eta (Facebook et Instagram) interdit d’utiliser les données personnelles à des fins publicitaires. Coup dur pour le modèle économique de Meta en Europe, suite au litige avec la société noyb. Amende pour Meta plus que décuplée, passant de 28 millions € à 390 millions €. Troisième affaire sur WhatsApp en cours.
Comme confirmé par la CPD [NDT : Commission de Protection des Données] irlandaise, le Comité Européen de la Protection des Données (EDPB) a rejeté le contournement du RGPD par la CPD et par Meta sur la base des plaintes de noyb contre Facebook et Instagram. Il est désormais interdit à Meta de contourner le RGPD par le biais d’une clause dans les conditions générales d’utilisation. Meta doit obtenir un consentement de type « opt-in » pour la publicité personnalisée et doit fournir aux utilisateurs une option « oui/non ». La décision sur un troisième cas parallèle concernant WhatsApp est reportée à la mi-janvier.
Faits marquants :
- Deux plaintes déposées par noyb au nom de deux utilisateurs autrichiens et belges le 25 mai 2018 (le jour où le RGPD est devenu applicable) ont été tranchées aujourd’hui.
- Une troisième plainte concernant WhatsApp déposée au nom d’un utilisateur allemand a été reportée à la mi-janvier, selon un courriel de la CPD.
- Meta a tenté de « contourner » l’obligation de consentement prévue par le RGPD en ajoutant une clause aux conditions générales sur la publicité.
- En décembre 2022, l’EDPB a annulé un précédent projet de décision de la CPD irlandaise qui considérait que le contournement du RGPD par Meta était légal.
- La décision finale exige que Meta ne puisse pas utiliser les données personnelles pour des annonces sur la base d’un prétendu « contrat ». Les utilisateurs doivent donc disposer d’une option de consentement oui/non (« opt-in »), faute de quoi Meta ne peut pas utiliser leurs données pour des publicités personnalisées.
- La décision n’interdit pas d’autres formes de publicité (comme les publicités contextuelles, basées sur le contenu d’une page).
- L’utilisation des données personnelles par Meta était illégale depuis mai 2018.
- Les amendes infligées à Facebook et Instagram s’élèvent à 390 millions d’euros. Il faut s’attendre à une amende supplémentaire pour WhatsApp dans le cadre de la procédure parallèle.
Meta voulait « contourner » le RGPD. Le RGPD prévoit six bases juridiques pour le traitement des données, dont l’une est le consentement en vertu de l’article 6, paragraphe 1, point a). Meta a tenté de contourner l’exigence de consentement pour le suivi et la publicité en ligne en faisant valoir que les publicités font partie du « service » qu’elle doit contractuellement aux utilisateurs. Le prétendu changement de base juridique s’est produit exactement le 25 mai 2018 à minuit, lorsque le RGPD est entré en vigueur. La soi-disant « nécessité contractuelle » au titre de l’article 6, paragraphe 1, point b), est généralement interprétée de manière étroite et permet, par exemple, à une boutique en ligne de transmettre l’adresse à un service postal, quand cela est strictement nécessaire pour livrer une commande. Meta, cependant, a estimé qu’elle pouvait simplement ajouter des éléments aléatoires au contrat (comme une publicité personnalisée), afin d’éviter une option de consentement oui/non pour les utilisateurs.
Max Schrems : « Au lieu d’avoir une option ’oui/non’ pour les publicités personnalisées, ils ont simplement déplacé la clause de consentement des conditions générales d’utilisation. Ce n’est pas seulement injuste mais clairement illégal. Nous n’avons pas connaissance d’une autre entreprise qui a essayé d’ignorer le RGPD de façon aussi effrontée. »
380 millions d’euros d’amendes, alors que la CPD réclamait 28 à 36 millions d’euros. En plus d’un arrêt global des publicités personnalisées, l’EDPB a insisté sur une amende massive pour Meta. Après tout, la société a fondé la plupart de ses traitements de données commerciales sur une violation intentionnelle de la loi. L’EDPB a déjà publié des lignes directrices à ce sujet en 2019. Meta a déjà été frappé de plus de 900 millions d’euros d’amendes RGPD dans d’autres cas auparavant. L’amende va à l’État irlandais, et non au plaignant, au noyb ou à l’EDPB. La CPD avait demandé 28 à 36 millions d’euros dans un projet de décision (voir page 87 ici), soit seulement 10 % de la décision désormais définitive de l’EDPB.
Max Schrems : « La pénalité ira à l’Irlande – l’État qui a pris le parti de Meta et retardé l’application de la loi pendant plus de quatre ans. Cette affaire fera probablement l’objet d’un appel par Meta, ce qui entraînera des coûts supplémentaires pour noyb. »
La CPD et Meta ont coopéré et ont été déboutés par l’EDPB. Au cours de la procédure, Meta s’est appuyé sur dix réunions confidentielles avec la CPD irlandaise au cours desquelles cette dernière a autorisé Meta à utiliser ce « contournement ». Il a été révélé par la suite que la CPD a même essayé d’influencer les directives pertinentes de l’EDPB dans l’intérêt de Meta. Néanmoins, les autres APD européennes ont rejeté le point de vue de la CPD en interne en 2018, dans les lignes directrices en 2019 et à nouveau dans la décision finale de l’EDPB en décembre 2022. L’affaire a pris de l’ampleur pendant 4 ans et demi, avec des centaines de pages de rapports et de soumissions, bien que l’affaire porte sur une question juridique plutôt simple.
