Le 17 avril, la protection de la vie privée a remporté une victoire importante : le Comité européen de protection des données (c'est-à-dire l'organisation qui réunit les organismes de surveillance de la vie privée de l'UE) a précisé que les données personnelles n'étaient pas une marchandise et a pris clairement position contre l'approche payante de Meta en matière de conformité au GDPR. Il s'agit d'un pas en avant pour la législation européenne en matière de protection de la vie privée et d'une grande affaire pour l'industrie technologique.
Avant de sabler le champagne, il convient de noter que l'histoire n'est pas encore tout à fait terminée. Meta portera sans doute la bataille juridique devant la Cour de justice de l'Union européenne, qui aura le dernier mot. Ceci étant dit, le fait que l'EDPB se range du côté des critiques de Meta est un très bon signe.
Voici tout ce que vous devez savoir sur l'avis de l'EDPB, et pourquoi il est important. Entrons dans le vif du sujet !
Le contexte
Ce dont il ne s'agit pas
Avant d'expliquer l'enjeu de cette bataille juridique, dissipons un malentendu possible : Meta n'est pas attaqué pour avoir fixé un prix pour ses plateformes.
Meta est une entité à but lucratif et a le droit de fixer le prix de ses services comme elle l'entend, y compris en exigeant des abonnements pour des plateformes auparavant "gratuites". Personne ne conteste ce droit. Quel est donc le problème ?
Meta utilise les abonnements comme argument pour montrer que son modèle d'entreprise dans son ensemble - et en particulier la collecte et l'exploitation des données des utilisateurs gratuits - est compatible avec le GDPR. En d'autres termes, l 'objectif des abonnements de Meta est de justifier l'espionnage des utilisateurs gratuits. C'est ce qui pose problème au regard du GDPR, et non les abonnements en tant que tels.
Voici l'histoire en détail, et pourquoi il s'agit d'une affaire importante pour la loi sur la protection de la vie privée.
Meta et le GDPR
Nous avons déjà longuement discuté de la saga du "pay-or-ok" dans un autre blog, alors voici la version courte.
Depuis plus d'une décennie, Meta exploite agressivement les données des utilisateurs en guise de paiement pour Facebook (et plus tard Instagram). Cette exploration intensive permet à l'entreprise d'établir le profil des utilisateurs et de diffuser de la publicité comportementale, qu'elle facture aux annonceurs. Ce modèle commercial est en contradiction avec le GDPR et les défenseurs de la vie privée le contestent depuis un certain temps, en particulier noyb, une ONG autrichienne qui a une longue histoire avec Meta.
La surveillance commerciale est donc la principale source de revenus de Meta. En contestant la conformité de ses publicités ciblées, les défenseurs de la vie privée remettent en cause la légalité du modèle économique de Meta au regard du GDPR. Cela a des conséquences importantes pour l'ensemble de l'industrie technologique, car de nombreuses autres entreprises s'appuient sur un modèle commercial fondé sur les données en tant que paiement.
Jusqu'à présent, Meta a répondu à ces défis en modifiant quelques détails de sa politique de confidentialité, en acceptant des amendes à neuf chiffres et en continuant à faire des affaires comme d'habitude. Mais à mesure que Meta perd des procès, ses options s'amenuisent.
Les abonnements payants sont le dernier acte de cette longue saga et la dernière tentative de l'entreprise pour sauver son modèle commercial sur le marché européen.
Payer ou accepter
Meta propose actuellement aux utilisateurs de l'UE un choix : ils peuvent consentir à la publicité comportementale et utiliser ses plateformes sociales gratuitement, ou se débarrasser de la publicité comportementale et payer 120 euros par an.
Bien entendu, Meta sait que la grande majorité des utilisateurs ne paieront pas. L'objectif n'est pas de collecter des centimes auprès d'une poignée d'abonnés payants, mais de justifier l'espionnage de tous les autres. Les abonnements sont une astuce qui permet aux avocats de Meta de prétendre que le consentement à la publicité comportementale répond aux normes élevées du GDPR en matière de consentement - en particulier, l'exigence que le consentement soit donné librement.
