Les autorités de contrôle néerlandaises, norvégiennes et allemandes (Hambourg) ont demandé au Comité européen de la protection des données (CEPD) (en anglais European Data Protection Board ou EDPB) de leur indiquer quand et comment les grandes plateformes en ligne pouvaient mettre en œuvre des modèles de "consentir ou payer" pour la publicité comportementale tout en garantissant que le consentement obtenu est valide et donné librement, à la lumière de l'arrêt de la CJUE dans l'affaire C-252/21.
Le 17 avril, le CEPD a publié son avis, un document de 42 pages que je vais passer en revue dans cet article, en vous aidant à en décrypter le contenu avant de présenter certains de ses aspects les plus polémiques et de vous faire part de mon point de vue sur le sujet.
TL;DR : Le CEPD a souligné que le simple fait d'offrir aux utilisateurs un choix binaire entre consentir au traitement des données à des fins publicitaires ou payer n'est pas de nature à satisfaire aux normes relatives à un consentement valable.
Décortiquer l'avis du CEPD
L'avis du CEPD présente trois exigences principales qui manquent au modèle "Consentir ou payer" ("Consent or Pay" en anglais) actuel pour répondre à la norme d'un consentement valide.
La nécessité d'une alternative gratuite
Au centre de son avis, le CEPD suggère qu'en développant des alternatives aux services qui incluent la publicité comportementale, les grandes plateformes devraient offrir une "alternative équivalente" qui ne nécessite pas de paiement. En d'autres termes, si un service alternatif doit être payant, les plateformes devraient également envisager de proposer une autre version gratuite qui n'implique pas de publicité comportementale.
Selon le CEPD, cette approche est essentielle pour éviter de rendre le consentement conditionnel et pour s'assurer qu'il reste librement donné sans le préjudice associé à l'exclusion des utilisateurs de services essentiels.
Le déséquilibre des forces en présence
L'avis souligne également l'importance de tenir compte d'un éventuel déséquilibre de pouvoir entre les utilisateurs et les responsables du traitement, en prenant en considération des facteurs tels que la position dominante sur le marché, les effets de verrouillage et la nature essentielle du service fourni.
Cela semble introduire une nouvelle obligation pour les responsables du traitement qui n'est pas explicitement décrite dans le GDPR, les obligeant à effectuer une "évaluation de déséquilibre de pouvoir" pour déterminer si leur relation avec les utilisateurs, dans des conditions de fonctionnement spécifiques, présente un déséquilibre qui pourrait invalider le modèle "consentir ou payer".
Transparence grâce à la granularité
Enfin, le CEPD souligne la nécessité pour les utilisateurs de pouvoir choisir les finalités spécifiques du traitement qu'ils acceptent plutôt que de regrouper plusieurs finalités dans une seule demande de consentement.
Cette granularité, ainsi que la spécificité et la clarté des informations fournies aux utilisateurs, garantiraient que le consentement est non seulement éclairé, mais qu'il indique également sans ambiguïté les souhaits de l'utilisateur.
Dans l'ensemble, l'insistance du CEPD sur le fait que les données personnelles ne doivent pas être transformées en marchandises et que le droit à la protection des données ne doit pas avoir de coût est plus qu'un simple écho des sentiments exprimés par le défenseur de la vie privée Max Schrems ; il s'agit d'une adoption en bloc de sa philosophie. Cet alignement entre Schrems et les membres du CEPD suggère un penchant pour les considérations éthiques, qui imprègne intrinsèquement le débat d'éléments émotionnels.
Un tel changement met moins l'accent sur des cadres juridiques stricts et davantage sur les implications morales de la protection des données, ce qui indique une rupture profonde avec les approches juridiques traditionnelles, et peut être problématique pour les acteurs qui tentent de se conformer à la loi.
Pourquoi l'avis du CEPD peut être problématique
L'avis du CEPD peut être considéré comme problématique à de nombreux égards, mais je me concentrerai aujourd'hui sur deux domaines principaux : la notion d'alternative gratuite et le concept de granularité. Dans cette section, nous mettrons en évidence certaines des lacunes et des limites de l'avis sur ces deux points.
