Comme l'a rapporté le Wall Street Journal, le Conseil européen de la protection des données a estimé que Meta avait illégalement profilé des utilisateurs pour faire de la publicité ciblée sur ses plates-formes. La décision peut faire l'objet d'un appel, mais il est peu probable qu'elle soit annulée. Aucune information sur les sanctions n'est disponible pour le moment, mais compte tenu de la quantité de données personnelles concernées, nous pourrions assister à une lourde amende.
La décision découle d'une plainte déposée en 2018 par l'ONG de protection de la vie privée noyb et annule pratiquement une décision antérieure de l'autorité irlandaise de protection des données (DPC). Bien que la décision n'ait pas encore été publiée, le tableau est assez simple, car certaines informations sur la plainte sont accessibles au public depuis longtemps.
Dans ce blog, nous expliquerons ce qui se passe avec Meta et pourquoi il s'agit d'une conséquence d'un problème plus large avec le modèle d'entreprise derrière les médias sociaux.
Plongeons dans le vif du sujet !
La décision
Pour être clair, l'EDPB n'a pas dit que la publicité ciblée sur les plateformes de médias sociaux était en soi illégale. Il a estimé que Meta profilait illégalement les utilisateurs parce qu'il abusait d'une base juridique spécifique en vertu du GDPR, à savoir l'exécution d'un contrat. Cela peut sembler un détail mineur, mais ce n'est pas le cas. Décortiquons le problème.
Comme nous l'avons expliqué sur notre blog, en vertu du GDPR, tout responsable du traitement des données doit disposer d'une base juridique pour traiter les données, c'est-à-dire d'une justification telle que le consentement de la personne concernée ou une obligation légale. Le GDPR comprend une liste fermée de six bases légales, chacune avec ses propres exigences.
Depuis l'entrée en vigueur du GDPR en 2018, Meta a utilisé l'exécution d'un contrat comme base juridique pour servir aux utilisateurs des publicités personnalisées basées sur leur activité en ligne. Ce faisant, Meta prétendait essentiellement que la publicité personnalisée est une partie essentielle de leur contrat avec l'utilisateur (c'est-à-dire les conditions de service pour Facebook et Instagram). Noyb a affirmé que Meta abusait du fondement juridique du contrat et a intenté une action en justice en 2018, en déposant la plainte qui a conduit à la décision de l'EDPB.
La décision elle-même n'est absolument pas surprenante. La jurisprudence européenne précise depuis longtemps que le motif juridique du contrat ne couvre que les activités de traitement qui sont strictement nécessaires à l'exécution du contrat. Ce n'est manifestement pas le cas de la publicité ciblée. En outre, l'EDPB lui-même a précisé dans ses lignes directrices que le contrat n'est pas une base juridique appropriée pour la publicité comportementale en ligne.
Mais pourquoi Meta ne pourrait-il pas s'appuyer sur une autre base juridique ? C'est un peu compliqué, c'est pourquoi nous allons faire court ici et donner plus de détails dans les notes. En bref, ne pas se baser sur le contrat aurait obligé Meta à recueillir le consentement de l'utilisateur à la place. Il s'agit d'une proposition délicate, car un utilisateur pourrait tout simplement refuser la publicité ciblée ou s'y soustraire. Les internautes étant de plus en plus sensibles à la protection de leur vie privée, cela pourrait avoir un impact considérable sur les recettes publicitaires de l'entreprise.
(Remarque : Meta ne s'appuie toujours pas sur le consentement pour le profilage. Voir les mises à jour ci-dessous pour plus de détails)
En résumé, Meta a contourné les règles et s'en est tiré pendant quatre ans.
Les données ne sont pas une marchandise
Meta n'est pas la seule grande entreprise technologique à se débattre avec le GDPR. Par exemple, TikTok a eu des problèmes avec la DPA italienne à cause de bases légales il n'y a pas longtemps. Google Analytics a également sa part de problèmes et est pratiquement interdit dans plusieurs États membres, pour différentes raisons (nous avons écrit à ce sujet sur notre blog).
Le cœur du problème est que le GDPR (et le cadre européen de protection des données en général) traite la vie privée et la protection des données comme des droits fondamentaux, alors que les réseaux sociaux (et beaucoup d'autres entreprises technologiques) incarnent un modèle commercial axé sur la surveillance qui traite les données personnelles comme une marchandise.
