Tous les articles du blog

Cookie walls | EDPB et CNIL sur les cookie walls et le consentement valide

Le règlement général sur la protection des données (RGPD) et la directive ePrivacy (ePR) ont des conséquences sur la manière dont vous, en tant que propriétaire de site web, devez obtenir et stocker les consentements aux cookies de vos visiteurs de l’UE.

Mis à jour le 23 mars 2021.

Les cookie walls sont utilisés par les sites web pour refuser l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs présents sur ce site.

C’est une sorte de barrière qui place l’utilisateur dans une situation « à prendre ou à laisser », où il doit choisir soit d’autoriser des cookies marketing ou autres technologies de suivi similaires, soit de se voir refuser l’accès au site web.

Cependant, les lignes directrices du Conseil européen de protection des données (EDPB) sur le consentement valide publiées en mai 2020 stipulent que les cookie walls ne sont pas un moyen valide pour les sites web d’obtenir le consentement des utilisateurs au traitement des données personnelles et à l’utilisation des cookies.

Dans cet article, nous nous intéressons à tout ce qui concerne les cookie walls :

  1. Qu’est-ce qu’un cookie wall ?
  2. Lignes directrices EDPB : les cookie walls sont-ils légaux ?
  3. Comment fonctionnent-ils ?
  4. et quelle est la bonne alternative pour obtenir le consentement des utilisateurs ?

Un cookie wall est une barrière créée par un site web pour en limiter l’accès aux utilisateurs qui ne consentent pas à tous les cookies et autres technologies de suivi similaires présents et activés sur le domaine.

Il s’agit d’un scénario « à prendre ou à laisser » qu’un site web met en place pour les utilisateurs afin de s’assurer d’activer tous les cookies et les traceurs et d’obtenir le plus de données possibles, même si c’est contre le libre arbitre de ses visiteurs.

Certains sites web peuvent utiliser un cookie wall par crainte qu’une demande de consentement granulaire fassent planter le site si les utilisateurs ont le choix de ne consentir qu’à certains cookies plutôt qu’à d’autres. Plus loin dans cet article, nous démystifierons ce mythe.

En substance, un cookie wall est un type particulier de bandeaux de consentement qui peut ressembler aux bandeaux bénins que vous voyez normalement sur Internet. Seul un cookie wall ne laisse aucune possibilité à l’utilisateur de sélectionner ou de désélectionner certaines catégories de cookies, comme les cookies marketing qui abritent généralement des myriades de traceurs de données privées provenant d’entreprises AdTech. Cela signifie que le bandeau cookie, qui est censée être une solution interactive permettant un consentement granulaire de l’utilisateur, devient au lieu de cela un cookie wall – et la seule façon pour accéder au site est de cliquer sur « OK ».

Un cookie wall oblige les utilisateurs à communiquer leurs données à Google et Facebook

Le bandeau cookies Cookiebot est ici mis en œuvre de manière à forcer le consentement des utilisateurs, également appelé « cookie wall ». Cookiebot CMP peut être mis en œuvre de différentes manières pour s’adapter aux différentes lois sur la vie privée dans le monde, mais dans l’UE, cette mise en œuvre n’est pas conforme.

Les cookie walls existent sur une myriade de sites web, même sur de nombreux sites d’information sur lesquels les gens comptent pour leurs informations quotidiennes (et ironiquement pour se renseigner sur des questions de vie privée).

Imaginez que vous essayez d’acheter un journal, mais que vous ne pouvez le lire que si vous divulguez tout en détail sur vos relations avec vos proches à l’étranger qui vous vend le journal et à des dizaines d’autres tiers.

Ou imaginez que vous essayez d’entrer dans un supermarché mais que la seule façon de faire vos courses est d’enlever vos vêtements et de donner votre portefeuille et votre numéro de sécurité sociale avant d’entrer.

Cela semble absurde, mais c’est comparable à la situation dans laquelle se trouve un utilisateur lorsqu’en guise de paiement pour l’accès à un site, il doit renoncer au contrôle de ses données privées et les remette à des sociétés AdTech qui créent des profils détaillés sur des individus et les vendent aux enchères en temps réel les marchés des comportements futurs.

Vous avez des doutes sur la conformité de votre site web avec les normes RGPD ? Vérifiez votre site web avec le test de conformité gratuit Cookiebot.