Cette approche "pay-or-ok" est controversée dans le domaine de la protection de la vie privée. Certains la considèrent comme un puissant outil de conformité qui pourrait potentiellement justifier une extraction de données très invasive dans le cadre du GDPR. Ils espèrent que l'approche de Meta survivra à l'examen réglementaire afin qu'ils puissent monter à bord et faire du "pay-or-ok" la nouvelle norme de l'économie numérique.
D'un autre côté, les détracteurs de Meta affirment que les données ne sont pas une marchandise, car la vie privée et la protection des données sont des droits de l'homme (et la Charte des droits fondamentaux est d'accord). Ils soulignent également que tout le monde en Europe ne peut pas se permettre de payer 10 euros par mois pour rester en contact avec ses amis et sa famille sur Facebook, et encore moins 10 euros par mois par application, si le paiement à l'utilisation devient monnaie courante pour les plateformes sociales.
L'EDPB a été appelé à prendre position dans la controverse sur le paiement à l'utilisation et a envoyé un message très clair.
Que dit l'Office ?
L'avis de l'EPBP est assez complexe, mais en résumé, il est en grande partie d'accord avec les critiques de Meta. Les données ne sont pas une marchandise et donner un prix à la vie privée n'est pas un moyen de recueillir un consentement valable dans le cadre du GDPR.
L'avis de l'EDPB n'est pas contraignant, mais il a beaucoup de poids. Après tout, les membres du Conseil sont des régulateurs nationaux qui ont le pouvoir d'infliger des amendes à Meta en cas de non-respect du GDPR.
Le paiement à l'amiable ne suffit pas
L'EPBP a examiné de près la stratégie de conformité de Meta et ne l'a pas appréciée du tout.
La Commission souligne que Facebook et Instagram bénéficient de puissants effets de verrouillage et de réseau: plus vous avez de contacts sociaux sur ces plateformes, plus il est difficile de les quitter (comme l'a écrit un meilleur blogueur, les réseaux sociaux sont désormais une situation d'otage). Dans le même temps, la position dominante de Meta sur le marché des médias sociaux signifie que les consommateurs n'ont pas d'alternatives.
C'est pourquoi l'EDPB est finalement d'accord avec les critiques de Meta et refuse de reconnaître le consentement recueilli par Meta comme un consentement valide et librement donné. En définitive, Meta n'a pas le droit d'établir le profil des utilisateurs en fonction de leur comportement.
(Par ailleurs, la domination du marché est la raison pour laquelle l'objection courante selon laquelle "les plateformes ne sont pas libres de fournir" ne fonctionne pas pour Meta. Dans un marché concurrentiel, la plupart des utilisateurs supprimeraient leur compte Facebook ou Instagram et transféreraient leurs données vers un concurrent respectueux de la vie privée. Dans le monde réel, les géants de la technologie achètent des concurrents potentiels, laissant les utilisateurs choisir leur poison entre Meta, X et ByteDance).
Il existe des alternatives
Meta et d'autres acteurs de la technologie publicitaire aiment à présenter la publicité comportementale comme une question en noir et blanc : soit vous nous autorisez à sonder la vie numérique des internautes, soit nous faisons faillite et l'économie numérique meurt (voir la lettre de l'IAB au conseil d'administration).
Mais la question n'est pas noire ou blanche. L'EDPB a pris soin de préciser que les plateformes peuvent fournir de la publicité sans consentement. Il ne s'agit pas nécessairement de publicité contextuelle : par exemple, Meta pourrait simplement interroger les utilisateurs sur leurs centres d'intérêt et utiliser leurs réponses pour cibler les publicités. Selon la Commission, cette forme de publicité moins invasive pourrait être réalisée sans le consentement de l'utilisateur tout en respectant le GDPR.
Bien entendu, cette solution intermédiaire raisonnable serait beaucoup moins rentable que les sondages invasifs de Meta, et l'entreprise continuera à lutter bec et ongles contre la protection de la vie privée au lieu de réduire la surveillance d'un cran.
