Cookie walls et monétisation des données personnelles : les enjeux juridiques et éthiques


De nombreux sites web utilisent des « murs de traceurs » (« cookie walls ») et de plus en plus de services proposent de rémunérer les individus en échange de leurs informations personnelles. La CNIL, régulièrement interrogée sur l’utilisation de ces données comme valeur d’échange, rappelle les enjeux juridiques et éthiques soulevés par cette pratique.

De la donnée comme contrepartie à un service…

La plupart des services proposés sur Internet sont présentés comme gratuits. Toutefois, cette gratuité n’est souvent qu’apparente : les données personnelles des internautes sont depuis longtemps utilisées par les acteurs du web pour financer les services qu’ils proposent en recourant à la publicité ciblée.

Cette exploitation des données personnelles comme contrepartie à un service ou un avantage n’est pas un phénomène nouveau. Depuis plusieurs années, de nombreuses enseignes proposent des cartes de fidélité qui, au-delà d’inciter le client à revenir chez le même commerçant, permettent une analyse du « ticket de caisse » des clients pour leur proposer ensuite des offres publicitaires ciblées. L’utilisation de ces données trouve alors sa contrepartie dans des réductions ou encore des bons d’achat.

Il ne s’agit pas de la seule utilisation commerciale que les responsables de traitement peuvent faire des données qu’ils collectent. Ceux-ci peuvent également, sous certaines conditions, revendre à des tiers des fichiers contenant les informations de leurs clients, essentiellement à des fins de prospection publicitaire.

Depuis quelques années, ces pratiques sont démultipliées par les possibilités offertes par l’univers numérique. Ainsi, le dépôt de cookies et autres traceurs permet, par exemple, de collecter des informations sur une personne telles que son âge, son lieu de résidence ou encore ses habitudes de consommation, pour ensuite lui proposer des publicités qui ont de fortes chances de l’intéresser et donc de générer un achat. De nombreux sites web, notamment de médias, ont choisi de faire de la vente d’espace de publicités ciblées l’une de leurs principales sources de revenus. La réalisation de ces transactions fait intervenir une multitude d’acteurs et est à l’origine d’une véritable industrie, généralement dénommée « AdTech » (pour advertising technologies ou technologies publicitaires).

… à la vente de ses données

Droit de propriété sur les données : une fausse bonne idée selon la CNIL

Plus récemment, on assiste à une étape supplémentaire dans le phénomène de « marchandisation » de la donnée : au-delà de servir de contrepartie à des services ou avantages, les données personnelles peuvent servir directement à gagner de l’argent. On parle alors de « monétisation » des données. Ces données seront ensuite exploitées de façon à ce que l’entreprise puisse en tirer un revenu, par exemple en les transférant à une autre entreprise qui enverra de la publicité ciblée à la personne.

Certains ont pu voir dans cette pratique un moyen de « redonner » aux personnes le contrôle sur leurs données en allant jusqu’à proposer de reconnaître un droit de propriété des personnes sur les données qu’elles pourraient ainsi « vendre » ou « licencier » à des tiers. Ce droit de propriété serait aussi une source de revenus pour les personnes dans une économie de plus en plus dépendante des données.

Cette vision est contraire au droit actuel et à la conception de la protection des données personnelles comme un droit attaché à la personne, qui prolonge le droit au respect de la vie privée. Si cela n’exclut pas l’existence de contreparties dans certains traitements de données personnelles, celles-ci ne sauraient être assimilées à un bien immatériel, appropriable par des tiers et susceptible d’un commerce autonome.  Il n’existe pas de droit de propriété sur les données personnelles qui impliquerait un pouvoir absolu et exclusif sur une chose. Le RGPD et la loi Informatique et Libertés reconnaissent aux personnes des droits sur leurs données (droit d’accès, de rectification et d’opposition notamment), auquel il n’est pas possible, ni souhaitable de pouvoir renoncer. La « vente » de données supposerait en effet le renoncement à ces droits : les « acquéreurs » seraient alors libres d’utiliser les données acquises conformément au contrat d’achat, sans que les personnes auxquelles ces données se rapportent ne puissent plus jamais avoir un droit de regard sur cette utilisation.

