« Consentir ou payer » : la CNIL précise une interprétation du RGPD
Par Bertrand Lemaire | Le | Gouvernance
Dans la foulée d’une délibération du CEPD (Comité européen de la protection des données), la CNIL vient de publier une interprétation du RGPD face à la stratégie « consentir ou payer ».
Suite à la mise en application du RGPD, beaucoup de plateformes digitales ont adopté une stratégie dite « consentir ou payer ». L’internaute est donc incité fortement à consentir au traitement de ses données de navigation (avec ou sans cookies) afin que la plateforme lui impose des publicités contextualisées avec ses comportements. L’alternative proposée est de payer un certain montant pour avoir le droit d’utiliser sans publicité le service en ligne normalement gratuit. Mais une telle alternative permet-elle bien d’obtenir un consentement libre de l’internaute au traitement de ses données personnelles ? Le Comité européen de la protection des données (CEPD), qui regroupe au niveau de l’Union Européenne la CNIL et ses homologues de chaque pays membre, a récemment publié son interprétation du RGPD à ce sujet. Cet avis a été diffusé en Français par la CNIL.
Bien entendu, la réponse du CEPD est toute en subtilité, un « non mais » très ambigu laissant encore une certaine marge de manoeuvre. Le CEPD s’était penché sur ce sujet à la demande des autorités de protection des données néerlandaise, norvégienne et hambourgeoise. La CNIL résume ainsi : « dans la plupart des cas, il ne leur (les plateformes digitales) sera pas possible de respecter les exigences relatives à un consentement valable si les utilisateurs se voient proposer seulement un choix binaire entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d’une redevance. L’avis invite donc fortement les grandes plateformes à proposer une alternative supplémentaire qui devrait être gratuite et dépourvue de publicité comportementale (par ex. la publicité contextuelle). »
Cependant, une possibilité de « Consentir ou Payer » reste ouverte si l’acteur n’est pas incontournable (un concurrent pourrait fournir le même service) et si le paiement demandé n’est pas excessif. En bref, le consentement ne doit pas être obtenu en forçant la main à l’internaute : il doit rester un vrai consentement libre. Le CEPD travaille à des lignes directrices plus précises qui seront publiées ultérieurement.
En savoir plus
- Sur le site de la CNIL : « Consentir ou Payer » : le Comité européen de la protection des données adopte un avis.
2023 : l’année de tous les records
Pour les cinq ans du RGPD, l’activité de la CNIL a été particulièrement élevée selon son rapport d’activité 2023 publié cette semaine. Ainsi, la CNIL a reçu et instruit 16 433 plaintes (+ 35 % par rapport à 2022) et 20 810 demandes d’accès indirect à certains fichiers bancaires ou de police grâce à l’ouverture d’un téléservice dédié (+ 217 %). Son site web a obtenu un record d’audience avec 11,8 millions de visites, notamment à cause d’une progression de 35 % des visites de sa base de questions-réponses « Besoin d’aide », notamment sur des sujets relatifs au fichier national des incidents de paiement (FICP) ou au casier judiciaire.
La CNIL accompagne toujours les entreprises au quotidien. Elle a ainsi produit, en 2023, treize nouveaux documents de référence : cinq nouveaux guides, quatre référentiels, deux recommandations et deux méthodologies de référence pour le secteur de la santé. A cela s’ajoute une démarche d’accompagnement renforcé d’entreprises au fort potentiel et réalisant de grandes innovations potentiellement problématiques, en l’occurrence, en 2023, dans le domaine de l’intelligence artificielle surtout.
Mais la CNIL doit également sanctionner les comportements abusifs. Suite à des plaintes ou des informations publiques, l’autorité administrative indépendante a procédé, en 2023, à 340 contrôles. 42 sanctions ont été prononcées en 2023 (soit deux fois plus qu’en 2022), dont 36 amendes pour un total de 89 179 500 euros. La CNIL a également prononcé 168 mises en demeure, ainsi que 33 rappels aux obligations légales (le premier niveau de sanction). Sur les 42 sanctions, 24, qui ne présentaient pas de difficultés juridiques particulières, ont été prises dans le cadre de la procédure simplifiée.
En savoir plus