En ce qui concerne la nécessité d'une alternative libre :
- Restriction de la liberté des entreprises : L'avis du CEPD peut être considéré comme limitant potentiellement la liberté des entreprises de choisir leurs modèles de revenus. En recommandant de ne pas utiliser par défaut une alternative payante pour éviter la publicité comportementale, le CEPD est perçu comme dictant des conditions qui pourraient influencer la manière dont les entreprises structurent leurs opérations et leurs offres.
- Viabilité économique des alternatives : L'avis suggère que l'offre d'une alternative payante pourrait ne pas répondre aux critères d'un consentement valide et propose d'imposer l'obligation de fournir une alternative gratuite sans publicité comportementale. Cela aurait un impact considérable sur les modèles économiques des éditeurs en ligne en Europe.
- Une réglementation excessive : Le CEPD joue le rôle d'un régulateur du marché en laissant entendre qu'il pourrait évaluer le caractère approprié des frais facturés pour l'accès aux services. Cela pourrait être perçu comme dépassant le champ réglementaire habituel des autorités chargées de la protection des données et comme empiétant sur la liberté de décision des enterprises.
- Modifications imposées aux entreprises : La position du CEPD sur la nécessité de fournir des modèles alternatifs obligerait les entreprises à modifier leurs modèles d'entreprise d'une manière qui pourrait ne pas correspondre à leur viabilité commerciale ou à leurs objectifs stratégiques.
En ce qui concerne la granularité du consentement :
- Complexité de la mise en œuvre : Le CEPD soutient que le consentement devrait être granulaire et que les personnes concernées peuvent consentir à des opérations de traitement spécifiques de manière indépendante. Bien que louable, cette approche serait potentiellement complexe et difficile à mettre en œuvre dans la pratique, notamment en ce qui concerne la distinction entre le consentement pour les aspects fonctionnels d'un service et le consentement pour la publicité comportementale.
- Expérience utilisateur et fonctionnalité du service : Offrir aux utilisateurs la possibilité de consentir à certaines parties d'un service mais pas à d'autres pose d'importants problèmes pratiques. Par exemple, si un utilisateur consent à la fonctionnalité du service mais pas à la publicité comportementale, cela soulève des questions sur la manière dont le service pourrait ou devrait être modifié pour tenir compte de ce consentement partiel.
- Impact sur les modèles publicitaires : Les exigences proposées en matière de granularité pourraient perturber les modèles publicitaires établis, en particulier ceux qui reposent sur une approche plus intégrée dans laquelle la publicité et la personnalisation du contenu sont étroitement liées. La viabilité des modèles commerciaux fondés sur la publicité s'en trouverait probablement affectée.
- Défis opérationnels et de conformité : La mise en œuvre d'une telle granularité dans les mécanismes de consentement peut poser des défis opérationnels et de conformité importants pour les plateformes, ce qui pourrait entraîner une augmentation des coûts et de la complexité de la conception et de l'offre de services.
Notre conclusion sur l'avis du CEPD
Tout d'abord, il est important de rappeler que le document du CEPD reste un avis et n'est donc pas contraignant aux yeux de la loi. Cependant, il donne une bonne indication de la position des autorités européennes de protection des données sur le modèle "consentir ou payer" en ce qui concerne les grandes plateformes, tout en offrant des implications plus larges pour tous les éditeurs européens.
Alors que les procédures judiciaires initiales de NOYB visaient spécifiquement Meta, le débat porte désormais sur la viabilité des modèles de paywall lorsqu'ils utilisent ce modèle.
Cela pose d'importants problèmes juridiques aux éditeurs, en particulier lorsque l'augmentation proposée de la granularité du consentement permettrait aux utilisateurs de refuser certaines utilisations des données, comme la publicité personnalisée, tout en ayant la possibilité d'accéder au contenu en payant. Inversement, si les utilisateurs refusent l'utilisation des données à des fins d'analyse, les éditeurs seraient censés ne pas facturer l'accès, ce qui poserait d'importantes difficultés techniques pour la mise en œuvre d'une Consent Management Platform (CMP).
Enc onclusion, l'objectif initial de l'avis était de clarifier la conversation mais il semble avoir l'effet inverse, et prévoit la possibilité d'une révision complète des stratégies de paywall des éditeurs.