Back to Blog

Consent Wall et Cookie Wall

Romain Bessuges-Meusy

Il y a 20 ans...

je mettais en ligne mon premier site internet. J'avais imbriqué sans tout bien comprendre des balises <table>, <tr>, <td> et intégré des images tirées d'un CD-ROM que j'avais reçu en cadeau avec mon magazine d'informatique. J'avais fini par comprendre comment me connecter à l'espace FTP inclus dans mon abonnement 56k et avec l'ancestral Fetch j'avais pu y déposer mes fichiers. Mon site était en ligne, accessible par le monde entier, sans authentification, sans barrière, ni bannière.

Quelques jours passaient et très naturellement je m'interrogeais sur qui voyait mon site. Un “qui” qui voulait déjà dire combien. Combien d'internautes avaient pu poser leurs yeux sur mon travail ? La question me taraudait. Alors j'ai fait comme tout le monde à l'époque, j'ai cherché "compteur de visites" sur Altavista.


Ces compteurs de visites pullulaient sur le web d'alors, et relevaient autant du gadget que du concours de kiki. À chaque fois qu'un nouveau visiteur se rendait sur une page où le compteur était présent, il incrémentait sa valeur.

Mais en quoi consistaient ces compteurs, réellement ? Une simple balise <img>, qui allait chercher un fichier image depuis un serveur tiers. Ce serveur tiers retournait une image dans laquelle on avait écrit le nombre de visites associées à mon nom de domaine. 


Mais par quelle magie le serveur externe pouvait-il savoir qu'un visiteur n'était pas déjà venu ?

J’avais bien essayé de recharger la page pour ne pas commencer à 0, mais rien n’y faisait. Le compteur esquivait mes tentatives de fraudes, grâce aux cookies tiers, pardi ! Un bête cookie retourné par le serveur lors du premier affichage de l'image, gardé en mémoire dans le navigateur et renvoyé au serveur lors des consultations suivantes, qui permettait d'exclure facilement le navigateur en question du décompte des visites. Au passage, j’ai découvert plus tard que c'est en effaçant les cookies de son navigateur qu'on pouvait facilement truquer son nombre de vues...

Si mon site était encore en ligne aujourd'hui, il faudrait que je le mette à jour pour demander le consentement de l'internaute. Il me faudrait l'informer qu'un cookie va être écrit sur son ordinateur, et lui expliquer à qui seront transmises ses données. 

Ironiquement, quand de jeunes Traffic Manager me disent "J'ai mis le pixel Facebook", peu réalisent qu'au départ ce pixel Facebook était véritablement une image d'1px sur 1px, transparente, et reposait sur le même principe que nos petits compteurs d'ego-métriques. Cela rappelle également le sobriquet d'un compte à suivre absolument sur Twitter : @pixeldetracking

Le problème avec ce pixel transparent, c'est qu'il est très vite glissé subrepticement dans le site et exploite désormais les capacités du cookie-tiers pour remonter des statistiques à l'insu de l'internaute, au profit principal du serveur tiers.


Quelques années auront suffi pour faire de ce bénin pixel et son cookie-tiers le moteur des modèles de reciblage publicitaire. Technique qui consiste à montrer des publicités "pertinentes" aux internautes en fonction de leur historique de navigation, en les rangeant dans des cohortes d'individus aux intérêts semblables. Pour leur vendre ensuite des vélos, des téléphones, ou le brexit...


Durant le temps qui nous sépare de mon premier site internet et de son compteur de visites, le kermesse bon enfant pour geeks curieux et passionnés qu'était le web s'est métamorphosé en parc d’attractions à l'américaine, où l'on flâne jusqu'à pas d'heure en dépensant sa richesse. Mais un parc d’attractions dans lequel on ne paye plus tant en dollars qu'en data.

Cette data, dont les géantes corporations sont devenues friandes, est devenue la monnaie d'échange pour participer au jeu de la monétisation du trafic, grignotant petit à petit notre anonymat, notre libre arbitre, notre vie privée.

