Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Les bannières de cookies font depuis longtemps partie du quotidien, mais leur légitimité juridique reste controversée. La question de savoir si les modèles dits "Pay or Okay" sont compatibles avec le RGPD sont compatibles. Il s'agit du choix entre Consentement dans des traitements de données de grande envergure ou un abonnement payant. Avec son jugement du 13.08.2025, la Cour administrative fédérale autrichienne (Bundesverwaltungsgericht - BVwG) a pour la première fois tracé une ligne claire à ce sujet. Cette décision ne concerne pas seulement les entreprises de médias, mais toutes les entreprises qui misent sur le financement publicitaire numérique.
Contexte de la procédure
La procédure a débuté dans une de noyb - Centre européen pour les droits numériques à l'adresse Plainte au nom d'un utilisateur concerné. Objet de la Plainte était de savoir si les mesures prises par derStandard.at la combinaison de la bannière de cookie et du modèle d'abonnement PUR ("Pay or Okay") constitue une base juridique valable pour les Traitement des données à caractère personnel.
Le reproche de noyb : "Au lieu de donner un véritable choix aux utilisateurs, ceux-ci peuvent soit souscrire un abonnement mensuel au prix actuel de 9,90 €, soit accepter d'être suivis en ligne par des centaines de fournisseurs tiers".
Lors de la procédure en première instance, l'autorité de protection des données (APD) avait repris certains griefs, mais avait en même temps formulé des demandes centrales, notamment concernant l'interdiction des Traitementn'ont pas été traités ou l'ont été de manière limitée. Cela a conduit à une Plainte au BVwG, qui devait procéder à un examen complet des faits et de la situation juridique.
Le BVwG n'a pas seulement dû se pencher sur la recevabilité de Cookies et des technologies de suivi, mais aussi sur les questions de principe du caractère volontaire des consentements et de la légitimité des modèles "consent or pay" ou "pay or okay". La procédure se trouvait donc à l'intersection du financement des médias, de la publicité numérique et du droit européen de la protection des données.
Caractère illicite du traitement des cookies
Dans sa décision, le BVwG s'est penché en détail sur les questions posées par derStandard.at mis en place Cookies et les traitements de données qui y sont liés. Il a précisé que le simple fait de stocker ou de lire des Cookies données à caractère personnel telles que l'adresse IP, les informations relatives au navigateur ou les identifiants uniques, et répondent donc aux RGPD est soumise.
Le tribunal a critiqué de manière centrale le fait que ces traitements pouvaient être effectués même en l'absence d'une autorisation effective et spécifique. Consentement des utilisateurs ont eu lieu. Un simple consentement par le biais de la bannière initiale des cookies ne suffisait pas, car ni une informé décision encore une Différenciation des objectifs possibilité de choix était donnée. Selon le BVwG, il s'agit là d'une violation claire de la loi. Violation contre l'article 6, paragraphe 1, sous a) RGPD.
Le tribunal a ainsi suivi la DSB, qui avait déjà conclu qu'il n'existait pas de Consentement était disponible. Il a rejeté la Plainte du propriétaire du média, dans la mesure où celui-ci avait affirmé la légalité des traitements. Il a notamment été souligné que les données "techniquement non nécessaires" n'avaient pas été traitées. Cookies, par exemple pour Suivi ou à des fins publicitaires, ne peuvent en aucun cas être placées sans autorisation expresse.
En outre, le TAF a souligné l'obligation d'une information complète : les utilisateurs doivent pouvoir identifier clairement quelles données sont traitées et à quelles fins, quels fournisseurs tiers sont impliqués et quelles sont les conséquences d'un refus. Une référence globale à "l'amélioration de l'expérience utilisateur" ou à des formules similaires n'est pas suffisante.
Les constatations du tribunal montrent qu'il ne s'agit pas seulement de la remise formelle d'une Consentement mais de la qualité et de l'efficacité de ce consentement. L'arrêt s'inscrit ainsi dans la jurisprudence antérieure de la CJCE (par ex. Planet49) et concrétise les exigences dans le contexte autrichien.
Exigence de consentement
Le BVwG a élaboré de manière très détaillée ce que RGPD et de la jurisprudence de la CJCE à une norme valable Consentement de la société. Il ne suffit pas que les utilisateurs acceptent en un seul clic toutes les finalités possibles. Il faut plutôt que la Consentement être informées, spécifiques, volontaires et claires.
Le tribunal a notamment souligné
- Séparation des objectifs : Pour chaque finalité de traitement - par exemple, l'analyse web, le traitement personnalisé des données, etc. Publicité, plug-ins de médias sociaux - un opt-in spécifique est nécessaire. Un "consentement général" est contraire aux art. 6 et 7 RGPD.
- Transparence: Les utilisateurs doivent savoir à l'avance, dans un langage clair et compréhensible, quelles données seront traitées, avec quels moyens, par quels responsables et dans quel but. Des formules vagues telles que "améliorer l'expérience de l'utilisateur" ne suffisent pas.