Essayez la plateforme de gestion des consentements Cookiebot CMP gratuitement pendant 14 jours… ou pour toujours si vous avez un petit site web.

Non ! Les cookie walls sont un moyen illégal d’obtenir le consentement d’un utilisateur au sein de l’UE.

Le 4 mai 2020, le Comité européen de protection des données (EDPB) a publié de nouvelles lignes directrices qui clarifient la légalité des cookie walls et ce qui constitue un consentement valide.

Le EDPB est un organe de contrôle indépendant composé de représentants de toutes les autorités nationales de protection des données dans l’UE.

Le EDPB a pour mission de garantir une application cohérente de la directive relative à la protection des données à caractère personnel et de la vie privée dans l’Union européenne en adoptant des lignes directrices et en orientant les autorités nationales de protection des données vers une application cohérente.

Les lignes directrices 05/2020 de le EDPB excluent effectivement les cookie walls comme moyen valide pour les sites web d’obtenir le consentement de leurs utilisateurs pour traiter leurs données personnelles.

Le EDPB indique clairement dans ses lignes directrices que les cookie walls sont illégaux.

Les cookie walls fonctionnent en imposant que l’accès à un service dépende du consentement des utilisateurs pour le traitement de leurs données personnelles et le EDPB indique dans ses lignes directrices que cela ne constitue pas un consentement valide.

« L’accès aux services et fonctionnalités ne doit pas être subordonné au consentement d’un utilisateur au stockage ou à l’obtention de l’accès à des informations déjà stockées dans l’équipement terminal d’un utilisateur » (lignes directrices EDPB 05/2020, page 11, traduction non officielle)

Ces lignes directrices du EDPB excluent les cookie walls, puisque – comme nous l’avons expliqué – les cookie walls fonctionnent en forçant le consentement des utilisateurs à stocker des cookies ou à accéder à des cookies déjà stockés en échange de l’accès à des services et fonctionnalités.

Ainsi, les cookie walls ne sont pas conformes au RGPD, car ils ne remplissent pas les conditions requises pour qu’un consentement soit donné librement et par un vrai choix.

Le RGPD sur le consentement

Le consentement valide selon le RGPD doit être :

  • Librement donné
  • Spécifique
  • Informé
  • Indication sans ambiguïté des souhaits de l’utilisateur

En d’autres termes, un consentement valide doit être une indication librement donnée, spécifique, informée et non ambiguë que l’utilisateur accepte que votre site web utilise des cookies et des traceurs pour traiter ses données personnelles. Un consentement valide doit être une action claire et positive de la part de l’utilisateur.

Le RGPD indique clairement que le consentement doit être donné librement, et les lignes directrices du EDPB de mai 2020 précisent que le consentement de l’utilisateur obtenu par le biais des cookie walls n’est pas valide, précisément parce que le consentement n’a pas été donné librement, puisque la visite du site web en dépend.

Les cookies walls ne sont pas conformes au RGPD.
Les lignes directrices du EDPB de mai 2020 rendent les cookie walls illégaux.

La plupart des sites web dans le monde intègrent dans leur code source des cookies propres et tiers. Ils vont des cookies nécessaires au fonctionnement d’un site web aux cookies statistiques qui utilisent souvent des données anonymes pour donner un aperçu des performances d’un site web.

Il existe également des cookies marketing qui sont placés par des sociétés AdTech dans le but de collecter des données personnelles afin de cibler les utilisateurs par des programmes de publicité comportementale (et à d’autres fins malsaines).

Un cookie wall est une violation du RGPD, selon l'ICO, la CNIL et l'AP.
Les cookie walls fonctionnent en refusant l’accès à un site web aux utilisateurs, sauf s’ils donnent leur plein consentement à tous les cookies.

Les différents types de cookies ont des objectifs très variés – certains portent directement atteinte à la vie privée, c’est pourquoi les législations européennes en matière de protection des données – le règlement général sur la protection des données et la directive ePrivacy – sont en place pour contrôler et réglementer la manière dont ces cookies et traceurs sont autorisés à être utilisés par les entreprises, les organisations et les sites web.

Le RGPD exige que les responsables du traitement des données obtiennent le consentement préalable des utilisateurs avant d’autoriser le traitement de leurs données. Le consentement est l’une des six bases juridiques pour le traitement des données personnelles dans l’UE et la plus utilisée pour les sites web et les entreprises dans le monde entier.

