Ceci est le deuxième blog d'une série en deux parties sur Bundeskartellamt - une décision très importante contre Meta qui est passée inaperçue dans les médias.
Dans un autre blog, nous avons expliqué comment cette décision pourrait changer la donne pour les analyses basées sur les cookies. Mais la décision ne s'arrête pas là. Aujourd'hui, nous allons examiner ce que la Cour de justice a dit à propos du modèle d'entreprise de Facebook et des pouvoirs des autorités antitrust.
Spoiler : tout cela est une mauvaise nouvelle pour les grandes entreprises technologiques.
- Sur quoi porte l'affaire et que dit-elle ?
- Méta et publicité ciblée - encore une fois !
- L'exécution d'un contrat, ou pourquoi l'EDPB avait raison
- L'intérêt légitime ne fonctionne pas non plus
- Qu'en est-il du consentement ?
- Le Bundeskartellamt fait déjà des vagues
- Protection des données et droit de la concurrence
- Qu'est-ce que tout cela signifie pour Meta et Big Tech ?
- Conclusion
Sur quoi porte l'affaire et que dit-elle ?
Notre premier blog expliquait que la décision concernait une affaire impliquant Meta et l'autorité allemande de la concurrence (le Bundeskartellamt). L'autorité a estimé que Meta abusait de sa position dominante sur le marché des réseaux sociaux en imposant des politiques de confidentialité contraires au GDPR.
Le Bundeskartellamt a ordonné à Meta de modifier sa politique de confidentialité pour les utilisateurs allemands. Meta a contesté cette décision et a obtenu de la Cour de justice une décision encore plus sévère.
Dans son arrêt, la Cour a abordé des points très sensibles pour Meta :
- les outils de suivi de Meta collectent une tonne de données sensibles (comme nous l'avons expliqué dans notre autre blog sur la décision)
- leconsentement est pratiquement obligatoire pour la publicité ciblée et doit répondre à des normes assez strictes pour les grandes plateformes telles que Facebook
- les autorités de la concurrence peuvent prendre en compte les violations du GDPR pour évaluer l'abus de position dominante.
Méta et publicité ciblée - encore une fois !
Dans l'affaire Bundeskartellamt, la Cour de justice (CJUE) a examiné de près les bases juridiques de Meta en matière de publicité ciblée. Les questions juridiques peuvent sembler très techniques, mais ne vous y trompez pas : au fond, cette affaire porte sur la légitimité du modèle commercial de Facebook et, par extension, d'autres "services gratuits" de Big Tech que vous payez avec vos données.
Il ne s'agit donc pas des petits caractères de la politique de confidentialité de Meta. La décision est importante dans le grand ordre des choses. Voici pourquoi.
Facebook tire l'essentiel de ses revenus de la publicité ciblée. Cette publicité nécessite un profilage agressif des utilisateurs en fonction de leur comportement sur les plateformes et en dehors.
Selon les règles générales du GDPR, ces données de profilage nécessitent une justification légale ("base légale"), telle qu'une obligation légale, l'exécution d'un contrat ou le consentement de l'utilisateur (qui est une base légale parmi d'autres, et qui n'est pas toujours nécessaire pour traiter des données personnelles - comme nous l'avons expliqué dans un blog plus ancien).
Les gens n'aiment pas le suivi et le profilage invasifs, c'est pourquoi Meta n'a pas voulu donner aux utilisateurs un choix réel et équitable en la matière. C'est pourquoi il a évité de s'appuyer sur le consentement jusqu'à présent.
Jusqu'en avril de cette année, Meta a utilisé la base juridique de la nécessité contractuelle pour fournir de la publicité ciblée sur Facebook et Instagram. En d'autres termes, elle affirmait que la fourniture de publicité ciblée était strictement nécessaire pour se conformer à ses conditions de service avec l'utilisateur.
Le Comité européen de la protection des données (c'est-à-dire l'institution de l'UE qui réunit toutes les autorités européennes chargées de la protection de la vie privée) n'était pas d'accord. Meta a été condamnée à une amende globale de 390 millions d'euros et a été contrainte de modifier sa base juridique en "intérêt légitime" en avril dans sa nouvelle politique de protection de la vie privée.
L'exécution d'un contrat, ou pourquoi l'EDPB avait raison
La CJUE a examiné de près les pratiques publicitaires de Meta et a estimé qu'elles n'étaient pas nécessaires à l'exécution du contrat conclu avec l'utilisateur. En d'autres termes, elle a confirmé que la nécessité contractuelle ne pouvait justifier la publicité ciblée.
L'EDPB avait déjà soulevé ce point, mais l'arrêt reste important car la CJUE a le dernier mot sur l'interprétation du GDPR (et du droit européen en général). L'EDPB est très influent, mais la parole de la CJUE l'emporte sur tout le reste.
Ainsi, le Bunderskartellamt ne dit rien de nouveau sur la nécessité contractuelle, mais confirme "officiellement" la position de l'EDPB. Après que la CJUE a adopté la même position, il n'y a tout simplement plus de place pour argumenter en faveur de la nécessité contractuelle.
Cela n'affecte pas vraiment Meta qui a déjà abandonné la nécessité contractuelle. Mais c'est une mauvaise nouvelle pour Big Tech, car d'autres entreprises utilisant un modèle commercial de paiement avec vos données auront beaucoup, beaucoup de mal à faire valoir que la nécessité contractuelle est une base juridique valable pour la publicité.
