La plupart des grandes entreprises technologiques ne sont pas très douées pour la protection de la vie privée, et Meta pourrait bien être la pire. "Voir ce que fait Meta et faire exactement le contraire" pourrait bien être la règle d'or en matière de protection des données.
Par exemple, un litige en cours en Californie a mis en évidence le fait que Meta sait à peine comment elle traite les données (l'ICCL, qui a porté l'affaire à l'attention de la Commission européenne, l'a assez bien résumé). L'autorité de surveillance irlandaise a récemment infligé à Meta une amende de 390 millions d'euros pour avoir traité illégalement les données personnelles de millions d'utilisateurs dans toute l'Europe.
En mars, une nouvelle décision a été rendue contre Meta, cette fois par le tribunal de district d'Amsterdam. Il s'agit d'une décision importante et intéressante à plusieurs égards. Nous vous donnerons rapidement quelques informations sur les décisions des CPD, car elles aident à contextualiser la décision. Ensuite, nous nous plongerons dans le vif du sujet !
Quelques éléments de contexte
Il n'y a pas longtemps, le CPD irlandais a infligé une amende de 390 millions d'euros à Meta pour avoir profilé ses utilisateurs sans base légale en vertu du GDPR. L'amende totale résulte de trois affaires distinctes impliquant Facebook, Instagram et Meta.
Notre blog va plus en profondeur sur les décisions, donc voici la version courte. Toutes les affaires ont fait l'objet d'un va-et-vient entre le DPC (l'autorité de contrôle irlandaise) et l'EDPB (abréviation de European Data Protection Board, l'institution de l'UE où siègent toutes les autorités européennes chargées de la protection de la vie privée). Au départ, la DPC n'était pas très enthousiaste à l'idée d'infliger des amendes à Meta, mais le Conseil a essentiellement annulé ses décisions initiales, ce qui a conduit à l'imposition des amendes.
Ces décisions ont créé un précédent important pour d'autres entreprises et ont mis en évidence un profond désaccord entre le CPD et ses homologues européens.
L'affaire
Le 15 mars, la Data Privacy Foundation a gagné un recours collectif contre Meta devant le tribunal de district d'Amsterdam. Le tribunal a estimé que Meta avait illégalement traité les données personnelles des utilisateurs de Facebook à des fins publicitaires, y compris des données sensibles. Cette décision intervient peu de temps après que l'autorité irlandaise de protection de la vie privée (DPC) a infligé à Meta une amende de 390 millions d'euros pour traitement illégal de données personnelles.
La décision étant de nature déclaratoire, les dommages-intérêts seront réclamés dans le cadre d'une autre procédure. Le recours collectif concerne 190 000 personnes, ce qui signifie que Meta risque de perdre beaucoup d'argent !
La décision porte sur plusieurs griefs1, nous nous concentrerons donc sur les plus importants : le traitement de données à caractère personnel à des fins publicitaires, le traitement de données sensibles et la violation du droit de la consommation.
Traitement illicite de données à caractère personnel
Dans l'affaire néerlandaise, la Data Privacy Foundation a affirmé que Meta n'avait pas de base juridique pour fournir aux utilisateurs de Facebook de la publicité ciblée. Mais qu'est-ce que cela signifie exactement ?
La publicité ciblée est basée sur le profilage. En d'autres termes, quelqu'un (dans ce cas, le réseau social Facebook) recueille de nombreuses données sur chaque utilisateur en fonction de son comportement sur la plateforme et des données qu'il télécharge lui-même. Ces données sont utilisées pour établir un profil de chaque utilisateur afin de déterminer les publicités auxquelles il est le plus susceptible de s'intéresser.
Le profilage nécessite le traitement de données à caractère personnel, sans quoi une plateforme ne peut pas connaître les intérêts d'un utilisateur. En vertu du GDPR, les données personnelles ne peuvent être traitées que sur la base d'un fondement juridique. Vous pouvez considérer une base légale comme une "justification légale" du traitement des données d'une personne, telle que le consentement ou une obligation légale(ce blog approfondit le sujet, au cas où vous seriez intéressé).
Dans le cas présent, la base juridique de Meta pour le profilage de ses utilisateurs était l'exécution d'un contrat2. En d'autres termes, Meta a fait valoir que la publicité ciblée était nécessaire pour fournir sa plateforme Facebook aux utilisateurs et que cette nécessité justifiait le profilage des utilisateurs (comme nous l'avons expliqué dans notre blog).