C’est ainsi que sont nés les bandeaux de consentement aux cookies, qui permettent aux responsables du traitement des données de se conformer au RGPD et à la directive ePrivacy en obtenant le consentement des utilisateurs avant le traitement des données.

Un cookie wall est un bandeau cookies hybride qui obtient quelque chose de similaire au consentement de l’utilisateur mais qui ne laisse pas à l’utilisateur le choix de donner son consentement à certains types de cookies plutôt qu’à d’autres. Il fonctionne en bloquant l’accès si l’utilisateur ne clique pas « OK » pour tous les cookies et les traceurs.

L’équipe derrière Cookiebot CMP croit en une solution de consentement granulaire, qui permet d’établir la confiance entre les visiteurs et le site web, ce qu’un cookie wall risque de trahir.

Qu’est-ce que le consentement granulaire ?

Le consentement granulaire signifie que vos utilisateurs sont en mesure de filtrer leur consentement entre différentes catégories de cookies :

  • Les cookies nécessaires
  • Les cookies de préférence
  • Les cookies statistiques
  • Les cookies marketing

Lorsque les utilisateurs arrivent sur votre site web, la plateforme de gestion des consentements Cookiebot CMP leur présente un bandeau interactif qui leur permet de consentir à certains cookies et pas à d’autres. Seuls les cookies nécessaires n’ont pas besoin du consentement de l’utilisateur pour être activés.

Logo banner powered by Cookiebot by Usercentrics
Le bandeau cookies Cookiebot offre un consentement granulaire pour une conformité totale au RGPD pour votre site web.

Le scanner inégalé Cookiebot détecte tous les cookies et les traceurs et les bloque automatiquement de sorte que les données personnelles de vos utilisateurs ne sont pas traitées avant qu’ils aient donné leur consentement.

Cookiebot CMP scanne votre site web sur une base mensuelle et génère une déclaration cookies complète, ce qui assure une transparence totale entre votre site web et ses utilisateurs.

Grâce à la solution de consentement granulaire Cookiebot, les sites web peuvent offrir un choix réel et libre à leurs visiteurs par le biais de nos bandeaux de consentement hautement personnalisables qui recueillent le consentement des utilisateurs et gèrent l’activation des cookies sur votre site web en conformité avec le RGPD.

Logo banner powered by Cookiebot by Usercentrics
Le bandeau cookies Cookiebot offre un consentement granulaire pour une conformité totale avec le RGPD sur votre site web.

Le consentement granulaire est l’avenir

En permettant aux utilisateurs de choisir eux-mêmes les cookies et les traceurs qu’ils autoriseront un site web à installer sur leurs appareils, un site web ne fonctionne pas seulement en conformité avec l’exigence du RGPD d’une base juridique pour le traitement des données personnelles.

Il respecte également la vie privée et l’autonomie des personnes qui se trouvent derrière l’écran, derrière le terme « utilisateur » ou « personne concernée » – les véritables êtres humains dont la vie intime et privée peut être gravement atteinte par la collecte de données par des traceurs tiers.

Le respect de la dignité de la vie privée et le respect sincère de l’autonomie des individus sont difficiles à légiférer, c’est plus que du droit… c’est de la culture.

Cookiebot CMP travaille dur chaque jour pour aider les sites web à se conformer aux lois mondiales sur la protection des données, mais nous travaillons aussi dur chaque jour pour créer une culture de la vie privée et de l’autonomie sur Internet.

Essayez Cookiebot CMP gratuitement dès aujourd’hui pour devenir conforme, mais surtout pour un avenir privé et libre.

Les APD nationales sur les cookies walls

Avant que le EDPB n’adopte des lignes directrices sur les cookie walls en mai 2020, certaines autorités nationales de protection des données dans l’UE avaient déjà commencé à statuer sur la question des cookie walls et de leur légalité d’après le RGPD.

Voici un aperçu des APD nationales et de leurs décisions avant les lignes directrices 05/2020 du EDPB.

L’autorité française de protection des données, la CNIL, a mis à jour ses lignes directrices au cours de l’été 2019 et a jugé les cookie wall illégaux.