Max Schrems : « Cette affaire porte sur une question juridique simple. Meta prétend que le ’bypass’ a eu lieu avec la bénédiction du DPC. Pendant des années, la CPD a fait traîner la procédure et a insisté pour que Meta puisse contourner le GDPR, mais il a maintenant été renversé par les autres autorités de l’UE. C’est globalement la quatrième fois d’affilée que le DPC irlandais est renversé. »
La CPD revendique une victoire sur la question de la « transparence » ? Dans le communiqué de presse de la CPD, la question centrale de savoir si Meta peut partager les données des utilisateurs à des fins publicitaires est noyée dans un débat plus restreint sur la transparence, où la CPD avait constaté une violation.
« Il est plutôt pathétique que la CPD prétende maintenant que d’autres autorités se sont mises d’accord sur une question mineure de transparence, alors qu’il aurait suffi de modifier un texte sur le site web de Meta. Le problème central était que Meta a traité illégalement les données des utilisateurs pendant plus de quatre ans, que la CPD a protégé Meta et qu’ils ont été désavoués au niveau de l’UE. »
Conséquence : pas de publicités personnalisées, moins de profits. La décision signifie que Meta doit permettre aux utilisateurs d’avoir une version de toutes les apps qui n’utilisent pas de données personnelles pour les publicités dans les trois mois. La décision permettrait toujours à Meta d’utiliser des données non personnelles (comme le contenu d’une « story ») pour personnaliser les publicités ou de demander aux utilisateurs leur consentement aux publicités via une option « oui/non ». Les utilisateurs doivent pouvoir retirer leur consentement à tout moment et Meta ne peut pas limiter le service si les utilisateurs choisissent de le faire. Si cette mesure limitera considérablement les profits de Meta dans l’UE, elle n’interdira pas totalement les publicités. Au contraire, la décision mettra Meta au même niveau que les autres sites web ou applications, qui doivent offrir une option « oui/non » aux utilisateurs.
Max Schrems : « C’est un coup dur pour les profits de Meta dans l’UE. Il faut maintenant demander aux gens s’ils veulent que leurs données soient utilisées pour des publicités ou non. Ils doivent avoir une option ’oui ou non’ et peuvent changer d’avis à tout moment. Cette décision garantit également des conditions de concurrence équitables avec les autres annonceurs qui doivent également obtenir un consentement explicite. »
La CPD censure la décision du plaignant et du public, garantissant que Meta et la CPD contrôlent le récit médiatique. Dans un retournement étonnant, la CPD a informé noyb aujourd’hui que bien qu’étant l’une des deux parties dans la procédure, la CPD ne divulguera pas la décision à noyb. La CPD a soudainement invoqué la prétendue « confidentialité » de la décision comme raison. La décision devrait être communiquée au plaignant à un stade ultérieur – peut-être même après l’expiration du délai d’appel. Ceci est contraire aux informations précédentes du CPH selon lesquelles les parties recevraient la décision avant toute publication par le CPH.
Max Schrems : « L’annulation de la décision par l’EDPB est un coup dur pour la CPD, qui semble maintenant essayer d’influencer la perception publique de cette affaire. En dix ans de litiges, je n’ai jamais vu une décision être signifiée uniquement à une partie, mais pas à l’autre. Le CPH joue un jeu de relations publiques diabolique. En ne permettant pas à noyb ou au public de lire la décision, il tente de façonner le récit de la décision conjointement avec Meta. Il semble que la coopération entre Meta et l’autorité de régulation irlandaise soit toujours d’actualité – malgré le fait que la CPD ait annulé la décision. »
Prochaines étapes : la CPD poursuit l’EDPB, Meta devrait faire appel. Meta devrait faire appel de la décision devant les tribunaux irlandais, mais les chances de gagner un tel appel sont minimes après une décision contraignante de l’EDPB. La Cour de Justice de l’UE (CJUE) est également saisie de deux affaires similaires concernant le contournement du consentement par Meta, ce qui pourrait régler définitivement la question et tous les appels. Par ailleurs, la CPD a également annoncé qu’elle pourrait poursuivre l’EDPB sur une question connexe, car l’EDPB a demandé à la CPD de prendre des mesures d’enquête supplémentaires sur Meta, au-delà des plaintes décidées par noyb. La CPD estime que l’EDPB n’a pas ces pouvoirs et tentera d’obtenir l’annulation de cette décision. Les utilisateurs peuvent également intenter une action contre l’utilisation illégale de leurs données au cours des 4 dernières années et demi.
Source originale :
→ Auteur : noyb
→ URL : https://noyb.eu/en/breaking-meta-prohibited-use-personal-data-advertisment
→ Date : 4 janvier 2023
→ Traduction : Nicolas Vivant