Devant un tel emballement de la pression publicitaire, et avec le sentiment toujours plus présent que chaque fait et geste sur internet est pisté par ces pixels transparents, le législateur européen frappe Internet avec une idée absurde : un bandeau d'information. Son rôle ? Alerter, dès l'arrivée sur le site, que des cookies sont susceptibles d'être déposés.

Ce bandeau, à vocation didactique et protectrice, est bien vite vidé de sa substance. On apprend aux internautes à cliquer comme des moutons sur des bandeaux sans intérêt.

Mais heureusement la donne change en 2018 avec le RGPD, un règlement européen qui place le consentement au cœur du réacteur marketing. Tout traitement de données à caractère personnel se voit désormais fortement invité à justifier du consentement comme base légale. Les traceurs, cookies et autres scripts tiers ne peuvent légitimement pas échapper à cette acception : par leur nature ils constituent des traitements de données personnelles. 

Et non content d’exiger le consentement, le législateur va également en profiter pour définir les critères de validité permettant de considérer le consentement « conforme ». Ces attributs chamboulent tout ce qu’on a connu jusqu’alors. Libre, spécifique, éclairé, univoque, révocable : rien que ces mots-clés là invalident 99% des interfaces alors visibles en ligne. 


Un bras de fer s'engage alors entre les régulateurs européens (CNIL et consorts) et l’industrie de la publicité en ligne. Cela commence par la rédaction d'un standard technique industriel, appelé TCF, bâti par et pour l'AdTech : un travail collégial, sorte de copie rendue par les différents maillons de la chaîne publicitaire aux régulateurs

Très contestable, et contesté, sur le plan du respect des exigences réglementaires, le TCF est présenté par ses auteurs comme l'ultime concession que l'industrie est prête à faire à ce nouveau cadre.

Vous reconnaîtrez aisément le TCF à ses catégories sibyllines et sa section "Afficher nos partenaires", qui déroule généralement une liste interminable d'entreprises méconnues. Une v2 arrivera quelques mois plus tard et verra apparaître l'Intérêt légitime comme nouvelle base légale comme justification de traitement des données. Base légale juridiquement assez glissante.



En France, le bras de fer tourne à l'avantage des industriels car la CNIL prend son temps. Alors que le RGPD entre en vigueur en mai 2018, elle annonce le 14 janvier 2020 une phase de consultation en vue de la production de nouvelles recommandations. Ces recommandations ne commenceront à être suivies d'effet qu'à partir du 1er avril 2021, fin de la période de clémence. Deux années "cadeau" aux dépens des citoyens, sous prétexte de laisser le temps aux éditeurs de se retourner.


Et dos au mur, il se sont retournés et se sont retrouvés... face à un mur. Ou plutôt devrais-je dire "aux murs". Cookie wall pour les uns, qui restreint l'accès au site aux seules personnes qui acceptent les cookies. Consent wall pour les autres, qui interrompt la navigation en exigeant de l'utilisateur qu'il se prononce sur l'usage de cookies et traceurs. 


Lorsque je parcours un fil d'actualité et que l'on me présente un article susceptible de m'intéresser, je clique sur un lien hypertexte. Je m’attends alors à accéder au contenu promis. C'est la fondation même du web, le contrat initial sur lequel repose notre usage du réseau.

Sauf qu’aujourd’hui ce contrat est perverti par l’attitude bravache des éditeurs. Aujourd’hui, alors que je clique sur un lien et m’attends à accéder à un contenu supposément public, je suis interrompu dans ma navigation par une étape interstitielle sans rapport avec l’objet de ma visite.


Et même lorsqu’il est question d’un acte marchand, je suis pris au dépourvu. Récemment je cherchais à m’équiper d’un régulateur propane haute pression. Sur Google je vois une vignette d’une page produit d’un site e-commerce reconnu. Le prix est visible, la photo aussi, le contenu est public.