Cependant le 19 juin 2020, le Conseil d’État, la plus haute autorité administrative française, a décidé d’exiger le retrait du paragraphe évoquant les cookies walls dans les lignes directrices de la CNIL suite un recours en annulation déposé par des associations et syndicats de la publicité en ligne, du e-commerce et des médias. Le Conseil d’État a estimé que la CNIL avait excédé son autorité  en déclarant que « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. » Il indique que la CNIL ne peut pas légalement interdire les cookie walls. Cependant, le Conseil d’État ne déclare pas que les cookie walls sont un moyen légal de se conformer au RGPD.

« Sans se prononcer sur le fond de la question, le Conseil d’État considère que la CNIL ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue. » (Conseil d’État, 19 juin 2020)

Par cette décision, le Conseil d’État confirme également que les autres points contestés par les requérants sont légaux, seul le paragraphe concernant les cookie walls a du être modifié.

Dans ces nouvelles lignes directrices adoptées le 17 septembre 2020, la CNIL « estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté de consentement » (Article 2). La CNIL s’appuie ici sur le RGPD et sa définition d’un consentement libre.

Le 18 mars 2021, la CNIL a également publié une FAQ sur ses lignes directrices en matière de cookies, incluant des détails sur ses orientations concernant l’utilisation des cookies walls.

Sur le sujet, la FAQ de la CNIL précise que la licéité des cookies walls « doit être appréciée au cas par cas ».

Voir les nouvelles lignes directrices de la CNIL du 17 septembre 2020.

Au printemps 2019, l’autorité néerlandaise de protection des données, l’AP, a statué que l’utilisation de cookie walls sont une violation du RGPD, précisément parce que les visiteurs d’un site web doivent donner leur consentement librement, c’est-à-dire sans être contraints par un cookie wall qui exige un prix pour l’accès au domaine.

L’APD néerlandaise a résumé sa décision en disant qu’un cookie wall crée une situation « à prendre ou à laisser » pour les utilisateurs, où ils doivent soit donner leur consentement à tous les cookies et traceurs d’un site web, soit le quitter sans avoir pu y accéder.

Selon l’APD néerlandaise, cela constitue une forme de consentement non valide, puisque les utilisateurs n’auront pas le choix libre et réel d’accepter ou de refuser certains cookies plutôt que d’autres. Les sites web ne sont pas autorisés à refuser l’accès aux utilisateurs qui décident de ne pas accepter les cookies et les traceurs.

L’autorité britannique de protection des données, l’ICO, a également mis à jour ses lignes directrices pour l’utilisation des cookies en conformité avec le RGPD au cours de l’été 2019.

Appliquant la norme de consentement du RGPD aux mises en œuvre nationales de la directive ePrivacy (en Grande-Bretagne, les PECR), l’ICO britannique a décidé qu’aucune catégorie de cookies, sauf ceux nécessaires, n’est autorisée à avoir des cases cochés par défaut.

L’ICO a également précisé que l’utilisation d’un cookie wall pour restreindre l’accès à un site jusqu’à ce que les utilisateurs y consentent n’est pas conforme au RGPD (et aux PECR).

« L’utilisation d’une approche globale telle que celle-ci a peu de chances de représenter un consentement valide. Des déclarations telles que « en continuant à utiliser ce site web, vous acceptez les cookies » ne constituent pas un consentement valide au regard de la norme RGPD plus élevée » (Traduction non officielle)

L’APD espagnole sur les cookies walls

Enfin, à l’été 2020, l’autorité espagnole de protection des données, l’AEPD, a mis à jour ses lignes directrices sur les cookies walls.

Comme l’ICO britannique et l’AP néerlandais, l’AEPD espagnole a décidé que les cookies walls, qui n’offrent pas d’alternative au consentement, ne sont pas autorisés.

En d’autres termes, les cookies walls sont considérés comme non conformes par l’AEPD, à moins qu’une alternative équivalente à l’accès sans consentement ne soit prévue.

L’AEPD souligne que les cookies walls sont particulièrement problématiques dans les cas où les utilisateurs se voient refuser l’accès à un site web lorsqu’ils tentent d’exercer un droit légal, par exemple pour se désabonner d’un service.

En Espagne, les sites web qui n’offrent pas une alternative adéquate et égale à l’accès sans consentement ne respectent pas les lignes directrices de l’AEPD sur les cookies walls.

Les lignes directrices de l’AEPD précisent également que le défilement continu sur les sites web ne constitue pas un consentement valide, c’est-à-dire que le consentement doit être une indication explicite et non ambiguë du choix de l’utilisateur.

