Ce que signifie concrètement le payer-ou-consentir

Une bannière payer-ou-consentir présente à l'utilisateur deux choix lors de sa première visite. Le premier consiste à accepter le suivi et le traitement à des fins de publicité comportementale en échange d'un accès gratuit au contenu. Le second consiste à payer un abonnement récurrent — généralement mensuel — en échange d'une version sans publicité ou sans suivi du même contenu. Le refus des deux options bloque entièrement l'accès. Meta, Le Monde, Der Spiegel, Bild et des dizaines d'éditeurs européens de taille intermédiaire ont déployé des variantes de cette conception depuis 2023.

La théorie juridique veut que le consentement demeure librement donné car l'utilisateur dispose d'une véritable alternative : il peut payer plutôt que consentir. La contre-théorie, que les régulateurs ont de plus en plus entérinée, est que cela ne fonctionne que si l'alternative payante constitue un équivalent réel et proportionné — et que de nombreuses implémentations échouent à ce test.

L'avis de l'EDPB d'avril 2024 et ses suites

Le point de départ de toute analyse en 2026 est l'Opinion 08/2024 de l'EDPB, adoptée en avril 2024 en réponse à une demande des autorités de contrôle néerlandaise, norvégienne et hambourgeoise. L'avis concerne spécifiquement les très grandes plateformes en ligne, mais son raisonnement est désormais appliqué largement aux éditeurs.

L'EDPB a conclu que, dans la plupart des cas, les grandes plateformes ne peuvent pas s'appuyer sur une conception binaire payer-ou-consentir pour obtenir un consentement valide au regard du GDPR. Trois conclusions de l'EDPB sont les plus importantes pour les éditeurs :

• Un choix binaire est rarement suffisant. Lorsque l'alternative au consentement est un abonnement payant qui constitue la seule autre option, le consentement ne sera généralement pas librement donné. Les responsables du traitement devraient envisager de proposer une troisième option n'impliquant ni paiement ni suivi comportemental — telle qu'un niveau de publicité contextuelle.
• Le prix ne doit pas constituer un obstacle dissuasif. Si le prix est fixé si haut que les utilisateurs se sentent fonctionnellement contraints de consentir, le choix est illusoire. Les régulateurs peuvent comparer le tarif au propre ARPU de l'éditeur sur les utilisateurs consentants.
• Le périmètre du traitement doit être limité. Même lorsque le consentement est donné, il ne peut pas légalement couvrir des traitements sans rapport, tels que le partage de données avec des centaines de fournisseurs tiers. Chaque finalité de traitement nécessite toujours sa propre base légale valide.

Position des autorités nationales de protection des données en 2026

Italie — Garante

L'autorité italienne de protection des données a été l'autorité de contrôle la plus active. Dans ses lignes directrices de 2024 et une série de décisions de 2025, le Garante a exigé que les éditeurs proposent une troisième option sans suivi et sans paiement, les règles précises dépendant de la taille et de la position sur le marché de l'éditeur. Les bannières purement binaires sur les sites en langue italienne sont désormais traitées comme présumées non conformes.

Allemagne — DSK

La conférence allemande des autorités de protection des données a publié un document de position fin 2024 qui s'alignait sur l'EDPB sans toutefois aller jusqu'à une interdiction totale. Le DSK exige que l'alternative soit "appropriée" — ce qui signifie que le niveau payant doit offrir un accès comparable au contenu, que le prix doit être objectivement justifiable, et que toute alternative gratuite proposée doit être réellement utilisable. Plusieurs Landesdatenschutzbeauftragte ont depuis ouvert des enquêtes visant des éditeurs spécifiques.

Norvège — Datatilsynet

La Norvège a adopté la position la plus ferme. Dans une déclaration de 2025, le Datatilsynet a indiqué que pour la plupart des éditeurs d'intérêt général, aucune conception payer-ou-consentir ne produira un consentement valide au regard du GDPR. Les éditeurs norvégiens optent de plus en plus par défaut pour la publicité contextuelle ou des flux hybrides contextuel-plus-consentement.

France — CNIL

La position de la CNIL est plus pragmatique mais en évolution. La France autorise le payer-ou-consentir en principe, mais a publié en 2025 des critères portant sur la raisonnabilité du prix, le périmètre du suivi dans le cadre de l'option de consentement, et la question de savoir si le refus permet réellement un accès continu par des voies alternatives.

À quoi ressemble une implémentation conforme en 2026

Le payer-ou-consentir n'est pas mort, mais il ne survit que lorsqu'il est conçu avec soin. Les éditeurs qui souhaitent maintenir ce flux actif doivent évaluer quatre dimensions de conception.

Ajouter une troisième option

Le changement le plus important depuis l'avis de l'EDPB est l'ajout d'un troisième choix : l'accès gratuit avec de la publicité contextuelle et sans suivi comportemental. Cette troisième option n'a pas besoin d'être la valeur par défaut — elle peut se trouver à un clic de plus que "Accepter" et "S'abonner" — mais son existence transforme la posture juridique de la bannière. Plusieurs grands éditeurs allemands et italiens ont mis en œuvre ce schéma tout au long de 2025.

Justifier le prix

Documentez la manière dont le prix de l'abonnement a été fixé. Comparez-le au propre ARPU de l'éditeur sur les utilisateurs consentants, aux produits d'abonnement comparables sur le marché, et au coût marginal de servir le trafic non tracké. Un prix plusieurs fois supérieur à l'ARPU des utilisateurs consentants est le chemin le plus rapide vers une décision réglementaire défavorable.

Réduire le périmètre du consentement

Auditez ce à quoi les utilisateurs consentent réellement dans le cadre du chemin "Accepter". L'avis de l'EDPB est explicite : le consentement ne peut pas regrouper des finalités sans rapport entre elles. Si votre chaîne TCF recense 300 fournisseurs et une douzaine de finalités sans rapport, le consentement est vulnérable avant même que la question du payer-ou-consentir ne soit atteinte. Réduisez la liste des fournisseurs, séparez les finalités dans la mesure du possible, et proposez des contrôles granulaires plutôt qu'un seul bouton Tout-Accepter.

Respecter la facilité de retrait

Rendez le retrait du consentement aussi facile que l'octroi initial. La CNIL et le Garante ont tous deux sanctionné des éditeurs dont les procédures de résiliation d'abonnement étaient sensiblement plus difficiles que l'inscription initiale. La même logique s'applique désormais au consentement : le chemin pour révoquer doit être identifiable, sans friction, et complet.

Ce qu'il faut surveiller tout au long de 2026

Deux développements en attente vont remodeler ce domaine avant la fin de l'année. Le premier est la décision en attente de l'ECJ sur l'affaire payer-ou-consentir de Meta (renvoyée par le DSB autrichien), qui donnera le premier arrêt contraignant à l'échelle de l'UE sur la légalité du dispositif. Le second est l'examen par la Commission européenne de l'interaction du GDPR avec le Digital Markets Act et le Digital Services Act, qui étudie si les très grandes plateformes en ligne devraient faire face à des règles plus strictes que les éditeurs plus modestes — une position que l'EDPB a laissé entendre sans l'établir formellement.

En attendant ces décisions, la posture la plus sûre pour l'éditeur est celle que les régulateurs ont déjà annoncée : proposer une troisième option sans suivi, maintenir des prix objectivement justifiables, limiter le périmètre du consentement aux finalités réellement connexes, et rendre le retrait aussi facile que l'octroi initial. Les éditeurs qui réunissent ces quatre conditions maintiendront leurs flux payer-ou-consentir actifs ; les autres seront de plus en plus susceptibles de faire l'objet de mesures d'exécution.