La Cour en a décidé autrement. S'appuyant sur les orientations antérieures de l'EDPB (ainsi que du WP29, le prédécesseur de l'EDPB dans l'ère pré-GDPR), la Cour a adopté une interprétation stricte du terme "nécessité". Elle a estimé que le profilage des utilisateurs n'était pas nécessaire à la fourniture d'un réseau social.
Il s'agit de la même question juridique examinée par l'EDPB concernant trois services Meta différents, dont Facebook, et la Commission est parvenue exactement à la même conclusion. En outre, la conclusion était plutôt évidente dès le départ, puisque l'EDPB lui-même a clarifié depuis longtemps que l'exécution d'un contrat ne justifie pas le profilage sur les plates-formes de médias sociaux3.
Le tribunal d'Amsterdam ne dit donc rien de nouveau. Néanmoins, la décision néerlandaise est importante, car elle montre que le précédent établi par l'EDPB pourrait servir de guide non seulement pour les autorités chargées de la protection des données, mais aussi pour les tribunaux.
Le traitement des données sensibles
La Fondation pour la protection de la vie privée a également affirmé que des données sensibles avaient été traitées sans dérogation légale, ce qui constitue une infraction grave au GDPR.
La décision de l'EDPB ne couvrait pas le traitement des données sensibles. Cette question faisait partie des plaintes déposées par le noyb qui ont tout déclenché, mais le DPC n'a pas enquêté à ce sujet. Inutile de dire que ni l'EDBP4 ni noyb n'en sont très heureux.
Mais revenons à nos moutons. Les données sensibles sont des catégories très délicates de données à caractère personnel telles que l'orientation sexuelle, les données relatives à la santé, les convictions religieuses et politiques, etc. Le GDPR protège ces données en fixant des exigences supplémentaires pour leur traitement. Ces exigences sont appelées exemptions et remplissent une fonction similaire à celle des bases légales : elles constituent essentiellement une "justification" du traitement des données sensibles, de la même manière que les bases légales constituent une "justification" du traitement des données à caractère personnel.
C'est désormais un secret de polichinelle que Facebook traite des données sensibles. Au cas où le scandale Facebook-Cambridge Analytica ne l'aurait pas montré clairement, la publicité sur la plateforme le montre bien. Les personnes souffrant de maux de dos sont plus susceptibles de voir des publicités pour la physiothérapie, les adeptes d'une religion sont plus susceptibles de voir des contenus qui s'alignent sur leurs croyances, et ainsi de suite. Facebook utilise les informations fournies par l'utilisateur pour le "signaler" comme une personne présentant certaines caractéristiques, y compris des caractéristiques assez sensibles et révélatrices (et strictement protégées par le GDPR). Cela permet à Meta d'établir le profil d' un utilisateur et d'adapter les publicités qu'il diffuse sur ses plateformes.
Mais il y a pire. Le profilage basé sur des données sensibles peut se produire même lorsque l'utilisateur ne divulgue aucune information sensible au réseau social. Par exemple, les utilisateurs qui ont beaucoup d'amis homosexuels sur Facebook peuvent être étiquetés comme étant susceptibles d'être eux-mêmes homosexuels par les algorithmes de Facebook, et les publicités et le contenu qu'ils verront seront adaptés en fonction de cette hypothèse.
En bref, la monétisation des données sensibles par Facebook est invasive et effrayante.
Et selon le tribunal d'Amsterdam, elle est également illégale. Meta a perdu son procès sur la question des données sensibles. Tout d'abord, le tribunal a rejeté les arguments fallacieux de Meta selon lesquels l'entreprise ne traite pas de données sensibles. Elle a ensuite examiné l'article qui énumère les règles de traitement des données sensibles (article 9, paragraphe 2, du RGPD) et, sans surprise, a estimé que Meta traitait les données de manière illégale.
La Cour a approfondi les règles relatives au traitement des données sensibles, ce qui est intéressant en soi. Les exigences légales pour traiter légalement des données personnelles communes et des données sensibles sont cumulatives : si je ne peux pas traiter vos données personnelles, alors je ne peux pas non plus traiter vos données sensibles. La Cour avait déjà établi que les données à caractère personnel avaient été traitées illégalement, ce qui signifie que les données sensibles ont également été traitées illégalement.
Les juges sont des personnes occupées et ils résolvent généralement les affaires en prenant le minimum d'étapes logiques nécessaires pour justifier le résultat. Dès lors, pourquoi la Cour s'est-elle donné la peine d'examiner en détail l'article 9, paragraphe 2 ? 9(2) en détail ?