L'EDPB souligne également que le fait d'offrir aux utilisateurs une troisième option gratuite avec une publicité moins intrusive pourrait aider Meta à justifier son modèle commercial dans le cadre du GDPR. Mais nous ne nous attendons pas à ce que Meta suive ce conseil de sitôt : l'entreprise sait que les utilisateurs n'aiment pas la surveillance et disent généralement "non, merci" lorsqu'on leur présente un choix équitable et transparent tel que celui exigé par l'EDPB.
(J'aimerais également souligner une autre façon évidente et 100 % conforme au GDPR pour Meta de monétiser Facebook et Instagram : les transformer en services payants, point final. Personne ne demande un repas gratuit - ni le GDPR, ni les régulateurs, ni les défenseurs de la vie privée. Mais Meta n'adoptera jamais cette solution simple parce qu'une étiquette de prix coûterait à l'entreprise trop d'utilisateurs).
Qu'en est-il des petits acteurs ?
Le message destiné aux grandes entreprises technologiques est très clair, mais la même logique s'applique-t-elle aux sites web et aux services plus petits ?
Peut-être.
Ce n'est pas la réponse la plus satisfaisante, mais c'est celle que nous avons obtenue.
L'avis ne concerne que les grandes plateformes, mais la Commission précise que certains de ses raisonnements peuvent également s'appliquer aux petits acteurs, ce qui est assez déroutant. Dans l'ensemble, nous avons l'impression que la Commission ne souhaite pas prendre position sur la manière dont les règles s'appliquent aux petits acteurs, du moins pour l'instant.
Quelle est la suite des événements ?
Il convient de répéter que l'histoire n'est pas encore terminée et que la Cour de justice aura probablement le dernier mot.
La plainte déposée par noyb auprès de l'autorité autrichienne ira probablement jusqu'à la Cour de justice, mais cela prendra du temps, surtout si l'autorité irlandaise s'en mêle. Entre-temps, il est peu probable que Meta change ses pratiques, à moins que les amendes ne commencent à pleuvoir.
Si la Cour donne raison à l'EDPB, l'arrêt marquera un tournant dans la législation sur la protection de la vie privée. Meta sera contraint de repenser son modèle d'entreprise et devra probablement s'acquitter d'amendes gigantesques. D'autres gros poissons devront également réévaluer leur modèle d'entreprise, car les défenseurs de la vie privée n'hésiteront pas à brandir le précédent Meta contre eux. En bref, nous nous rapprochons de la mort de la publicité comportementale, qui n'a que trop tardé.
D'un autre côté, si la Cour se range du côté de Meta et sanctionne son interprétation intéressée de la loi, le "pay-or-ok" deviendra probablement la norme de l'industrie, le GDPR sera considérablement affaibli contre les Big Tech, et nous aurons tous peu ou pas d'attentes en matière de protection de la vie privée sur les plateformes qui contrôlent nos vies numériques.
Conclusions
Cette fois-ci, il ne s'agit pas seulement de Meta contre les suspects habituels (noyb). Les défenseurs des consommateurs du Bureau européen des consommateurs (BEUC) contestent également les abonnements Meta et même la Commission européenne - en tant que principale autorité de régulation antitrust de l'UE - se penche sur la conformité du pay-or-ok à la loi sur les marchés numériques (Digital Markets Act).
Nous sommes heureux de voir des acteurs contester le spectacle de marionnettes de Meta sous différents angles. Et nous sommes encore plus heureux de voir l'EDBP adopter une position ferme.
Il est impossible d'exagérer l'importance de la saga "pay-or-ok". Lorsque la plainte de noyb contre Meta atterrira (comme on peut s'y attendre) devant la Cour de justice, celle-ci devra prendre une décision : le GDPR doit-il se plier à l'économie de la surveillance, ou doit-il faire l'inverse ?
Nous n'avons pas de boule de cristal, mais l'avis de l'EDPB est une bonne raison d'être optimiste.
Nous avons créé Simple Analytics parce que nous croyons en un web respectueux de la vie privée. Nous aidons nos clients à comprendre leur trafic et à élargir leur audience sans collecter la moindre donnée personnelle. Notre outil d'analyse web est facile à apprendre, personnalisable et accompagné d'un assistant IA. Si cela vous convient, n'hésitez pas à nous essayer !