Ces perspectives sont radicalement incompatibles. D'un point de vue purement économique, le profilage est en fait nécessaire à l'exécution du contrat car il s'agit d'un élément essentiel du modèle commercial de Meta : si l'entreprise ne pouvait pas tirer profit du contrat, elle ne serait pas en mesure de fournir le service et n'aurait aucun intérêt à le faire. Or, en vertu du GDPR, la vie privée et la protection des données sont des droits non négociables. Le traitement des données à caractère personnel ne peut être justifié simplement parce qu'il fait partie d'un modèle d'entreprise, aussi répandu et performant soit-il.
Certains détracteurs du GDPR affirment que le règlement est irréalisable et déconnecté de l'économie fondée sur les données, mais ce n'est pas le cas. Les institutions européennes sont parfaitement conscientes du rôle crucial des données. C'est pourquoi le GDPR s'efforce de trouver un équilibre entre les droits relatifs à la protection des données et d'autres droits fondamentaux, notamment la liberté d'entreprendre.
Mais le GDPR trace également une ligne de démarcation entre une économie basée sur les données et une économie de surveillance, et c'est à juste titre que cette ligne a été appliquée à Meta.
Mises à jour
Il y a eu plusieurs mises à jour depuis la publication de ce blog :
- le DPC a infligé des amendes d'un montant total de 390 millions d'euros pour les violations du GDPR par Facebook et Instagram
- l'EDPB a réglé une affaire similaire concernant Whatsapp, propriété de Meta. Le DPC n'a infligé à Whatsapp qu'une amende de 5 millions d'euros.
- l'EDPB a ordonné au DPC d'enquêter plus avant sur les opérations de traitement des données de Meta. Le DPC estime que l'EDBP n'est pas habilité à le faire et a annoncé une action en justice contre l'ordonnance devant la Cour de justice de l'UE.
- le tribunal de district d'Amsterdam a jugé le profilage ciblé de Meta illégal dans le cadre d'une récente action collective(nous avons discuté de cette affaire en détail)
- depuis le 5 avril, Meta s'appuie sur la base juridique de l'intérêt légitime pour la publicité ciblée. noyb n'est pas satisfait de cette nouvelle base juridique (à juste titre, selon nous) et a l'intention de la contester.
Le montant de 390 millions d'euros peut sembler élevé, mais il ne l'est pas vraiment. La plus grande partie des amendes est liée à un manque de transparence. L'absence de base juridique, qui est sans doute le problème le plus important, a coûté à Meta un total de 120 millions d'euros pour les violations commises par Facebook et Instagram. À titre de comparaison, le DPA belge a infligé une amende de 746 millions d'euros à Amazon pour des violations similaires !
Il est difficile de dire comment se déroulera l'action en justice du DPC contre l'EDPB, mais elle ne manquera pas d'accroître les frictions déjà alarmantes entre le DPC et ses homologues européens.
Enfin, dans une affaire sans rapport avec les transferts de données, Meta s'est vu infliger une amende de 1,2 milliard d'euros (non, ce n'est pas une faute de frappe !) par le DPC et ordonner de suspendre les transferts de données américaines pour Facebook. Cette décision pourrait entraîner un black-out de Facebook en Europe. Il va sans dire que nous avons discuté de cette affaire importante en détail.
Conclusions
La décision de l'EDPB montre une fois de plus que le GDPR peut être un outil efficace pour faire respecter la vie privée contre les modèles commerciaux basés sur la surveillance. Mais l'application n'est qu'une partie du tableau. Les consommateurs sont de plus en plus sensibilisés aux questions de protection de la vie privée et les entreprises commencent à comprendre l'intérêt d'une bonne gouvernance des données, respectueuse de la vie privée.
L'adoption d'outils respectueux de la vie privée peut jouer un rôle important dans la construction d'un internet sans surveillance. Avec Simple Analytics, nous essayons de faciliter cette évolution. Nous pensons que vous pouvez obtenir des informations à partir de vos analyses web, sans avoir besoin de collecter des informations personnelles ou d'installer des cookies sur l'ordinateur de vos visiteurs.
Nous croyons en un web indépendant et convivial pour les visiteurs de sites web. Si vous êtes d'accord avec cette idée, n'hésitez pas à nous essayer !