Je clique sur le lien et me retrouve nez-à-nez avec une affreuse CMP, mal paramétrée, bourrée de dark patterns, qui m’empêche d’accéder au contenu promis. Et dire que j’allais probablement lâcher plus de 100€ pour ce produit pointu. Mais mon argent ne leur suffisait pas, il fallait aussi lâcher des données. Inutile de préciser qu’ils ont perdu les 100€. 


Des autoroutes de l’information on n’a gardé que les péages. On a posé des barrières pour satisfaire les exigences d’intermédiaires gloutons.

En effet, qui pose les règles du jeu de la monétisation ? Non, ce ne sont pas les éditeurs ou les médias. Ce ne sont pas non plus les annonceurs qui cherchent à faire connaître leurs produits ou services. Ce sont bien les fournisseurs d’inventaires publicitaires, les réseaux et les plateformes d’enchères qui dictent une loi à sens unique. 


Lorsque Allociné ou JeuxVideo.com mettent en ligne un cookie wall à 2€, tout le monde leur crache dessus. Les plaintes sur les réseaux sociaux sont nombreuses et légitimes : protection de la vie privée pour ceux qui ont une CB, exploitation des données personnelles pour ceux qui n’en n’ont pas ; monétisation d’un contenu généré en grande partie par leur lectorat ; etc. Pire, ce sont eux qui s’exposent à une mise en demeure.


Ou lorsque Télérama s’applique à respecter les dernières recommandations de la CNIL, et fait apparaître en petits caractères la mention “Continuer sans accepter” à côté du consent wall qui empêche la navigation, le journal se fait clasher sur Twitter par des observateurs tranchants qui raillent son manque de bonne volonté.


Malheureusement, ériger ces murs de consentement est un jeu qui fait beaucoup de perdants et peu de vainqueurs.

Le premier des perdants est l’internaute ...

Il voit son expérience dégradée et sa confidentialité bafouée par des pratiques de design trompeuses. Interrompu dans son flux de navigation, et désirant par-dessus tout accéder au contenu qui l’intéresse, on peut légitimement douter de la véritable conformité de son consentement. A fortiori lorsque celui-ci est recueilli en bande organisée et transmis à plus de 700 entreprises d’un simple clic.

Le deuxième grand perdant, c’est l’éditeur.

L’image de marque atteinte, celle qui souffre de ce changement de paradigme, c’est avant tout celle de l’éditeur. Je ne suis pas dans le CoDir de Webedia, mais j’imagine que personne autour de la table n’est ravi d’avoir eu à imposer ces murs.

Les éditeurs sont entre le marteau (CNIL) et l’enclume (IAB) et tentent, tant bien que mal, de payer leurs salariés et leurs serveurs.

Le troisième perdant, c’est l’annonceur.

Obligé de mettre au pot de la programmatique parce que “tout le monde le fait” et que “il faut faire de la programmatique”. Sauf que la cinématique de consentement et le chargement retardé de ses encarts font sauter le design du site et provoquent des scrolls inopinés. Au lieu de susciter de l’intérêt, on provoque de la gêne, de la frustration et des “miss-clicks” à gogo. Coincé entre des encarts vendant des articles chinois en dropshipping, ou des formations éclair pour devenir entrepreneur, on finit par voir afficher le produit qu’on vient justement d’acheter. 


Le quatrième perdant, c’est l’agence web.

Elle regarde de très loin ces combats de titans et la seule chose qui l’intéresse, c’est de savoir si elle va pouvoir continuer d’utiliser Google Analytics pour fournir ses tableaux de pilotage à ses clients. Des tableaux qu’elle a mis plusieurs années à bâtir et qui pourraient, d’un coup, devoir être jetés à la poubelle. 

Mais, trop petite, l’agence web n’a pas eu voix au chapitre lors de la consultation sur les nouvelles recommandations CNIL, même si c’est elle qui crée aujourd’hui les sites de nos entreprises.


Les derniers perdants, ce sont l’Europe, la CNIL, le Conseil d’État.

