Rendez-vous sur presque n’importe quel site européen aujourd’hui, et vous buterez sur un obstacle avant même d’apercevoir le moindre mot de contenu. Pas un paywall classique, mais quelque chose de plus étrange : une bannière « consentement ou paiementUn modèle économique web où les utilisateurs doivent soit accepter les cookies de suivi et la collecte de données, soit payer un abonnement pour accéder au contenu sans suivi.[s] » qui vous somme soit d’accepter un pistage publicitaire intrusif, soit de sortir votre carte bancaire. Le patron nous a demandé d’enquêter sur la légalité de ce système, et franchement, la réponse est plus révoltante que les bannières elles-mêmes.
Ce que signifie vraiment le modèle « consentement ou paiement »
Le principe est simple. Un site bloque l’accès à son contenu et vous propose deux boutons : « Accepter » (ce qui active les cookies de pistage, le profilage comportementalLa pratique d'analyser l'activité des utilisateurs sur différents sites web pour créer des profils détaillés pour la publicité ciblée. et la publicité ciblée) ou « S’abonner » (soit payer un abonnement mensuel, souvent entre trois et treize euros, pour naviguer sans être pisté). Il n’y a pas de troisième option. Votre vie privée a un prix.
L’association de défense des droits numériques noyb a constaté que ces systèmes de consentement ou paiement génèrent des taux d’acceptation de 99 % à 99,9 %[s], alors que les études montrent que seulement 0,16 % à 7 % des internautes souhaitent réellement être pistés. Cet écart résume toute l’histoire : presque personne ne choisit le pistage par conviction. On le choisit parce que l’alternative coûte de l’argent qu’on ne veut pas dépenser pour un site qu’on visitera peut-être une seule fois.
Comment en est-on arrivé là depuis 2010 ?
En 2010, Internet ne ressemblait en rien à ce qu’il est aujourd’hui. Les cookies existaient, bien sûr. Ils dataient du milieu des années 1990, inventés comme un mécanisme simple permettant aux serveurs web de distinguer un navigateur d’un autre[s]. On pouvait les supprimer à tout moment. Aucune fenêtre pop-up ne mendiait votre consentement, aucun paywall ne dépendait de vos préférences en matière de vie privée. On surfait, tout simplement.
Le problème a commencé avec de bonnes intentions. La directive ePrivacy de l’UE, adoptée initialement en 2002 et modifiée en 2009[s], a introduit l’obligation pour les sites web d’obtenir un consentement avant de placer des cookies non essentiels sur votre appareil. L’objectif était de protéger les internautes contre un pistage invisible. Le résultat a été la première vague de bannières de cookies, agaçantes mais offrant au moins un véritable choix oui ou non.
Puis est arrivé le Règlement général sur la protection des données (RGPD) en 2018, qui a encore renforcé les exigences en matière de consentement. Les sites web ne pouvaient plus enterrer une case « J’accepte » pré-cochée dans leurs conditions générales. Le consentement devait être libre, spécifique, éclairé et sans ambiguïté. Sur le papier, c’était un progrès. En pratique, cela a déclenché une course aux armements entre les régulateurs, qui écrivaient des règles toujours plus strictes, et les entreprises, qui trouvaient des moyens toujours plus créatifs de les contourner.
Le modèle consentement ou paiement a été la dernière astuce en date. Des journaux autrichiens et allemands l’ont expérimenté les premiers, et en novembre 2023, Meta l’a adopté pour Facebook et Instagram dans toute l’Europe, après que la plus haute juridiction de l’UE a indiqué que le consentement était la seule base légale[s] pour sa publicité ciblée.
Tout cela est-il vraiment légal ?
Cela dépend à qui vous posez la question, et de la taille de l’entreprise. En avril 2024, le Comité européen de la protection des données (CEPD) a publié l’Avis 08/2024[s], qui stipule que pour les grandes plateformes en ligne, les modèles de consentement ou paiement « ne seront pas possibles » pour se conformer aux exigences du RGPD en matière de consentement « dans la plupart des cas ». La présidente du CEPD l’a dit sans détour : « Les responsables de traitement doivent veiller à tout moment à ne pas transformer le droit fondamental à la protection des données en une fonctionnalité que les individus doivent payer pour exercer. »
Pour Meta en particulier, la Commission européenne est allée plus loin. En avril 2025, elle a infligé à Meta une amende de 200 millions d’euros[s] pour violation du Digital Markets Act avec son modèle de consentement ou paiement. Le raisonnement de la Commission était simple : un service payant ne peut être une alternative équivalente à un service historiquement gratuit[s], car les conditions d’accès sont fondamentalement différentes.
