11
juin
2024
« Cookie walls » : le CEPD apporte sa pierre à l’édifice
Le 17 avril 2024, le Comité Européen de Protection des Données (CEPD) a publié un rapport circonstancié s’agissant de la pratique croissante des « cookie walls », et plus particulièrement des « pay walls » utilisant le modèle « consentir ou payer ».1
Les « cookie walls » : une technique de monétisation des sites web et des plateformes.
Nous avons tous déjà été confrontés à ce choix cornélien en naviguant sur des sites d’actualités et autres médias en ligne : accepter des cookies de publicité comportementale ou souscrire un abonnement contre une somme plus ou moins modique.
Cette pratique s’est largement développée afin d’obtenir plus aisément le consentement aux cookies publicitaires de la part d’internautes désormais très accoutumés à la gratuité de contenus informationnels et récréatifs.
Ainsi, si les internautes disposent toujours de la possibilité de refuser ce type de cookies, l’alternative qui leur est proposée pourront les inciter à y consentir.
Le 19 juin 2020, le Conseil d’état s’est opposé à une interdiction générale des « cookies walls », optant pour une appréciation au cas par cas en fonction, notamment, de l’existence d’une alternative satisfaisante en cas de refus des cookies.2
Le 16 mai 2022, la CNIL a également eu l’occasion de se prononcer sur cette pratique, en posant certains critères d’appréciation.3
Ainsi, la Commission considère que l’internaute doit disposer d’une alternative réelle et équitable, afin de disposer d’un véritable choix au consentement des cookies.
S’agissant des « pay walls », l’existence d’un réel choix sera appréciée en fonction du tarif proposé à titre d’alternative, qui devra être raisonnable selon une appréciation au cas par cas.
Ainsi, à ce jour, la pratique des « pay walls » reste par principe licite sous réserve de ne pas s’apparenter à un simple prétexte en vue d’imposer l’acceptation des cookies.
Pour la CEPD, les grandes plateformes devraient proposer davantage d’alternatives.
Le 17 avril 2024, le CEPD a à son tour abordé la légitimité des « pay walls » comme fondement du traitement des données personnelles, à l’occasion d’un rapport publié en réponse aux interrogations soulevées par les autorités néerlandaise, norvégienne et hambourgeoise de protection des données
Selon Madame Anu Talus, présidente du CEPD, « les responsables de traitement doivent veiller à tout moment à éviter de transformer le droit fondamental à la protection des données en une fonctionnalité dont les individus doivent payer pour bénéficier ».
Partant de ce postulat, le CEPD indique que l’offre payante ne devrait pas être le seul choix par défaut du consommateur.
En effet, il a précisé que les plateformes ne seraient, dans la majorité des cas, pas en adéquation avec les critères du consentement libre s’ils ne proposaient qu’un choix dichotomique entre consentement pour la publicité comportementale ou paiement d’un prix, même faible.
Le comité a donc encouragé la mise en place d’une troisième voie sans frais et sans publicité ciblée, comme la publicité contextuelle, définie en fonction du contexte dans lequel le contenu publicitaire est inséré et non par le traitement de données collectées par le biais de cookies et traceurs.
A ce stade, l’avis du CEPD ne porte que sur les grandes plateformes en ligne au sens du Règlement (UE) 2022/0265 (dit, « DSA ») et les contrôleurs d’accès au sens du Règlement (UE) 2022/1965 (dit « DMA »), mais il est d’ores et déjà prévu que le Comité élabore, à l’avenir, des lignes directrices plus générales sur la pratique des « pay walls ».
Ces différents avis permettent de tracer les fondements d’un cadre de conformité, dans l’attente d’une législation dédiée et / ou d’un positionnement de la Cour de Justice de l’Union européenne.
Contactez TAoMA pour obtenir des conseils personnalisés ici.
Besoin de vous former ou de former vos équipes aux bonnes pratiques sur le sujet ?
Découvrez les ateliers de TAoMA Academy en nous contactant ici.
Robin Antoniotti
Avocat
(1) “Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms”
(2) Conseil d’état, 19 juin 2020, Décision n°434684
(3) “Cookie walls : la Cnil publie ses premiers critères d’évaluation”
20
février
2024
LE CEPD LANCE UN OUTIL D’AUDIT DE SITES WEB
Le 29 janvier 2024, le Comité Européen de la Protection des Données (ci-après « CEPD ») a annoncé le lancement d’un outil d’audit de conformité de sites web.
Le logiciel a été développé par un groupe d’experts (Support Pool of Experts), sous la supervision du secrétariat du CEPD. L’outil a rencontré un franc succès de la part des auditeurs des Autorités de la Protection des Données, qui ont testé l’outil lors d’un Bootcamp organisé par le Comité en juin dernier.
À qui est destiné l’outil ?
– Aux Autorités de Protection des Données nationales telles que l’INPI, pour faciliter le contrôle de l’application de la règlementation en vigueur ;
– Aux responsables de traitement et sous-traitants qui souhaitent tester la conformité de leurs propres sites ;
Quels sont ses avantages ?
– Simplicité d’utilisation pour les non-techniciens ;
– Évaluation/analyse du site audit (liste des cookies, degré de sécurisation du site, trackers, domaines, etc) ;
– Génération de rapports via l’outil ;
– Disponible en OpenSource et en version compilée pour Windows, Linux et Mac OS ;
– Compatible avec d’autres outils, tels que le collecteur de preuves du site Web du CEPD.
