Le rôle du Comité européen de la protection des données, entre avis consultatifs et décisions contraignantes : nouvel épisode de la saga « Consent or pay »

L’avis 8/2024

Plusieurs autorités de protection des données avaient demandé au Comité européen de la protection des données (CEPD) d’évaluer la conformité au RGPD des politiques déployées par certaines plateformes en matière de consentement au traitement des données personnelles, politiques plaçant les utilisateurs d’un service en ligne devant une alternative cornélienne : accepter le traitement de leurs données à des fins de publicité comportementale ou payer pour accéder audit service (consent or pay). Le CEPD a rendu son avis, le 17 avril 2024 (avis 8/2024) : en substance, il indiquait que cette alternative ne permettait pas de garantir un consentement libre au sens de l’article 4, point 11, du RGPD et suggérait la mise en place d’une option gratuite sans publicité personnalisée (ce qui n’interdit pas nécessairement toute publicité).

Toutefois, l’avis était nuancé en ce qu’il précisait que l’appréciation du caractère libre du consentement devait s’effectuer au cas par cas. Il énumérait un certain nombre d’éléments à prendre en compte dans le cadre de cette appréciation : le caractère essentiel du service (apprécié dans le cadre de la vie sociale ou professionnelle), le coût de l’option payante, le nombre de finalités de traitement acceptées, l’existence d’un déséquilibre entre l’utilisateur et le responsable de traitement. Avec ce dernier point, le CEPD introduisait dans le RGPD, et de façon remarquable, une notion qui en était absente, celle de « grande plateforme en ligne ». La notion est loin d’être inconnue puisqu’elle occupe une place centrale au sein du DMA (Règl. [UE] 2022/1925 du Parlement européen et du Conseil du 14 sept. 2022) et du DSA (Règl. [UE] 2022/2065 du Parlement européen et du Conseil du 19 oct. 2022)....