Mais voici le piège : cela ne signifie pas que le modèle consentement ou paiement est interdit purement et simplement. Les petits éditeurs et sites d’information l’utilisent encore, et certains régulateurs nationaux en Autriche, en France et aux Pays-Bas ont laissé entendre qu’il pourrait être acceptable s’il était mis en œuvre équitablement, avec des tarifs raisonnables et sans design manipulateur. L’avis du CEPD visait spécifiquement les grandes plateformes, et des lignes directrices plus larges sont encore en cours d’élaboration.
Peut-on revenir à l’Internet de 2010 ?
Pas vraiment. L’infrastructure de pistage qui rend le modèle consentement ou paiement rentable n’existait pas en 2010. Aujourd’hui, chaque éditeur de site web, application mobile et marque publicitaire participe à des systèmes d’enchères en temps réel[s] pour diffuser des publicités personnalisées. Cet écosystème génère des revenus qui financent l’Internet gratuit tel que nous le connaissons. Le démanteler nécessiterait soit un nouveau modèle économique pour le contenu en ligne, soit un niveau de régulation qui n’existe pas encore.
La proposition Digital Omnibus de l’UE, publiée en novembre 2025, tente d’atténuer la douleur. Elle déplacerait les règles relatives aux cookies entièrement dans le cadre du RGPD, créerait des signaux de consentement basés sur les navigateurs[s] pour que vous définissiez vos préférences une seule fois et que les sites les respectent automatiquement, et interdirait de redemander le consentement pendant six mois[s] après un refus. Mais la Commission elle-même admet que la lassitude face aux bannières de cookies est un problème dont la solution est « attendue depuis longtemps »[s], et les analystes juridiques estiment que la fin tant attendue des bannières de cookies n’est pas encore en vue[s].
Le système basé sur les navigateurs semble prometteur, mais les normes techniques n’existent pas encore et ne seront pas obligatoires avant 2028 au plus tôt. Même le calendrier optimiste place l’adoption complète du Digital Omnibus en 2027.
Ce que cela signifie pour vous
Pour l’instant, vous êtes coincé avec les bannières de consentement ou paiement sur de nombreux sites européens. Le meilleur conseil pratique : utilisez un navigateur qui bloque les cookies tiers par défaut (Firefox et Safari le font déjà), installez un bloqueur de contenu, et sachez que cliquer sur « Accepter » dans un mur de consentement ou paiement signifie que vous acceptez d’être profilé sur le web à des fins publicitaires. Si un site refuse de vous laisser entrer sans pistage ou paiement, demandez-vous si le contenu en vaut vraiment le prix.
L’Internet de 2010 ne reviendra pas. Mais celui de 2028 pourrait être marginalement moins hostile, si l’UE parvient à mener à bien ce qu’elle a commencé.
Le modèle consentement ou paiementUn modèle économique web où les utilisateurs doivent soit accepter les cookies de suivi et la collecte de données, soit payer un abonnement pour accéder au contenu sans suivi., parfois appelé « pay or okay », représente la dernière et sans doute la plus sophistiquée des tentatives pour concilier les exigences de consentement du RGPD avec les réalités économiques de l’édition numérique financée par la publicité. Le responsable de cette publication nous a demandé de retracer comment ce mécanisme est devenu juridiquement viable, et l’archéologie réglementaire révèle un système que personne n’a conçu intentionnellement.
Consentement ou paiement : origines réglementaires
L’échafaudage juridique commence avec la directive ePrivacy de 2002, modifiée en 2009[s], qui a fait passer la gouvernance des cookies d’un régime d’opt-out à un régime d’opt-in. L’article 5Clause de défense collective de l'OTAN dans le Traité de l'Atlantique Nord. Stipule qu'une attaque armée contre un État membre est considérée comme une attaque contre tous, déclenchant une réponse militaire collective.(3) de la directive modifiée exigeait un consentement préalable et éclairé pour tous les cookies non essentiels. La mise en œuvre a été inégale entre les États membres, et l’interaction de la directive avec le RGPD (arrivé en 2018) a créé un problème de double régulation : le placement des cookies régi par ePrivacy, le traitement des données personnelles régi par le RGPD, avec des exigences de consentement qui se chevauchent sans être identiques.
