Pay or Consent : l’Europe en ordre de bataille

Le Pay or Consent (Payer ou Consentir) gagne du terrain en Europe. Depuis novembre 2023, Meta a franchi un nouveau cap en imposant ce système sur Instagram et Facebook. Dès lors, des millions d'utilisateurs européens sont confrontés à un dilemme : céder leurs données personnelles ou passer à la caisse. Mais cette stratégie est-elle conforme aux règles strictes du RGPD, ou s’agit-il d’une dérive dangereuse menaçant les droits fondamentaux ? Le cabinet d’avocats Touati La Motte Rouge fait le point.

Pay or Consent : de quoi parle-t-on ?

Le "Pay or Consent" est une pratique controversée dans le domaine des plateformes numériques et des services en ligne. Elle consiste à proposer aux utilisateurs deux options :

• Payer afin d’accéder au contenu ou au service en ligne sans partager ses données à caractère personnel et sans publicités comportementales.
• Consentir à partager ses données personnelles et à accepter des publicités comportementales en échange de l’accès gratuit au service.

La pratique du "Pay or Consent" trouve ses racines dans le modèle économique de nombreuses entreprises numériques (réseaux sociaux, plateformes de streaming, applications mobiles). Ces dernières monétisent, en effet, leurs services en collectant et en exploitant les données des utilisateurs, notamment à des fins publicitaires.

Pour ces entreprises, il s’agit donc de préserver leur modèle économique basé sur la publicité ciblée, tout en se conformant aux réglementations européennes strictes en matière de protection des données. C’est en tous les cas, la position affichée par Meta, qui depuis novembre 2023, propose aux utilisateurs de Facebook et Instagram ce choix binaire : payer ou accepter la publicité ciblée sur ses plateformes.

Pay or Consent : que dit la loi ?

Le "Pay or Consent" a vite provoqué la colère des groupes européens de défense des consommateurs. Ces derniers dénoncent l'absence de consentement véritable de l'utilisateur confronté à ses deux options. Les chiffres avancés sont éloquents : seuls 3 à 10 % des utilisateurs acceptent d'être suivis sur les réseaux sociaux. Pourtant, ils sont moins de 1 % à accepter de payer pour protéger leurs données.

Quelle est la position de l’UE concernant le Pay or Consent ?

Dans un premier temps, une décision de la CJUE a semblé légitimer l’utilisation du Pay and Consent (4 juillet 2023 - Affaire C-252/21). La haute juridiction a en effet déclaré que “les utilisateurs du réseau social en question doivent disposer de la liberté de refuser individuellement, dans le cadre du processus contractuel, de donner leur consentement à des opérations particulières de traitement de données non nécessaires à l’exécution du contrat sans qu’ils soient pour autant tenus de renoncer intégralement à l’utilisation de ce réseau social en ligne, ce qui implique que lesdits utilisateurs se voient proposer, le cas échéant contre une rémunération appropriée, une alternative équivalente non accompagnée de telles opérations de traitement de données”.

Le groupe Meta a d’ailleurs fondé son argumentation sur cette décision pour légitimer la mise en place de son Pay or Consent. Rappelons toutefois que la Cour s’est prononcée ici dans le cadre d'une affaire sur la conformité de Meta avec le règlement général sur la protection des données (RGPD), et non avec le Digital Market Act (DMA) ou le Digital Service Act (DSA) .

Le 17 avril 2024, c’est au tour du Comité Européen de la Protection des Données (CEPD) de rendre son avis sur le Consent or Pay. Celui-ci ne remet pas en cause cette pratique de manière absolue, à condition :

• Que la demande de paiement soit réellement appropriée : pour évaluer ce point, la plateforme doit tenir compte de sa position sur le marché, de la dépendance de l’utilisateur par rapport au service, ou encore du type de public visé ;
• Que l’utilisateur dispose effectivement “d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice” ;
• Que la plateforme respecte, par ailleurs, l’ensemble des principes du RGPD.

Le CEPD constate toutefois que, dans la plupart des cas, la mise en œuvre du Consent or Pay par les plateformes ne permet pas de répondre aux exigences d’un consentement réellement libre et inconditionné. Le Comité propose donc l’ajout d’une troisième option gratuite et dépourvue de publicité comportementale ciblée.

La Commission européenne s'est finalement saisie de l'affaire et a rendu son avis préliminaire le 1er juillet 2024. Sa conclusion est sans appel : le modèle lancé par Meta n'est pas conforme au DMA. Elle explique sa position en ces termes : “Ce choix binaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée, mais équivalente des réseaux sociaux de Meta. Pour garantir la conformité avec le DMA, les utilisateurs qui ne donnent pas leur consentement doivent quand même avoir accès à un service équivalent qui utilise moins de données à caractère personnel, en l'occurrence pour la personnalisation de la publicité”. La Commission ajoute, par ailleurs, que “le modèle ne permet pas aux utilisateurs d'exercer leur droit de consentir librement à la combinaison de leurs données personnelles en ligne”.

Pour l’heure, Meta doit soumettre ses arguments à la Commission européenne pour contrer son argumentation. Une décision définitive est attendue le 25 mars 2025.

Si la position préliminaire de la Commission devait être confirmée, Meta pourrait se voir infliger une amende pouvant aller jusqu'à 10 % de son chiffre d'affaires mondial annuel (20 % en cas d'infraction répétée). La Commission pourrait également adopter des mesures correctives supplémentaires.

Quelles sont les préoccupations juridiques liées au Pay or Consent ?

Tel qu’il existe actuellement, le modèle de Pay or Consent de Meta (et d’autres plateformes) soulève de très nombreuses préoccupations.