Alors que ces institutions se battent, pour nous, pour nos droits et pour la préservation de ce qui nous est le plus privé. Alors qu’ils tentent de concilier les réalités économiques d’une industrie sans frontières et sans limites avec des textes parfois techniquement obsolètes dès leur publication, ils se trouvent pointés du doigt, moqués ou accusés d’être la source des maux des internautes. Et cela quand ils ne sont pas pris en grippe pour leur manque de fermeté. 


Les CMP, en revanche, sont clairement là pour tirer les marrons du feu.

À commencer par Axeptio, celle que j’ai créée avec mes associés et qui a connu une croissance exponentielle depuis le début d’année 2021.

Je pense que les CMPs sont là pour durer, car le consentement va devenir le marqueur de la confiance des consommateurs pour les marques et, bientôt, le taux d’opt-in remplacera le “Net Promoter Score” dans les tableaux de bord des directeurs marketing.

Mais je ne sais pas comment pourront durer celles qui se complaisent dans les darks patterns ou les “biais cognitifs”. Cette mascarade ne survivra pas à e-privacy, futur règlement européen qui mentionne déjà l’obligation de présenter une interface “user friendly”.


Enfin l’industrie publicitaire, l’AdTech. Elle semble avoir remporté ce round, après l’uppercut du Conseil d’État sur les Cookies Walls et le crochet du gauche du “continuer sans accepter”, elle occupe fièrement le ring avec ses wall.

Mais lorsque la cloche de la reprise sonnera, elle risque de se prendre une pluie de coups : 

  • installations d’AdBlockers en masse, et plus seulement chez les geeks (30% en France)
  • taux de rebond toujours plus élevé, notamment quand vous atterrissez sur une page et que vous la fermez dès l’ouverture du wall
  • manœuvres anticoncurrentielles de Google : suppression des cookies 3rd party, centralisation des données publicitaires sur le navigateur au lieu du site
  • manœuvres de “privacy washing” d’Apple et son App Transparency Tracking
  • un régulateur européen (peut-être la CNIL) qui tapera fort sur un acteur implémentant le TCF
Et pour finir, rêvons un peu : une révolte des éditeurs et un refus généralisé des exigences techniques du TCF, au profit d’une publicité contextuelle plus rémunératrice, basée sur le “lectorat” et pas sur le “lecteur”.

Je suis intimement convaincu que c’est en s’extirpant de cette dépendance à la publicité programmatique que les éditeurs arriveront à regagner l’estime des internautes et trouver un second souffle. Sans ça, ils sont condamnés à voir leurs journalistes fuir le comité de rédaction pour rejoindre les plateformes de contenu (Youtube, Twitch, etc.) et s’en remettre à des algorithmes de machine learning pour produire un contenu générique, sans âme, mais générateur de clics.

Attention donc à ne pas considérer Cookies et Consent Wall comme un produit de la réglementation : ils sont avant tout la réponse business d’une industrie en panique.

Se cogner à un mur à l’entrée de tous les sites n’est pas une fatalité, et si chacun des acteurs se remet en question et se décide à respecter le consentement de l’internaute, il y aura peut-être quelque chose à sauver de mon internet d’avant.

Les murs porteurs ...

par Christophe Landat, Avocat et co-fondateur d’Axeptio

Une question revient de plus en plus du côté des entreprises désireuses de trouver une astuce aux contraintes posées par la réglementation sur les Cookies associé à la notion de consentement empruntée au RGPD :

peut-on imposer un choix à l’internaute lors de son passage sur un site web ? « Êtes-vous oui ou non d’accord pour que nous déposions un cookie sur votre machine ? Répondez ou partez. »

 

Dit autrement :  l’internaute est-il en droit de ne pas répondre à la sempiternelle question « acceptez-vous nos cookies ? » ? Devoir choisir entre « j’accepte » et « je refuse » est-ce toujours bénéficier de la notion de consentement libre imposé par le RGPD ?

