Schibsted passe au « Pay or Okay » : noyb attaque, et le consentement libre est en jeu

3/6/26
👈 les autres actualités

Le géant nordique des médias Schibsted demande désormais à ses lecteurs de payer pour ne pas être pistés. noyb et le Conseil norvégien des consommateurs viennent de déposer une plainte devant l'autorité norvégienne de protection des données, estimant que ce modèle « Pay or Okay » vide le consentement de toute liberté. Une affaire qui touche le cœur du RGPD et qui concerne directement tout éditeur ou annonceur reposant sur le consentement publicitaire.

Ce qui s'est passé

Schibsted, l'un des plus grands groupes de presse des pays nordiques (Aftenposten, VG, E24, TV4…), a généralisé un système dit « Pay or Okay » sur ses services. Concrètement, le lecteur a le choix : accepter le traitement de ses données personnelles à des fins de publicité personnalisée, ou payer un abonnement supplémentaire — de l'ordre de 39 couronnes norvégiennes par mois — pour y échapper.

L'association noyb, fondée par Max Schrems, s'est associée au Forbrukerrådet (Conseil norvégien des consommateurs) pour déposer une plainte auprès du Datatilsynet, l'autorité norvégienne de protection des données. Les plaignants demandent à l'autorité de déclarer la pratique illégale. Le message de l'autorité elle-même est sans ambiguïté : la vie privée est un droit fondamental, pas un service que l'on devrait payer. Pour le régulateur, un consentement n'a guère de chances d'être « libre » lorsque la seule alternative consiste à débourser de l'argent — particulièrement pour les personnes aux revenus modestes.

Pourquoi c'est important

Le débat ne porte pas sur le prix de l'abonnement, mais sur une notion centrale du RGPD : le caractère libre du consentement. Pour qu'un traitement repose valablement sur le consentement, celui-ci doit être libre, éclairé, spécifique et univoque. C'est précisément ce qu'exige l'article 7 du RGPD sur les conditions applicables au consentement, et la question de savoir si une « taxe vie privée » fausse cette liberté est désormais frontale.

L'enjeu dépasse le seul consentement. Il interroge le choix même de la base légale du traitement : un éditeur qui monétise la publicité ciblée doit fonder ce traitement sur l'une des six bases prévues à l'article 6 du RGPD, et le consentement n'est valable que s'il est réellement consenti. Or le modèle « Pay or Okay » a déjà été désavoué au niveau européen : dans son avis d'avril 2024, le Comité européen de la protection des données (EDPB) a estimé que les grandes plateformes ne pouvaient pas, dans la plupart des cas, s'appuyer sur ce mécanisme pour obtenir un consentement valable.

Cette affaire s'inscrit dans une offensive plus large de noyb contre les pratiques de consentement trompeuses. On retrouve la même logique dans la récente décision autrichienne où la justice a imposé des boutons « Accepter » et « Refuser » d'égale visibilité sur les bannières cookies : à chaque fois, le régulateur sanctionne tout dispositif qui rend le refus plus coûteux — en argent ou en friction — que l'acceptation.

Ce que ça change pour les organisations

Pour les DPO et responsables conformité, trois réflexes s'imposent. D'abord, cartographier les traitements publicitaires reposant sur le consentement et vérifier que le refus est réellement aussi simple et gratuit que l'acceptation. Ensuite, auditer la mécanique de recueil du consentement : une CMP (plateforme de gestion du consentement) bien configurée ne suffit pas si l'architecture des choix pénalise le refus. Enfin, documenter la base légale retenue pour chaque finalité — la traçabilité du raisonnement juridique sera la première chose qu'une autorité examinera en cas de contrôle.

Les médias et plateformes qui envisageaient un modèle « Pay or Okay » comme planche de salut face à la chute des revenus publicitaires devraient temporiser : le risque réglementaire est désormais documenté, à l'échelle européenne comme nationale, et une plainte aboutie en Norvège ferait jurisprudence dans toute la zone EEE.

Ce que Leto pense de cette décision

« Payer pour ne pas être pisté » revient à transformer un droit fondamental en option premium — et c'est exactement ce que le RGPD cherche à empêcher. La position de l'autorité norvégienne est saine : si le seul moyen de refuser le traçage est de sortir sa carte bancaire, le consentement n'est pas libre, il est extorqué. Les organisations qui misent sur ce modèle jouent un jeu dangereux. La vraie conformité ne consiste pas à inventer un péage à la vie privée, mais à repenser un modèle économique qui ne dépende pas du pistage par défaut.

Sources : noyb — Nordic Media Giant Schibsted switches to "Pay or Okay", noyb — EDPB Opinion: Meta cannot rely on "Pay or Okay", Datatilsynet — autorité norvégienne de protection des données.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026