Nous ne pouvons pas le savoir avec certitude, mais nous pouvons émettre une hypothèse. Peut-être la Cour a-t-elle voulu protéger sa décision sur les données sensibles au cas où ses conclusions sur la question des bases juridiques seraient infirmées en appel. Elle a peut-être voulu faire valoir un point qui resterait valable même si Meta modifiait ultérieurement sa base juridique pour le traitement des données en raison des amendes infligées par le CPD(ce qui s'est produit deux semaines plus tard). Il se peut aussi que la Cour ait simplement voulu faire la lumière sur le traitement des données sensibles par le Meta, étant donné que le CPD a ignoré la question dans son enquête.
Quoi qu'il en soit, nous sommes heureux que la Cour ait rendu un arrêt complet qui a complètement démenti les défenses de Meta. Le traitement des données sensibles sur les réseaux sociaux est un problème urgent de protection de la vie privée. Nous espérons que cet arrêt sensibilisera à l'agressivité et au caractère invasif de la monétisation de ces données.
Facebook n'est pas gratuit
Meta présente Facebook comme un service gratuit. Ce n'est pas le cas, car l'utilisateur paie en fait avec ses données personnelles.
La Fondation a affirmé que le fait de présenter Facebook comme un service gratuit constituait une pratique trompeuse. Le tribunal lui a donné raison et a considéré qu'il s'agissait d'une pratique commerciale déloyale et d'une violation de la directive sur les pratiques commerciales déloyales de l'UE ainsi que de sa transposition dans le droit néerlandais.
Cette décision n'est pas du tout surprenante. Comme nous le savons tous, il n'y a pas de repas gratuit. Si le repas semble gratuit, c'est que vous êtes le repas.
Payer avec des données est l'un des modèles commerciaux dominants dans les services du Web 2.0, mais d'innombrables entreprises continuent à annoncer leurs services comme étant gratuits alors que leur objectif final est la monétisation des informations personnelles. Il est rafraîchissant de voir une Cour dépasser la feuille de vigne de la gratuité et appeler le modèle commercial de Meta par son nom.
Mises à jour
Le 5 avril 2023, à la suite des décisions de l'EDPB et du DPC rejetant le recours à la base juridique du contrat, Meta est passé à la base juridique de l'intérêt légitime pour fournir de la publicité ciblée.
noyb, l'ONG à l'origine de la plainte qui a conduit à ces décisions, n'est pas très satisfaite de la confiance accordée par Meta à l'intérêt légitime et a l'intention de contester à nouveau l'entreprise. À notre avis, noyb a de bonnes raisons de critiquer la démarche de Meta, mais il s'agit là d'une grosse boîte de Pandore, et d'une histoire pour un autre jour.
Conclusions
Il convient de souligner, une fois de plus, que le recours collectif concernait près de deux cent mille personnes. Les défenseurs de la vie privée et les juristes ne sont pas les seuls à s'inquiéter de la protection de la vie privée numérique et de la manière dont les grandes entreprises technologiques la respectent (ou ne la respectent pas).
Au contraire, le public se préoccupe de plus en plus de la protection de la vie privée numérique. Les gens se rendent compte que de nombreux services en ligne sont essentiellement des machines dévoreuses de données et que, pour de nombreuses entreprises, la protection de la vie privée n'est qu'un pis-aller, voire une véritable farce.
L'internet doit-il être ainsi ? Nous ne le pensons pas. C'est pourquoi nous avons créé Simple Analytics pour permettre aux organisations de toutes tailles de recueillir des informations utiles dans le respect total de la vie privée. Simple Analytics est conçu autour de la protection de la vie privée dès sa conception. Nous ne suivons pas vos utilisateurs et nous ne collectons pas leurs données personnelles. Si cela vous convient, n'hésitez pas à nous essayer !
1 : La décision porte également sur le partage de données avec des partenaires tiers et sur l'utilisation de cookies. Les plaintes relatives aux cookies n'ont pas été retenues par la Cour. Vous pouvez consulter le résumé sur le gdprhub pour une description plus complète de l'affaire et de la décision 2 : Meta/Facebook a utilisé différents fondements juridiques avant l'entrée en vigueur du GDPR. Les discuter tous prendrait une éternité, mais en fin de compte, ils ont tous été jugés invalides par la Cour dans l'affaire en question 3 : Lignes directrices 8/2020 de l'EDPB sur le ciblage des utilisateurs de médias sociaux 4 : Le Conseil a ordonné au DPC d'enquêter sur l'utilisation d'informations sensibles par Facebook. La DPC estime toutefois que la Commission n'est pas habilitée à lui ordonner de mener une enquête et a l 'intention de contester l'ordonnance devant la Cour de justice de l'UE.