 

Soyons francs, la question est loin d’être simple en réalité et ne pourra être tranchée que par la succession des contentieux qui seront éventuellement tranchés par les juridictions nationales et européennes… On attend le positionnement d’une jurisprudence durable. C’est d’ailleurs son rôle : affiner l’analyse juridique des articles des textes existants.

 

Le futur règlement EPrivacy apportera-t-il une réponse plus évidente ? Difficile à dire tant que le texte définitif n’est pas voté.

Mais on peut quand même en douter tant les références à la notion de consentement présente dans le RGPD sont nombreuses. Et elles sont reprises dans le projet de rédaction actuelle du règlement Eprivacy.

 

Risquons-nous à une analyse…

 

L’article 4.11 du RGPD définit ainsi le consentement : «consentement» de la personne : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

 

Intéressons-nous à la notion de liberté.

 

Un choix est-il libre quand on impose une alternative limitée ? A « oui » ou « non », ne manque-t-il pas toute une série de réponses possibles ? Et notamment le « oui mais ». « Oui, mais plus tard », « oui mais pas sur tout », « oui mais pas aujourd’hui ». 

 

Pour analyser un tel dispositif, il nous faut remonter aux sources du droit et ressortir nos cours de première année de Fac… Comment qualifier, juridiquement parlant, le dépôt d’un cookie  ou pour être plus précis, le consentement donné au dépôt d’un cookie ?

 

Se présentent à nous deux options : le fait juridique ou l’acte juridique.

 

Il est acquis que la différence entre ces deux notions tient aux effets de droit qui y sont attachés. Dans l’hypothèse d’un fait juridique, les effets de droits ne sont pas produits par la volonté du sujet de droit, mais par la règle de droit elle-même (règlement, loi, traité international…) : le licenciement d’un salarié lui ouvre des droits : c’est un fait juridique. Ce fait juridique peut être volontaire ou involontaire. Mais le sujet de droit ne recherchait pas forcément à produire les effets de droit attachés au fait par la règle de droit.

 

La situation est tout autre avec l’acte juridique : les effets de droit induits par un acte juridique découlent pleinement de la volonté du sujet de droit : je signe un contrat. On retrouve dans cette hypothèse la notion de volonté (de consentement…).

 

Alors quid de ce dépôt de fichier (le cookie) ? Nous nous plaçons dans l’hypothèse ou un consentement est requis. Qui dit consentement, dit forcément « acte juridique ». Le dépôt de cookie dans une telle hypothèse serait donc un acte juridique auquel j’ai consenti. 

 

Or, si le dépôt du cookie est un acte juridique, mon consentement doit également être analysé à l’aune du consentement aux actes juridiques. Voilà ce que nous dit l’article 1100-1 du code civil : « Les actes juridiques sont des manifestations de volonté destinées à produire des effets de droit. Ils peuvent être conventionnels ou unilatéraux. Ils obéissent, en tant que de raison, pour leur validité et leurs effets, aux règles qui gouvernent les contrats. »

 

On est donc sur le terrain Ô combien important de la théorie de l’autonomie de la volonté dont Rousseau a su nous expliquer l’étendue et qui peuple les toutes premières heures de cours des étudiants en droit de première et deuxième année.

 

La jurisprudence qui est venue façonner cette notion depuis 1804 n’admet pas la moindre notion de contrainte, quelle qu’elle soit, lorsqu’il s’agit de considérer un consentement comme « libre ».

 

Revenons maintenant à l’hypothèse d’une navigation sur un site e-commerce par exemple. 

 

Une navigation sans contrainte consisterait à pouvoir consulter le site web, sans obstacle. On peut donc s’interroger sur l’interdiction de pouvoir consulter le site web en question sans au préalable avoir du – donc être contraint – formaliser un choix entre des options imposées par l’éditeur dudit site web.

C’est en effet l’éditeur qui choisit, seul, les options qui s’offrent à vous. Si celles-ci ne vous conviennent pas, vous devez quitter le site web.

 

La combinaison du considérant n°42 et de L’article 7.4 du RGPD fournit une grille de lecture pour évaluer la «qualité » du consentement fourni : 

Considérant n°42 : Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. 