Le modèle consentement ou paiement est né de cette faille réglementaire. Les éditeurs, confrontés à une baisse des revenus publicitaires et à une hausse des coûts de conformité, ont reconnu que le consentement au titre de l’article 6(1)(a) du RGPD, s’il était obtenu, fournissait la base légale la plus claire pour la publicité comportementale. La question était de savoir comment maximiser les taux de consentement sans violer l’exigence de « librement donné » de l’article 4(11). Des éditeurs de presse autrichiens et allemands ont été les pionniers du modèle binaire : consentir au pistage ou payer un abonnement. L’approche s’est rapidement répandue, et fin 2023, Meta l’avait adoptée pour Facebook et Instagram dans toute l’EEE.
La réponse de la CJUE et du CEPD
La réaction juridique est venue sur deux fronts. D’abord, en juillet 2023, la Cour de justice de l’Union européenne a statué dans l’affaire C-252/21 (Meta Platforms c/ Bundeskartellamt) que le consentement était la seule base légale appropriée pour la publicité comportementale de Meta, basée sur le pistage et le profilage[s]. L’arrêt a démantelé les tentatives successives de Meta de s’appuyer sur la nécessité contractuelle (article 6(1)(b)) et l’intérêt légitime (article 6(1)(f)), forçant de facto l’entreprise à adopter un traitement basé sur le consentement. Le militant de la protection de la vie privée Max Schrems a qualifié cette décision de « jour de l’effondrement du RGPD pour Meta »[s], arguant que la Cour avait fermé toutes les échappatoires que les avocats de Meta avaient exploitées pendant cinq ans.
Ensuite, en avril 2024, le CEPD a adopté l’Avis 08/2024[s], qui abordait directement le modèle consentement ou paiement. Le Comité a conclu que pour les grandes plateformes en ligne, un choix binaire entre consentir à la publicité comportementale et payer une redevance « ne sera pas possible » pour satisfaire aux exigences de validité du RGPD « dans la plupart des cas ». L’Avis appliquait quatre critères : la conditionnalité, le préjudice, le déséquilibre de pouvoir et la granularité. Sur chacun de ces points, les grandes plateformes dotées de positions dominantes et d’une base d’utilisateurs captive se heurtaient à des obstacles quasi insurmontables pour démontrer un consentement librement donné.
Le CEPD a recommandé que les plateformes proposent une « alternative équivalente » ne nécessitant pas de paiement, comme la publicité contextuellePublicité en ligne basée sur le contenu d'une page web plutôt que sur le suivi des utilisateurs ou les données comportementales. avec un traitement minimal des données personnelles. Il ne s’agissait pas d’une interdiction générale du modèle consentement ou paiement ; les petits éditeurs sans position dominante pourraient potentiellement satisfaire aux critères. Mais l’Avis a tracé une trajectoire claire.
La dimension DMA et l’amende de 200 millions d’euros infligée à Meta
La Commission européenne a attaqué le modèle consentement ou paiement sous un angle différent : le droit de la concurrence. En avril 2025, la Commission a infligé à Meta une amende de 200 millions d’euros[s] au titre du Digital Markets Act pour son modèle de consentement binaire sur Facebook et Instagram. Le raisonnement juridique reposait sur l’article 5(2) du DMA, qui exige des contrôleurs d’accès qu’ils présentent aux utilisateurs un « choix spécifique » incluant une « alternative équivalente » au consentement au traitement des données personnelles à des fins publicitaires.
La position de la Commission était que un service payant ne peut être équivalent à un service historiquement gratuit[s], car les conditions d’accès sont fondamentalement différentes. Ce raisonnement a importé les principes de consentement du RGPD dans l’application du droit de la concurrence, créant une tenaille réglementaire : même si un modèle consentement ou paiement survivait à un examen au regard du RGPD, il pourrait encore échouer au titre du DMA pour les contrôleurs d’accès.
L’argument empirique contre ce modèle est accablant. Le rapport 2025 de noyb[s] a documenté que les systèmes de consentement ou paiement produisent des taux de consentement de 99 % à 99,9 %, tandis que des études indépendantes montrent une volonté réelle d’accepter le pistage comprise entre 0,16 % et 7 %. Le même rapport a révélé que les éditeurs gagnent en moyenne 0,24 euro par utilisateur et par mois grâce à la publicité programmatiqueAchat et vente automatisés de publicités numériques utilisant des algorithmes et les enchères en temps réel, permettant aux annonceurs d'atteindre des audiences spécifiques à grande échelle avec une intervention humaine minimale., tandis que l’option « paiement » coûte généralement 3,24 euros par utilisateur et par mois, soit une majoration de plus de 1 000 %. La publicité numérique représente environ 10 % des revenus de la presse dans son ensemble, et la publicité ciblée spécifiquement environ 5 %, ce qui signifie que le modèle consentement ou paiement augmente les revenus totaux de la presse d’environ 0,82 % en moyenne.