- Révocabilité : Une Consentement doit pouvoir être révoquée à tout moment aussi facilement qu'elle a été accordée.
- Obligation de documentation : Le site Responsable a la charge de la preuve qu'une procédure efficace Consentement est disponible.
Dans ce contexte, le BVwG a fait référence aux arrêts Planet49 (C-673/17) et TC-String (C-604/22) de la CJCE. Ces deux arrêts illustrent le fait qu'un modèle "tout ou rien" ne répond pas aux exigences de volontariat et de granularité. La jurisprudence autrichienne reprend ces critères et exige que les utilisateurs disposent d'une véritable liberté de choix concernant les différents traitements de données.
Conseil de lecture : La bannière des cookies doit-elle également contenir l'option "Refuser tout" ?
"Pay or Okay" : illégalité du traitement des cookies
Dans sa décision, le BVwG s'est penché en détail sur les questions posées par derStandard.at mis en place Cookies et les traitements de données qui y sont liés. Il a précisé que le simple fait de stocker ou de lire des Cookies données à caractère personnel telles que l'adresse IP, les informations relatives au navigateur ou les identifiants uniques, et répondent donc aux RGPD est soumise.
Le tribunal a critiqué de manière centrale le fait que ces traitements pouvaient être effectués même en l'absence d'une autorisation effective et spécifique. Consentement des utilisateurs ont eu lieu. Un simple consentement par le biais de la bannière initiale des cookies ne suffisait pas, car ni une informé décision encore une Différenciation des objectifs possibilité de choix était donnée. Selon le BVwG, il s'agit là d'une violation claire de la loi. Violation contre l'article 6, paragraphe 1, sous a) RGPD.
Le tribunal a ainsi suivi la DSB, qui avait déjà conclu qu'il n'existait pas de Consentement était disponible. Il a rejeté la Plainte du propriétaire du média, dans la mesure où celui-ci avait affirmé la légalité des traitements. Il a notamment été souligné que les données "techniquement non nécessaires" n'avaient pas été traitées. Cookies, par exemple pour Suivi ou à des fins publicitaires, ne peuvent en aucun cas être placées sans autorisation expresse.
En outre, le TAF a souligné l'obligation d'une information complète : les utilisateurs doivent pouvoir identifier clairement quelles données sont traitées et à quelles fins, quels fournisseurs tiers sont impliqués et quelles sont les conséquences d'un refus. Une référence globale à "l'amélioration de l'expérience utilisateur" ou à des formules similaires n'est pas suffisante.
Les constatations du tribunal montrent qu'il ne s'agit pas seulement de la remise formelle d'une Consentement mais de la qualité et de l'efficacité de ce consentement. L'arrêt s'inscrit ainsi dans la jurisprudence antérieure de la CJCE (par ex. Planet49) et concrétise les exigences dans le contexte autrichien.
Évaluation du modèle "Pay or Okay
Le TAF précise que "Pay or Okay" n'est pas une carte blanche pour des services complets. Suivi. Le caractère volontaire de la Consentement doit être examinée au cas par cas (art. 4 n° 11, art. 7 RGPD(considérants 32, 42 et 43). Le critère déterminant est de savoir si les utilisateurs disposent d'une alternative réelle et non contraignante au traitement des données et si les Consentement est spécifique à chaque objectif.
critère de contrôle du tribunal :
- Une véritable liberté de choix plutôt qu'une contrainte de fait
Pas de conception qui pousse de facto les utilisateurs à cliquer sur "Accepter" (par exemple, friction/temps excessif, chemins de refus cachés, nudging visuel). Les options de refus et d'accord doivent être accessibles de manière équivalente (symétrie de l'interface utilisateur, pas de tromperie). - Granularité de l'objectif également pour l'alternative de paiement
Un parcours d'abonnement ne remplace pas l'obligation d'effectuer des recherches ciblées. Consentement. Il reste interdit de regrouper plusieurs finalités ("consentement général"). - Transparence et informés
Informations claires et compréhensibles sur les catégories de données, les destinataires/fournisseurs tiers, les finalités, la durée de conservation et les conséquences du refus. - Équité de la prestation alternative ("Pay")
La variante payante doit être sérieuse et raisonnable (pas de tarification prohibitive, pas de "lock-in" caché, pas de dégradation fonctionnelle). - Minimisation des données & Affectation des fonds
Même si une autorisation a été accordée Consentement seules les données nécessaires à la finalité peuvent être traitées. Tout autre traitement Suivi est irrecevable.
Application au modèle PUR/"Pay or Okay" de derStandard.at :
Le tribunal reconnaît l'admissibilité de principe des alternatives de paiement, mais conteste leur mise en œuvre concrète :
- Le site Consentement était non granulaire; plusieurs objectifs ont été regroupés de fait.