 Article 7.4 : « Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l'exécution d'un contrat, y compris la fourniture d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution dudit contrat. ».

 

Cet article 7.4 évoque la notion de contrat. On a vu plus haut que le dépôt d’un fichier sur votre matériel (le cookie) est susceptible de relever de la qualification d’acte juridique. Il y aurait donc une cohérence juridique entre le consentement contractuel et le consentement au cookie évoqué par le RGPD.

 

Après avoir lu ces textes, sans doute faut-il alors se poser la question suivante pour tenter d’obtenir un début de réponse sur la conformité d’un choix imposé au dépôt de cookie : le dépôt de cookie est-il nécessaire à la fourniture du service (la consultation libre et sans contrainte du site web) ?

 

Si la réponse est oui, la contrainte de choix peut apparaître légitime. 

 

Dans le cas contraire, la contrainte de choix semble imposée en violation de l’article 7.4 du RGPD, ce d’autant plus que le considérant n°32 ne laisse pas sans réponse l’acteur économique dès lors que l’absence de réponse de l’internaute équivaut à un refus (Considérant n°32 : «  (…) Il ne saurait (…) y avoir de consentement en cas de silence (…) ou d'inactivité́ »).

 

Invoquer le silence ou l’inactivité, n’est-ce pas lui donner corps juridiquement ? Le législateur européen a en tout cas, c’est une certitude, envisagé ce cas de figure. Il répond donc à l’argument qui consisterait pour le site e-commerce à dire : « je veux un choix ! ». Laissez passer sans contrainte l’internaute – la « véritable liberté de choix » - et vous aurez votre réponse : elle sera négative car la règlementation vous autorise à formaliser cette déduction.

 

Être libre dans cette analyse juridique c’est avoir la possibilité d’agir sans être contraint. Du tout. Or, imposer un choix, devoir choisir, c’est imposer une contrainte.

Ce faisant, on peut considérer qu’on interdit à l’internaute d’avoir recours à l’un des choix que lui offre le règlement : celui, justement, de ne pas choisir (pas de consentement en cas de silence).

 

Mais poussons un peu plus le raisonnement ...

Autorisons-nous à penser que le consentement au cookie est bien un acte juridique (postulat important vous l’avez compris). Si tel est bien le cas, quid d’un consentement obtenu par dépit, par fatigue, par envie de poursuivre sa navigation ? Le droit considère-t-il les situations dans lesquelles une personne a consenti pour des raisons qu’elle pensait bonne ou par erreur… par contrainte ?

 

Réponse oui et cela donne lieu – en tout cas en droit français – à une très large littérature : celle se référant à la théorie des vices du consentement. Attention, on doit, pour accepter d’envisager de piocher dans les arguments de cette théorie, accepter de considérer qu’un consentement est un acte juridique (débat lui aussi ouvert, restons prudents).

 

Mais si on accepte ce postulat, que nous apprend la théorie des vices du consentement ? D’abord qu’elle est posée de longue date par le Code civil : l’article 1130 dit ceci : « L'erreur, le dol et la violence vicient le consentement lorsqu'ils sont de telle nature que, sans eux, l'une des parties n'aurait pas contracté ou aurait contracté à des conditions substantiellement différentes.

Leur caractère déterminant s'apprécie eu égard aux personnes et aux circonstances dans lesquelles le consentement a été donné. ».

 

Mettons de côté la violence. Il nous reste l’erreur et le dol.

 

Le dol, c’est la volonté de tromper. Et c’est l’article 1137 du code civil qui en traite : « Le dol est le fait pour un contractant d'obtenir le consentement de l'autre par des manœuvres ou des mensonges ».

 

On distingue habituellement en jurisprudence, le « bon dol » (l’habileté d’un vendeur à mettre en avant ses produits par exemple) du « mauvais dol » (le mensonge, la tromperie volontaire).