Les lignes directrices de l’AEPD ont été publiées en juillet 2020 avec un délai de grâce de trois mois et sont entrées en vigueur le 31 octobre 2020.

Lire les lignes directrices de l’AEPD sur le consentement et les cookies walls (en espagnol)

L’APD italienne sur les cookies walls

Le 26 novembre 2020, l’autorité italienne de protection des données Garante Per La Protezione Dei Dati Personali a publié de nouvelles lignes directrices sur les cookies et les cookies walls (en italien).

Comme la plupart des autres autorités européennes de protection des données, les cookies walls sont également considérés comme illégaux en Italie.

Une exception est faite si le site web offre un accès à un contenu ou à des services équivalents, mais cela est déterminé par l’APD italienne au cas par cas.

En plus de préciser que les cookies walls sont illégaux, les lignes directrices de l’APD italienne considèrent également que le défilement sur un site n’est pas un consentement adéquat, ce qui signifie que le consentement doit être une action active, positive et explicite de l’utilisateur pour être valide.

Les lignes directrices italiennes sur les cookies précisent également les différents cookies et leurs propriétés, comment rédiger une politique de cookies conforme et ce qui constitue un bandeau de consentement valide.

Lisez les lignes directrices sur les cookies du Garante della Privacy italien ici (en italien)

FAQ

Qu’est-ce qu’un cookie wall ?

Un cookie wall est un moyen pour les sites web de refuser l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs du domaine. Lorsqu’un utilisateur se rend sur un site web doté d’un cookie wall, il se voit présenter un bandeau qui explique comment le site web utilisent des cookies et que l’utilisateur doit accepter afin d’avoir accès au site.

Essayez Cookiebot CMP gratuitement dès aujourd’hui

Comment fonctionne un cookie wall ?

Les sites web disposent d’un grand nombre de cookies qui traitent les données personnelles de leurs utilisateurs. Le RGPD de l’UE exige que les sites web obtiennent le consentement des utilisateurs avant de pouvoir activer ces cookies. Un cookie wall oblige les utilisateurs à accepter tous les cookies pour pouvoir accéder au site web, ou alors si ceux-ci refusent, à quitter le site.

Apprenez-en plus sur le RGPD et le consentement aux cookies

Les cookie walls sont-ils légaux ?

Non, selon le Comité européen de protection des données (EDPB) et ses lignes directrices sur le consentement valide dans l’UE, les cookie walls qui conditionnent le consentement à l’accès à un site web sont un moyen illégal d’obtenir le consentement. Au contraire, le consentement doit être granulaire et donné librement. Les utilisateurs doivent pouvoir choisir entre certains cookies et pas d’autres, lorsqu’ils donnent leur consentement.

Scannez gratuitement votre site web avec Cookiebot CMP.

Quelle est l’alternative à un cookie wall ?

Le consentement granulaire est le moyen conforme d’obtenir des consentements valides de la part des utilisateurs. Il implique que les utilisateurs sont en mesure de filtrer leur choix de consentement entre différentes catégories de cookies, et qu’ils ont la possibilité de rejeter tous les cookies tout en continuant à avoir accès à un site web et à ses services. Le consentement granulaire signifie un choix libre, clair, préalable et affirmatif de consentement pour les utilisateurs du site web par opposition au choix forcé des cookie walls.

Vérifiez gratuitement si votre site web est conforme au RGPD

Ressources

Qu’est-ce que le RGPD ?

Conseil européen de la protection des données (EDPB)

APD néerlandaise sur les cookie walls (en néerlandais)

Lignes directrices de la CNIL sur l’utilisation des cookies en France

Lignes directrices de l’AEPD sur le consentement et les cookies walls (en espagnol)

La plainte officielle du Dr Johnny Ryan contre IAB Europe auprès de la Commission irlandaise des données (en anglais)

    Suivez l’actualité

    Rejoignez dès maintenant notre communauté grandissante d’amateurs de la confidentialité des données. Abonnez-vous à la newsletter de Cookiebot™ et recevez les dernières actualités directement dans votre boîte mail.

    En cliquant sur "S'abonner", je confirme que je souhaite m'abonner à la newsletter de Cookiebot™. Je peux facilement me désabonner de la newsletter de Cookiebot™ et révoquer le consentement à l'utilisation de mes données en cliquant sur le lien de désabonnement ou je peux écrire à [email protected] pour en faire la demande. Politique de confidentialité.