de traceurs). Cependant, il n’est pas possible d’accéder sans consen­tir à l’ensemble des cookies (la vali­da­tion des choix ne fonc­tion­nant pas).

Sur l’interprétation faite par l’Agence danoise, on peut criti­quer l’interprétation faite au sujet de l’accès à des services « large­ment équi­va­lents ». En effet, il semble­rait que le but de ce critère est de ne pas forcer l’internaute à accep­ter les cookies à défaut d’une autre alter­na­tive réelle et équi­table au trai­te­ment de ses données person­nelles. En l’espèce, en cas de refus des cookies, l’internaute dispose d’une alter­na­tive certes payante, mais lui donnant un accès plus large au contenu du site web. On pour­rait penser que ce modèle présente un avan­tage pour l’internaute, dont les données ne sont pas trai­tées. Les moti­va­tions de l’Agence danoise restent éton­ne­ment floue, d’autant plus qu’il s’agit d’une déci­sion de principe.

En ce qui concerne l’utilisation des données à des fins statis­tiques, on peut égale­ment ques­tion­ner le dépôt de traceurs statis­tiques dans la variante payante. Bien que l’internaute puisse chan­ger les préfé­rences une fois l’abonnement sous­crit, on pour­rait s’attendre à ce que tout traceur non néces­saire soit auto­ma­ti­que­ment retiré, ou non appli­qué une fois le paie­ment effec­tué. Au contraire, une démarche supplé­men­taire est exigée de la part de l’internaute soucieux de sa vie privée pour reti­rer les traceurs non désirés.