Une maîtrise déjà possible des personnes sur leurs informations

Le cadre juridique actuel permet notamment aux personnes concernées, même lorsque leurs données ont été transférées à une entreprise, de pouvoir maîtriser l’utilisation qui en est faite ou de demander la rectification des données erronées ou de s’opposer, dans certains cas, à leur utilisation ultérieure.

Les droits des responsables de traitement sur les données personnelles qu’ils possèdent ne sont ainsi ni absolus, ni exclusifs. Que les personnes aient accordée une autorisation à leur traitement ou que le responsable de traitement soit légitime à les traiter pour d’autres motifs, les personnes physiques gardent toujours une forme de contrôle sur leurs données.

Pour autant, la situation actuelle pose de nombreuses questions juridiques et éthiques.

Un cadre juridique qui n’interdit pas, par principe, cette pratique de la « monétisation » des données

Quels textes encadrent la monétisation des données ?

Si la vente des données personnelles n’est pas possible, l’utilisation des données comme contrepartie est néanmoins envisageable sous certaines conditions. Elle est encadrée, en particulier, par le Code de la consommation et par les règles relatives à la protection des données personnelles.

Les règles sur la protection des données (RGPD et loi Informatique et Libertés) visent principalement à garantir aux personnes la maîtrise de leurs données. Pour cela, elles doivent être informées de l’utilisation qui en est faite. Leur consentement est parfois également nécessaire, notamment pour certaines utilisations des données ayant une finalité publicitaire telles que le dépôt de cookies ou l’envoi de prospection commerciale par voie électronique. Ces règles sont d’ordre public, c’est-à-dire qu’il ne peut pas y être dérogé par contrat. La CNIL est chargée de vérifier leur respect en accompagnant les professionnels concernés et, si nécessaire, de mesures répressives.

Le modèle de la fourniture de données personnelles comme contrepartie est de plus en plus reconnu par certaines décisions de justice ou des autorités de régulation, en France comme à l’étranger :

  • le tribunal de grande instance de Paris a, par exemple, jugé que les données collectées gratuitement par Twitter constituaient la contrepartie contractuelle du service que le réseau social propose aux internautes ;
  • l’autorité de la concurrence italienne a, quant à elle, estimé que Facebook ne pouvait pas présenter son service comme gratuit. Elle a effet retenu qu’il s’agissait d’une mention trompeuse dès lors que, puisque l’entreprise utilise les données de ses usagers à des fins commerciales, son service a bien une finalité lucrative.

Cookie walls : une pratique qui doit être justifiée au cas par cas ; un droit à préciser.

Dans la sphère numérique, les nouvelles règles sur les cookies publiées par la CNIL en octobre 2020 renforcent la transparence sur les modèles économiques des sites. Elles rappellent l’obligation pour les organismes utilisant des traceurs d’informer de manière claire les internautes sur les finalités des traceurs ainsi que sur les conséquences qui s’attachent à une acceptation ou un refus de traceurs.

Qu’est-ce qu’un cookie wall ?

De nombreux sites, au regard de la règle du consentement préalable de l’internaute au dépôt de ces traceurs, ont développé une politique de cookie wall.

L’expression « murs de traceurs », « cookie walls » en anglais, désigne le fait de conditionner l’accès à un service à l’acceptation par l’internaute du dépôt de cookies sur son ordinateur.

Autrement dit, l’internaute est obligé de fournir une contrepartie, en argent ou « en données », s’il souhaite accéder au site, ce qui rend de fait le service payant. D’autres services requièrent également la création d’un compte et l’acceptation de CGU pour y accéder (on parle alors de login wall), ce qui constitue également une forme de service « payant ».