- Le site Refus était associée à une friction nettement plus élevée que l'accord (asymétrie UI/Flow), ce qui a entraîné une pression pour la Consentement est née.
- Le site Information dans la bannière/le flux était insuffisante. Les utilisateurs ne pouvaient pas connaître la portée et les conséquences des Traitement pas une vue d'ensemble suffisante.
- Le site Alternative de paiement était pas est conçue comme une option équitable à part entière (notamment en raison de la conception du circuit de commande et du lien avec les forfaits).
Conséquence juridique :
En l'absence d'une démarche volontaire et ciblée Consentement s'applique la Traitement à des fins non nécessaires est considéré comme illégal. Le TAF confirme : "Pay or Okay" reste possible, mais exige un niveau de protection élevé. En particulier, une véritable liberté de choix, des opt-ins finement granulaires, des informations transparentes et une alternative de paiement raisonnablement équivalente.
Droits des personnes concernées
Le BVwG a précisé que concernés personnes après la RGPD disposent d'un large éventail de droits, qui vont même au-delà des plaintes individuelles. Ainsi, ils peuvent non seulement obtenir des informations, Rectification, Suppression ou restriction de la Traitement demandent à ce que les choses soient faites. Sur la base de l'art. 80 RGPD ils peuvent également se faire représenter par des organismes tels que des ONG.
Dans la présente procédure, le tribunal a confirmé que noyb avait Plainte pouvait valablement être introduite au nom de la personne concernée. L'objection de la partie adverse selon laquelle cela constituait un abus de droit a été expressément rejetée. Le BVwG a ainsi renforcé le rôle des organisations de la société civile dans la mise en œuvre des droits en matière de protection des données.
Le jugement met en évidence que Personnes concernées ne dépendent pas uniquement de leurs ressources individuelles, mais puissent bénéficier du soutien d'organismes spécialisés. Cela devrait garantir que même les violations complexes ou structurelles de la protection des données puissent être poursuivies efficacement.
Clarification finale de "Pay or Okay" devant la CJCE ?
Un recours contre le jugement a été déposé. Révision devant la Cour administrative (VwGH) possible En outre, une Saisine de la CJCE n'est pas exclue. Ainsi, la classification en droit de l'Union, notamment en ce qui concerne les exigences en matière de volontariat et de granularité de la finalité du "pay or okay", reste potentiellement susceptible d'être clarifiée.
Importance pour la pratique et l'entreprise
Le jugement va bien au-delà du cas particulier et a valeur de signal pour un grand nombre de secteurs qui ont recours à la publicité en ligne, Suivi et des modèles d'abonnement. Il met en évidence le fait que les consentements purement formels sans véritable liberté de choix ne sont plus viables et que les autorités de surveillance ainsi que les tribunaux examinent de près la qualité des processus de consentement.
Pour Entreprises de médias cela signifie qu'ils doivent non seulement revoir leurs bannières de cookies, mais aussi tous les modèles de financement hybrides et les réorganiser. Les offres PUR ou "consent or pay" devront à l'avenir être conçues de manière à offrir une alternative équitable et raisonnable au traitement des données, sans exercer de contrainte de fait sur le consentement.
Plateformes de gestion du consentement sont confrontés à la tâche de mettre à disposition des possibilités d'opt-in différenciées et liées à un but précis, tant sur le plan technique que sur celui de la convivialité. Ils doivent développer des interfaces qui mettent sur un pied d'égalité le refus et le consentement et rendent transparente la granularité des consentements.
Autorités de surveillance reçoivent avec cet arrêt une ligne directrice claire : les plaintes doivent être examinées de manière approfondie, les demandes d'interdiction de traitement doivent être évaluées sérieusement et les directives de la CJUE doivent être appliquées de manière conséquente dans les procédures nationales.
Enfin, l'arrêt montre également pour Pratique de la conformité dans les entreprisesNous sommes convaincus que les modèles commerciaux conformes à la protection des données seront à l'avenir encore plus axés sur une véritable liberté de choix, Transparence et la traçabilité. Cela ne concerne pas seulement les entreprises de médias, mais aussi le commerce électronique, les opérateurs de plateformes et les développeurs d'applications qui utilisent des modèles comparables.
Nous soutenons la mise en œuvre de stratégies de consentement conformes à la loi.
Dans l'ensemble, le jugement met un terme aux zones d'ombre juridiques et donne une orientation claire aux futurs modèles commerciaux dans l'espace numérique. Les entreprises devraient prendre cette tendance au sérieux et investir à temps dans des solutions conformes à la protection des données.
Source : Arrêt de la Cour administrative fédérale autrichienne du 13.08.2025 (W 291 2272970 1/30E)
Si vous avez besoin d'aide pour mettre en place des stratégies de consentement conformes à la loi et des modèles "Pay or Okay", contactez-nous. Avec Ailance® nous proposons la solution parfaite qui allie convivialité et sécurité juridique.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French