 

Et l’erreur correspond (en simplifiant) à une vision erronée de la réalité pour celui qui consent. L’erreur pour être valablement retenue devra porter sur les qualités essentielles et déterminantes du contenu de l’acte juridique. On dit aussi qu’on doit pouvoir prouver que la personne ne pouvait éviter l’erreur (en raison de ses compétences professionnelles par exemple) et qu’il n’y avait aucun aléa dans le contrat. L’erreur, dit-on en jurisprudence, doit-être « excusable ».

 

Or lorsque le quidam de base consent à un cookie, sait-il seulement ce qu’est… un cookie ? Il en connaît ce qu’il a vaguement pu en entendre au 13h de TF1 entre le reportage sur la préservation de la recette centenaire de la Garbure dans les Pyrénées-Orientales et celui sur la pêche à pieds le long de la côte d’Opale…

Soyons sérieux, rares sont les gens qui seraient en mesure d’expliquer de manière sérieuse le principe de fonctionnement d’un cookie. 

Est-il illusoire alors de considérer que l’on fait consentir l’internaute à un acte juridique dont   il n’est pas en mesure de comprendre la portée, puisqu’il n’est justement pas suffisamment expliqué ? La voie est ainsi ouverte à la caractérisation de l’erreur excusable et donc au vice du consentement.

 

Il faut se rappeler à ce stade que l’article 1100-1 du code civil édicte dans son second alinéa que les actes juridiques « (…) obéissent (…) pour leur validité et leurs effets, aux règles qui gouvernent les contrats. ».

 

A chacun donc de s’interroger sur ces notions et la volonté délibérée de certains éditeurs d’y avoir recours pour capter de précieuses données personnelles. 

 

La notion de consentement peut-elle aller puiser des réponses sur la validité de sa récolte dans le droit des contrats et son abondante jurisprudence ? C’est en tout cas le sens de cette analyse. 

 

La question est très intéressante et pas seulement sur le plan juridique. Soyons suffisamment lucide pour énoncer qu’elle supporterait, pour être creusée, des arguments contraires comme dans tout bon débat juridique qui se respecte. 

 

Les réponses viendront très probablement de la jurisprudence. La matière de la protection des données doit encore se façonner au fil du temps et mûrir pour trouver le juste équilibre entre contraintes économiques, techniques et protection des données personnelles. 

 

Mais ce débat pourra se nourrir d’autres éléments, il est vaste ! 

 

Et on ne saurait d’ailleurs achever un argumentaire juridique sur l’analyse de la mise en place d’une pratique qui demeure avant toute autre considération, une pratique informatique, sans citer le fabuleux article premier de la loi fondatrice du 6 janvier 1978 : « L'informatique doit être au service de chaque citoyen. (…)Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. ».

 

On se détachera quelques instants de la mathématique du droit pour s’interroger de manière plus aérienne et philosophique sur le fait de savoir si la pratique du cookiewall s’inscrit ou non dans l’esprit de ce texte.  

 

De la réponse à cette seule question devrait découler une prise de position assez nette.

 

Depuis 1957 et le Traité de Rome, l’Europe envisage son avenir autour de la notion de communauté, laquelle impose de faire cohabiter en bonne intelligence, impératifs économiques et respect des libertés individuelles. Ces deux notions s’entrechoquent régulièrement. C’est bien le cas avec la protection des données personnelles et on ne peut pas balayer d’un revers de main l’impérieuse nécessité des entreprises de continuer à exploiter celles-ci pour pérenniser parfois leur modèle économique.

 

Deux grands principes constituent des « murs porteurs » de l’Union Européenne :

la libre circulation des personnes et la libre circulation des marchandises. Le RGPD est venu – contrairement à ce que beaucoup trop de monde pense – créer un troisième axe : celui de la libre circulation de la donnée personnelle. 

 

Oui, le RGPD est un texte libéral et dès le considérant n°4, le législateur européen le rappelle : « Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportion­nalité. ». 

 

L’objectif ? C’est le considérant n°7 qui le rappelle : « (…) susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur ». 