Le précédent autrichien et la granularité
Un développement parallèle au niveau national complique le tableau. En août 2025, le Tribunal administratif fédéral autrichien a statué contre le journal DER STANDARD, estimant que le consentement global à des finalités de traitement groupées violait le principe de granularité du RGPD[s]. Le tribunal n’a pas rejeté en soi le modèle consentement ou paiement, mais a jugé que sa mise en œuvre « tout ou rien », où accepter signifie consentir simultanément à toutes les finalités de traitement, était invalide. Cela suggère une voie à suivre pour les éditeurs prêts à offrir des options de consentement granulaire dans le cadre d’un modèle consentement ou paiement, permettant par exemple aux utilisateurs d’accepter les analyses tout en rejetant la publicité comportementale.
Le Digital Omnibus : réforme sans révolution
La proposition Digital Omnibus de la Commission européenne, publiée en novembre 2025, représente la tentative la plus complète à ce jour pour résoudre les problèmes structurels à l’origine du phénomène consentement ou paiement. Les mesures relatives aux cookies incluent : le transfert de la réglementation des cookies de la directive ePrivacy vers le RGPD via un nouvel article 88a ; des signaux de consentement basés sur les navigateurs permettant aux utilisateurs de définir leurs préférences une seule fois[s] ; un délai de carence de six mois[s] empêchant les demandes répétées de consentement après un refus ; et des exemptions étroites pour les cookies de sécurité et les analyses agrégées de première partie.
La Commission elle-même a reconnu que « la lassitude face au consentement et la prolifération des bannières de cookies » constituent un problème dont la solution réglementaire est « attendue depuis longtemps »[s], une admission remarquable pour un cadre largement créé par le droit de l’UE. Cependant, l’analyse juridique d’Osborne Clarke conclut que la fin tant attendue des bannières de cookies n’est pas encore en vue[s]. Les cookies marketing nécessiteront toujours un consentement. Le mécanisme basé sur les navigateurs dépend de normes techniques qui n’existent pas encore et ne seront pas obligatoires avant 2028 environ. La proposition exempte explicitement les fournisseurs de services de médias du respect des signaux de consentement automatisés, une dérogation qui privilégie les revenus publicitaires des éditeurs par rapport aux préférences des utilisateurs.
Évaluation : des tensions structurelles persistent
Le modèle consentement ou paiement met en lumière une tension fondamentale dans la réglementation numérique européenne. Le RGPD exige un consentement librement donné pour le traitement des données. L’Internet financé par la publicité exige ce traitement pour survivre économiquement. Le modèle consentement ou paiement tente de combler cet écart en monétisant le refus du consentement, ce qui ne satisfait ni les défenseurs de la vie privée (qui y voient une coercition) ni les éditeurs (qui gagnent marginalement plus tout en faisant face à une insécurité juridique dans 27 États membres aux interprétations divergentes).
La réponse réglementaire a été fragmentée. Le CEPD vise les grandes plateformes mais reporte des orientations plus larges. Le DMA cible les contrôleurs d’accès mais ne s’applique pas à la plupart des éditeurs. Les tribunaux nationaux, comme en Autriche, traitent des détails de mise en œuvre mais pas de la légitimitéL'acceptation et la reconnaissance de l'autorité gouvernementale par la population, basée sur la croyance que le gouvernement a le droit de gouverner. fondamentale du modèle. Et le Digital Omnibus, même s’il est adopté fin 2026, ne produira pas d’alternative fonctionnelle avant 2028 au plus tôt.
L’Internet de 2010, où les cookies étaient des nuisances supprimables plutôt que des instruments d’une économie de surveillance sous-tendue par une infrastructure universelle d’enchères en temps réel[s], n’est pas récupérable par la seule régulation. Ce que la régulation peut faire, et fait lentement, c’est établir que la vie privée est un droit, pas une fonctionnalité premium. Que ce principe survive au contact des réalités économiques de l’édition numérique reste la question déterminante de la politique technologique européenne.
