RGPD : peut-on bloquer l’accès à un site pour refus de cookies ?

Empêcher un internaute d’accéder à un site web parce qu’il refuse d’être suivi n’est pas conforme au RGPD.

C’est la conclusion de l’Autoriteit Persoonsgegevens.

L’homologue néerlandaise de notre Cnil estime qu’une telle pratique ne permet pas un « consentement libre » des utilisateurs.

Ces derniers ne peuvent, en l’occurrence, décliner les cookies et autres dispositifs de pistage sans faire face à des « conséquences négatives ». Nommément, l’impossibilité de poursuivre la navigation.

L’Autoriteit Persoonsgegevens a averti « les principales organisations concernées ». Elle entend renforcer ses contrôles dans les prochains mois.

RGPD ou ePrivacy ?

L’IAB (International Advertising Bureau) voit les choses autrement.

L’organisation référente dans la publicité sur Internet affirme que le RGPD n’interdit pas explicitement de conditionner l’accès à un service au consentement des utilisateurs.

Elle considère même que la directive « vie privée et communications électroniques » (« ePrivacy », datée de 2002 ; en cours de révision) s’impose.

D’après sa lecture du texte, le considérant 25 établit le que le consentement éclairé à un dispositif de suivi peut être requis pour accéder à un contenu web spécifique, si ce dispositif est exploité à une fin légitime.

Il peut notamment s’agir de faciliter la fourniture de services de la société de l’information. Ces derniers sont décrits dans le droit européen comme des services « fournis à distance, par voie électronique, à la demande individuelle d’un destinataire ».

On pourra argüer qu’il n’est pas question ici d’accéder à un contenu web spécifique, mais à tout un site. Sur ce point, l’IAB invoque le droit à la propriété : l’éditeur d’un site internet peut choisir de ne pas l’ouvrir à tout le monde.

Photo d’illustration © wavebreakmedia – Shutterstock.com