 

La lecture attentive de ce texte, la maîtrise de ses concepts révèle un mode d’emploi, le postulat de l’acceptation d’un changement de logiciel pour utiliser les données personnelles à des fins économiques : on peut à peu près tout faire pourvu qu’on ne laisse pas le citoyen être un simple spectateur de la vie de ses propres données. Il doit en toute circonstances, tenir le rôle principal. Ou plus exactement : on doit le mettre en position d’être cet acteur. A lui ensuite de savoir s’il veut être dans un rôle actif ou passif.

 

Or, la pratique du cookiewall à l’évidence ne s’inscrit pas dans cette démarche de compromis entre principe de libre entreprise et protection des droits fondamentaux de la personne humaine. 

 

L’inventeur du web, Tim Berners-Lee qui a refusé de breveter sa création, a écrit en 1999 dans son ouvrage , « Weaving the Web » :

 

« The Web is more a social creation than a technical one. I designed it for a social effect—to help people work together—and not as a technical toy. The ultimate goal of the Web is to support and improve our weblike existence in the world. We clump into families, associations, and companies. We develop trust across the miles and distrust around the corner. What we believe, endorse, agree with, and depend on is representable and, increasingly, represented on the Web. We all have to ensure that the society we build with the Web is of the sort we intend. »

 

Le cookiewall ne s’inscrit pas dans cette logique. Il défigure le web et dessert ceux qui le mette en pratique. 

 

Loin d’être un mur porteur, il est une simple cloison fragile donnant sur la plus vilaine pièce de la maison, celle qu’on cache généralement aux invités quand on a refait tout le reste. 

 

Ceux qui, parmi les décideurs, feront les premiers le pari d’abattre ces cloisons fragiles pour s’orienter avec détermination vers une logique d’inclusion de l’internaute dans une collaboration commerciale ouvertement revendiquée et assumée (« nous souhaiterions avoir vos données et voilà pourquoi, qu’en dites-vous ? ») poseront assurément les jalons de cette nouvelle économie numérique qui bâtit actuellement ses fondations sur les murs porteurs de la protection des données personnelles.



Share on social media: 

Ne partez pas si vite ... 

8 médias qui rendent leurs cookies fun avec le widget d’Axeptio

Exploiter un média et être transparent sur ses cookies, c’est possible ? Oui ! On vous montre 8 exemples qui ont intégré une fonctionnalité de consent-as-a-service sur leurs sites. Frenchweb, CanardPC, Le Journal des RH et bien d’autres encore. Ils parlent à une audience B2C ou B2B, vivent des abonnements ou de la pub et tous ont quelque chose à dire sur leurs cookies.

Lire la suite

Cookies - Cette vidéo vous montre pourquoi privilégier l’expérience utilisateur

La gestion des cookies devient une composante même de l’expérience utilisateur puisque vos visiteurs peuvent les accepter ou les refuser. Beaucoup d’éditeurs se lancent désormais dans une course aux opt-in. Mais vouloir cookifier toute une audience, n’est-ce pas passer à côté de l’essentiel ?

Lire la suite

Grâce à Axeptio, obtenez des statistiques sincères sur vos cookies

Axeptio enrichit son outil et vous propose un module statistique. Désormais, vous allez savoir quelle proportion d'utilisateurs acceptent vos cookies. On vous fournit les données les plus pertinentes pour vous et on les rend simples à comprendre. Comme toujours, Axeptio vous propose une approche innovante par rapport à ce qui se fait sur le marché.

Lire la suite

Le mieux pour ne rien louper,
c'est surement notre super newsletter !

Un digest, 2 fois par mois, avec toutes les infos essentielles
sur la privacy et le permission marketing. Deal ? 
Dans ce contexte, nous utiliserons uniquement votre adresse email.
Notre routeur email  (Hubspot) aura accès à cette information.
Vous pourrez à tout moment vous désinscrire en cliquant sur les liens de désinscription présents dans chacun de nos e-mails.