Comment accéder à ce nouvel outil ?
Le logiciel peut être téléchargé gratuitement en cliquant ici (uniquement en anglais).
Une deuxième version de l’outil avec de nouvelles fonctionnalités devrait voir le jour d’ici la fin d’année.
Margaux Maarek
Juriste
Sources : Communiqué du Comité Européen de la Protection des Données du 29 janvier 2024 : https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en
21
avril
2020
Traitements de données personnelles et coronavirus : la CNIL et le CEPD se prononcent sur les bonnes pratiques
Author:
teamtaomanews
Dans le contexte de l’épidémie de Covid-19, le recours à de nouveaux traitements de données personnelles ayant pour objet de contrôler la diffusion du virus est observé de près. Certaines institutions ont d’emblée réagi en diffusant des conseils et en rappelant les bonnes pratiques à mettre en place pour protéger au mieux les données personnelles, sujet épidermique à l’heure actuelle.
À l’échelle européenne, le CEPD (Comité européen de la protection des données – entité regroupant les autorités de contrôle chargées de la protection des données personnelles au sein de l’UE, telles que la CNIL) a diffusé une annonce sur le traitement des données personnelles dans le contexte de l’épidémie, concentrée principalement sur quatre points :
Un rappel des principes fondamentaux assurant la licéité des traitements
Le CEPD rappelle notamment que, malgré le contexte actuel, les obligations incombant aux responsables de traitements (finalité déterminée, information transparente, claire et complète de la personne concernée, sécurité des données, etc.) restent d’actualité. En revanche, la licéité de ces traitements, y compris lorsqu’ils ont trait à des données « sensibles », peut reposer sur des bases juridiques autres que le consentement des personnes concernées.
Un focus sur les traitements effectués par les autorités publiques (ex: autorités sanitaires)
Du fait de leurs statuts, ces autorités devraient être en mesure d’opérer ces nouveaux traitements
Un focus sur les traitements réalisés par les employeurs
Les employeurs peuvent mettre en œuvre des traitements de données personnelles sur le fondement d’une obligation légale à laquelle ils sont soumis (ex : sécurité sur le lieu de travail) ou de l’intérêt public (ex : contrôle des maladies), et y inclure des données de santé pour cette dernière raison, ou si c’est justifié pour la sauvegarde des intérêts vitaux des personnes concernées.
Sur les modalités de traitement des données ainsi collectées, le CEPD s’en remet aux législations nationales, précisant toutefois que :
Seules les données nécessaires pour remplir leurs obligations et organiser le travail peuvent être collectées par les employeurs ;
La collecte d’informations relatives à la santé des employés ou des visiteurs ne peut être faite que dans le respect des principes de proportionnalité et de minimisation;
La possibilité de demander la réalisation de bilans de santé sur des employés n’est possible que dans la mesure où ils sont imposés par une obligation légale ;
La fourniture d’informations sur des cas de COVID-19 au sein de l’entreprise doit être limitée à ce qui est nécessaire. Dans les cas où il est nécessaire de révéler le nom de l’employé qui a contracté le virus (par exemple dans un contexte préventif), il doit être informé à l’avance et sa dignité et son intégrité doivent être protégées.
Un focus sur les traitements de données de géolocalisation des téléphones mobiles
Le CEPD rappelle que ces données ne peuvent en principe être utilisées qu’après anonymisation (ex : pour réaliser des cartographies) ou avec le consentement de la personne concernée.
À défaut, des dispositions législatives spécifiques pourront être adoptées pour permettre des traitements plus invasifs, tels que le « tracking », sous réserve de la mise en œuvre de garanties adéquates (notamment droit au recours auprès d’une juridiction nationale, caractère nécessaire, approprié, proportionné et limité dans le temps, respect la Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales).
À l’échelle nationale, la CNIL a répondu aux sollicitations de professionnels et particuliers au sujet de la collecte et du traitement de données personnelles dans le but de de limiter la propagation du virus.
Elle dresse notamment une liste des comportements interdits et autorisés dans le cadre des relations de travail. Ainsi :
les employeurs doivent mettre en place des actions préventives, d’information et de formation afin de garantir la santé et la sécurité de leurs employés (ex : invitation à effectuer des remontées individuelles d’informations par les employés en cas d’éventuelle exposition au virus, possibilité de consigner la date et l’identité de l’employé qui signalerait une exposition).
Mais ils ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus (ex: pas de relevés obligatoires quotidiens de température ou de questionnaires médicaux pour l’ensemble des employés).
Les employés doivent, quant à eux, informer leur employeur en cas de suspicion de contact avec le virus.
La CNIL a en outre donné des conseils sur la mise en place du télétravail et l’utilisation d’outils de visioconférence.
Parmi les mesures les plus significatives, on notera :
Pour les mesures de bases à prendre en cas de télétravail : la sécurisation des systèmes d’information (édition d’une charte de sécurité, installation de pares feux et d’antivirus, mise en place de VPN, utilisation de mécanismes d’authentification à double facteur, consultation des journaux d’accès, etc.) ;
Pour la visioconférence : privilégier les solutions qui protègent la vie privée, ne pas télécharger d’application de source inconnue, sécuriser le réseau wifi, limiter le nombre d’informations fournies lors de l’inscription, fermer l’application lorsqu’elle n’est pas utilisée.
Eugénie Lebelle
Elève-avocate
Anita Delaage
Avocate
Lire la déclaration du CEPD ou accéder à la page de la CNIL sur la COVID-19