Des décisions européennes et nationales aux lignes directrices de la CNIL

Dans la lignée de la position du Comité européen de la protection des données (CEPD), qui regroupe les 27 autorités de protection des données européennes, la CNIL avait estimé que le consentement des internautes n’était pas valide dans un tel contexte. En effet, ce système pourrait affecter la liberté du consentement, exigé par le RGPD.

Par la décision du 19 juin 2020, le Conseil d’État a jugé que l’exigence d’un consentement « libre » ne pouvait toutefois pas justifier une interdiction générale de la pratique des « murs de traceurs » : la liberté du consentement des personnes doit être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternative réelle et satisfaisante proposée en cas de refus des cookies. Pour reprendre l’exemple le plus répandu, le fait, pour un éditeur de presse en ligne, de conditionner l’accès à son contenu, soit à l’acceptation de cookies publicitaires contribuant à rémunérer son service, soit au paiement d’une somme d’argent raisonnable, n’est pas interdit par principe, si ce dernier permet d’accéder à une version équivalente du site en termes de contenu et totalement dépourvue de traceurs publicitaires. D’autres éléments, telle que la position dominante du site, peuvent conduire à l’illicéité de certains « murs de traceurs ».

La CNIL, qui a d’ores et déjà pris en compte cette dernière décision dans ses lignes directrices, poursuivra son analyse à la lumière de l’arrêt du Conseil d’État pour déterminer les cas justifiant la présence d’un mur de traceurs au regard des alternatives disponibles pour la personne. Le futur règlement européen dit « e-privacy », en cours d’élaboration, pourrait contribuer à fixer des règles plus précises en la matière.

Des alternatives face à des enjeux éthiques

Utiliser les données comme valeur d’échange peut comporter deux risques :

  • que les personnes les plus vulnérables fournissent leurs données pour accéder gratuitement à des services ou recevoir un complément de rémunération tandis que d’autres, plus aisées, pourraient payer un abonnement leur permettant d’accéder à un service sans fournir de données personnelles ou les monétiser ;
  • que la possibilité de préserver son anonymat vis-à-vis de certains tiers soit réservée à quelques-uns et exclue pour d’autres.

Bien que ce modèle soit déjà très répandu, des alternatives existent pour renforcer le contrôle des personnes sur leurs données ou permettre le financement des sites web autrement que par la collecte des données.

La donnée comme ressource collective

La gestion collective des données, à des fins d’intérêt général, sous forme de « communs », c’est-à-dire comme des ressources collectives ne relevant ni de la puissance publique ni de la propriété privée, permettrait, par exemple, de fournir d’autres modes d’accès aux données.

Elle peut prendre des formes très diverses, telles que la création de plateformes permettant aux personnes de mettre en commun leurs données pour permettre leur utilisation à des fins non lucratives, par exemple pour des projets scientifiques. Le récent projet de règlement européen sur la gouvernance des données, qui introduit le concept d’« altruisme des données », vise ainsi à permettre ce type de mise en commun volontaire.

Les porte-monnaies virtuels

Le financement des sites web ne se résume pas non plus à une alternative binaire entre fournir des données ou payer un abonnement. Par exemple, des « portes monnaies virtuels » permettent de réaliser des micro-paiements pour accéder de façon ponctuelle à un contenu ou service, de façon fluide et sans qu’il soit nécessaire d’enregistrer ses données de carte bancaire. Enfin, de nombreux services et sites web, comme Signal ou Wikipédia, ont recours à des systèmes de dons et ne s’appuient sur aucune collecte de données.

Un débat nécessaire face aux risques pour les personnes

Un débat sur l’utilisation des données comme contrepartie devrait aujourd’hui être mené, du fait des possibilités décuplées de traçage offertes par le monde numérique. En effet, les liens inhérents entre les données personnelles et les individus qu’elles concernent, ainsi que les risques – réels – liés à leur marchandisation, font qu’elles ne peuvent pas être assimilées à une simple valeur d’échange.