Cookies : entre marchandisation et sanctions

Depuis la mise en place des nouvelles règles en matière de cookies et autres traceurs en octobre 2020, la CNIL semble particulièrement vigilante. Elle a notamment fait de ce sujet l’une des thématiques prioritaires de contrôles en 2021. Retour sur cette notion source de multiples enjeux.

Une exploitation commerciale courante des données personnelles

Depuis déjà plusieurs années, les données personnelles sont utilisées comme monnaie d’échange à un service. Par exemple, pour effectuer de la publicité ciblée ou pour être revendues aux fins de prospection publicitaire.

Cependant, à l’ère numérique, ces pratiques ont considérablement augmenté. En effet, le dépôt de cookies a permis à de nombreux sites internet de collecter les données des personnes afin de leur proposer des publicités adaptées et d’optimiser leur chance de générer un achat.

Vers une exploitation pécuniaire ?

La question se pose alors de savoir s’il serait envisageable de donner une valeur pécuniaire aux données personnelles. On parle alors de monétisation des données.

Cette notion sous-entend que les personnes physiques détiendraient un droit de propriété sur leurs données personnelles et qu’elles seraient ainsi en mesure de les vendre ou de les licencier à des tiers.

Or, cette vision est totalement contraire au RGPD et à la Loi Informatique et Libertés qui ont reconnu des droits aux personnes sur leurs données auxquels il est impossible de pouvoir renoncer.

Un cadre légal ?

Néanmoins, il n’existe pas véritablement de cadre légal interdisant la monétisation des données.

En effet, le modèle de la fourniture de données personnelles comme contrepartie est de plus en plus reconnu par certaines décisions de justice en France comme à l’étranger. Par exemple, le TGI de Paris a jugé que les données collectées gratuitement par Twitter constituaient la contrepartie contractuelle du service que le réseau social propose aux internautes.

Qu’est-ce qu’un « Cookie Wall » ?

Un « Cookie wall » est un « mur de traceurs », cela désigne le fait de conditionner l’accès à un site à l’acceptation par l’internaute de dépôt de cookies sur son ordinateur. L’accès au site internet est donc conditionnée à la fourniture d’une contrepartie en argent ou en données.

Le Comité Européen de la protection des données (CEPD) tout comme la CNIL avait estimé que ce système pourrait affecter la liberté du consentement libre exigé par le RGPD.

Le Conseil d’Etat (CE) s’est également prononcé sur la question le 19 juin 2020 et a jugé que l’exigence d’un consentement libre ne pouvait pas justifier une interdiction générale des « murs de traceurs ». Le CE semble opter pour une appréciation de cette pratique au cas par cas.

Des enjeux éthiques :

L’utilisation de données personnelles comme valeur d’échange pose des problèmes :

• Les personnes vulnérables se retrouveraient à fournir leurs données tandis que les plus aisés pourraient simplement payer pour accéder au site internet ;
• La préservation de l’anonymat serait réservée à certaines personnes et exclue pour d’autres.

La CNIL n’ayant pas encore sanctionné cette utilisation contestable des cookies, il semblerait logique qu’elle poursuive dans sa lignée et sanctionne cette pratique.

Dans le cadre de sa campagne de vérification, la CNIL a mis en demeure récemment différents établissements qui n’avaient pas rendu facile et accessible la possibilité pour les internautes de refuser les cookies.

Les sociétés visées sont principalement d’importantes société de l’économie numérique mais également des acteurs publics. Les entreprises disposent d’un mois pour se mettre en conformité et encourent des sanctions pouvant aller jusqu’à 2% de leur chiffre d’affaires en cas de retard. Des actions similaires seront conduites au cours des prochains mois.

La CNIL avait notamment infligé de lourdes sanctions aux sociétés Google et Amazon pour leurs pratiques en matière de gestion des cookies.

Et vous, avez-vous pensé à mettre en conformité votre site internet en matière de cookies ?