« Consentir ou Payer » : le Comité européen de la protection des données adopte un avis
Le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du consentement au traitement des données personnelles à des fins de publicité comportementale dans le contexte des modèles « Consentir ou Payer » déployés par des grandes plateformes en ligne.
Le 17 avril 2024, le CEPD s’est réuni en session plénière. Lors de cette séance, il a adopté un avis sur le modèle « consentir ou payer » qui porte sur la validité, dans ce contexte, du consentement comme base légale pour le traitement de données personnelles aux fins de publicité comportementale par les grandes plateformes en ligne.
Cet avis fait suite à une demande formulée au titre de l'article 64.2 du règlement général sur la protection des données (RGPD) par les autorités de protection des données néerlandaise, norvégienne et hambourgeoise.
Le CEPD met en avant la nécessité pour ces grandes plateformes de donner un véritable choix aux utilisateurs, ce qui implique que l’alternative payante ne devrait pas être considérée comme la voie à suivre par défaut. Il précise que, dans la plupart des cas, il ne leur sera pas possible de respecter les exigences relatives à un consentement valable si les utilisateurs se voient proposer seulement un choix binaire entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d'une redevance. L’avis invite donc fortement les grandes plateformes à proposer une alternative supplémentaire qui devrait être gratuite et dépourvue de publicité comportementale (par ex. la publicité contextuelle).
Dans son avis, le CEPD précise ainsi les critères à prendre en compte pour l’obtention d’un consentement libre et, en particulier, l’absence de déséquilibre des pouvoirs. Par exemple, le CEPD souligne que les frais facturés ne doivent pas obliger les personnes à donner leur consentement. Les responsables du traitement doivent évaluer, au cas par cas, si un paiement est approprié en tenant compte notamment de leur position sur le marché, de la mesure dans laquelle la personne dépend du service et du public principal du service.
Il souligne également que l'obtention du consentement ne dispense pas les responsables du traitement de démontrer que leur traitement est généralement conforme au RGPD et à ses grands principes (minimisation des données, loyauté, nécessité… - article 5)
Des lignes directrices plus générales sur les modèles « Consentir ou Payer » seront prochainement élaborées par le CEPD.