Des doutes légitimes sur le consentement des utilisateurs

L'un des principaux problèmes du Pay or Consent réside dans la question du consentement. Pour qu’il soit valide selon les normes fixées par le RGPD, le consentement doit être donné librement, de manière spécifique, éclairée, et sans ambiguïté. Or, lorsque l'utilisateur est contraint de choisir entre payer pour un service ou céder ses données personnelles, on peut questionner la réelle liberté de ce choix. En d'autres termes, ce consentement est souvent perçu comme "forcé". Il apparaît, en effet, comme une sorte de chantage numérique qui oblige l'utilisateur à renoncer à sa vie privée pour éviter des frais financiers.

Prenons l'exemple d'une plateforme de streaming de vidéos. Celle-ci peut offrir un accès gratuit à ses contenus, à condition que l'utilisateur consente à ce que ses données de visionnage et de navigation soient collectées et utilisées à des fins publicitaires. Pour éviter cette collecte, l'utilisateur a la possibilité de souscrire à un abonnement payant. Dans ce cas, l'utilisateur n'a pas de réelle alternative libre, car le choix est limité à deux options toutes deux désavantageuses pour lui. Cette taxe de confidentialité, comme certains la surnomme, va donc à l'encontre du droit européen, qui considère que le consentement doit exprimer la libre volonté des utilisateurs.

Par ailleurs, l’utilisateur, qui opte pour la version gratuite, peut avoir l’impression que cette gratuité lui impose seulement une collecte de données à des fins de publicité ciblée. Or, dans les faits, bien d’autres traitements sont réalisés par les plateformes.

Parallèlement, l’utilisateur qui décide de payer un abonnement pourrait légitimement penser qu’aucune collecte de données ne sera effectuée. C’est évidemment faux. Le paiement lui permet simplement d’échapper aux publicités comportementales. Dans le cas de Meta, par exemple, des traçages cachés ne sont donc pas à exclure, l’étendue des limites de la collecte n’étant pas clairement indiquée.

Une marchandisation de la vie privée préjudiciable

La mise en place du Pay or Consent remet en cause la protection de la vie privée en tant que droit fondamental. Ce droit appartient à tous, peu importe son milieu social, ses capacités économiques ou ses origines. Or, le coût de l'abonnement exclut de fait les utilisateurs à faible revenu. La protection de la vie privée devient donc un privilège, réservé à ceux qui ont les moyens financiers de contrôler leurs données. Cette situation engendre une inégalité dans l'accès à la protection des données et accentue les inégalités socio-économiques.

Exemple : un site d'actualités peut offrir deux versions de son contenu, une version gratuite, avec un traçage intensif des données de lecture pour des publicités comportementales, et une version sans publicité moyennant un abonnement mensuel. Les utilisateurs à faible revenu n'ont souvent pas d'autres choix que de "payer" avec leurs données personnelles.

Le chiffre à retenir : en moyenne, si les plateformes généralisent le Pay or Consent, on estime que chaque Français devrait s’acquitter de 8 815,80 € par an pour assurer la protection de sa vie privée, soit plus de 35 000 € annuel pour une famille de 4 personnes (pour une moyenne de 35 applications par téléphone).

Cette marchandisation risque, par ailleurs, de pousser les acteurs à donner la priorité à la collecte de données et à la monétisation, plutôt qu'au respect de la vie privée des utilisateurs.

Le pay or Consent : un danger réel pour Internet

Le Pay or Consent favorise aussi une dynamique qui risque d'uniformiser le paysage en ligne et de réduire l'accès à une variété de contenus.

Il contribue, en effet, à la concentration du pouvoir entre les mains des grands acteurs. Le modèle Pay or Consent est principalement adopté par des plateformes qui disposent déjà d'une position dominante sur le marché. Cela leur permet de capter une grande partie des revenus, en imposant leurs propres conditions d'accès aux services. Les petits éditeurs ou sites indépendants, qui n'ont pas les mêmes ressources pour offrir des options payantes ou garantir un consentement clair et informé, se trouvent désavantagés. Les sites indépendants et les créateurs de contenus, qui ne peuvent pas se permettre de mettre en place une infrastructure sophistiquée de gestion des données ou de paiements, risquent donc de disparaître.

À terme, cette situation risque de conduire à une homogénéisation des contenus disponibles. Seules les plateformes les plus importantes et les plus rentables peuvent, en effet, se permettre de maintenir un modèle de Pay or Consent. Cette pratique menace donc la diversité de l'information, des opinions, et des créations disponibles en ligne. Elle contribue à étouffer les contenus alternatifs, les voix minoritaires, et l’innovation.

Un coup d’arrêt de l'Union européenne au Pay or Consent pourrait forcer les plateformes à revoir leurs pratiques et à offrir une alternative dans leurs cookies walls : une option gratuite, sans collecte massive de données et sans publicité comportementale. Le retour à la publicité contextuelle, moins intrusive et plus respectueuse de la vie privée, pourrait être une piste à privilégier. Mais pour les entreprises concernées, cela représente un véritable séisme dans leur modèle économique. La publicité contextuelle est loin d’avoir la même valeur économique que son homologue comportementale.

Dans moins d’un an, nous devrions être fixés sur la légalité du Pay or Consent dans l’Union européenne. En attendant, il convient d’être rigoureux dans l’application du RGPD et du Digital Service Act. N’hésitez pas à contacter les experts TLMR pour mettre votre site Internet en conformité, établir de bonnes pratiques et sécuriser votre activité. Mieux vaut prévenir que risquer des sanctions. Faites le choix de la conformité dès maintenant !