Bye bye, nécessité contractuelle. Vous ne nous manquerez pas.
L'intérêt légitime ne fonctionne pas non plus
Mais qu'en est-il de la nouvelle base juridique de Meta, l'intérêt légitime ? Cela fonctionne, n'est-ce pas ?
Non : l'arrêt du Bundeskartellamt a également rejeté l'intérêt légitime ! Expliquer pourquoi ferait de ce blog un livre, mais disons simplement que plus le traitement des données est invasif, plus il est improbable que l'intérêt légitime soit une base juridique valable. Il se trouve que le profilage de Meta est aussi invasif que possible.
En vérité, il était évident depuis le début que l'intérêt légitime n'était pas une base juridique viable dans ce scénario. Meta le savait et n'a modifié sa politique de confidentialité que pour gagner du temps.
Le Bundeskartellamt rendra plus difficile pour Meta de gagner du temps parce qu'il fera pression sur les régulateurs (lire : l'autorité irlandaise de protection des données) pour qu'ils se prononcent contre Meta lorsque la question de l'intérêt légitime sera soulevée, ce qui ne manquera pas d'arriver. noyb, l'ONG de défense de la vie privée à l'origine de l'amende de 390 millions d'euros, a l'intention de contester à nouveau la nouvelle politique de Meta en matière de protection de la vie privée.
Il n'est donc pas surprenant que Meta ait récemment annoncé son intention de s'appuyer sur le consentement pour fournir de la publicité ciblée!
Qu'en est-il du consentement ?
La décision du Bundeskartellamt passe en revue tous les motifs juridiques plausibles pour la publicité ciblée et ne retient que la base du consentement.
Mais la CJUE ne s'est pas contentée de dire "oui, le consentement est suffisant pour cela ; nous sommes d'accord". La Cour a souligné que le consentement doit être un véritable choix de l'utilisateur et ne peut pas être extorqué par une plateforme - ce que Meta et d'autres monopoleurs adorent faire. En particulier, les pratiques de collecte de consentement des monopoleurs doivent être examinées très, très attentivement pour s'assurer que le consentement est libre et non extorqué.
En lisant entre les lignes, la CJUE a clairement anticipé. Elle savait que Meta passerait au consentement à un moment ou à un autre et s'attendait à ce que l'entreprise extorque le consentement en proposant à ses utilisateurs une solution à prendre ou à laisser. En d'autres termes, soit vous consentez à être profilé à des fins publicitaires, soit vous ne pouvez pas être sur Facebook - désolé.
En soulignant que le consentement doit être libre et non exorbitant, la CJUE a clairement laissé entendre qu'elle souhaitait ensuite obtenir un consentement réel et significatif et qu'elle attendait la même chose des autorités chargées de la protection de la vie privée et des autres juridictions. C'est un problème pour Meta, car les gens n'aiment pas être profilés et disent souvent "non" lorsqu'on leur propose un choix réel et équitable.
Pour être juste, il y a une certaine marge de manœuvre en ce qui concerne le consentement libre. Sur le papier, le GDPR laisse une certaine marge de manœuvre pour extorquer le consentement en raison de la formulation (exaspérément vague) de l'article 7(4). Mais les remarques "préventives" de la CJUE sur le consentement suggèrent que la Cour adoptera probablement une position plus dure et ne permettra pas aux entreprises de forcer le consentement par une approche à prendre ou à laisser, en particulier lorsqu'il s'agit de monopolistes tels que Meta.
Qu'en est-il de la publicité ciblée sur les plateformes sociales ? Comment peut-elle être justifiée dans le cadre du GDPR ?
La nécessité contractuelle n'entre pas en ligne de compte, pas plus que l'intérêt légitime. Le consentement sera soumis à des normes très strictes, ce qui se traduira par des taux d'exclusion élevés et une perte de revenus. Comment les grandes entreprises technologiques justifieront-elles le modèle commercial "payez avec vos données" ? Est-ce même possible à ce stade ?
Le Bundeskartellamt fait déjà des vagues
La décision du Bundeskartellamt a déjà un impact sur la publicité ciblée. Un mois après la décision, Meta a annoncé son intention de passer au consentement comme base juridique pour la publicité ciblée, confirmant ainsi que sa nouvelle stratégie de conformité fondée sur l'intérêt légitime est déjà dans l'eau.
En outre, deux semaines après l'arrêt, l'organisme norvégien de surveillance de la vie privée (Datatilsynet) a provisoirement interdit la publicité ciblée sur Facebook et Instagram.
L'ordonnance est une décision urgente qui a contourné les critères de compétence normaux du GDPR. C'est pourquoi l'autorité demandera la confirmation de sa décision au Comité européen de protection des données, l'organisation qui rassemble toutes les autorités de protection de la vie privée de l'UE et de l'EEE. Si la décision est confirmée, il ne serait pas surprenant de voir d'autres autorités suivre l'exemple du Datatylsinet et interrompre la publicité de Meta jusqu'à ce que Meta donne suite à l'annonce de son passage au consentement.
Protection des données et droit de la concurrence
Croyez-le ou non, l'arrêt ne se limite pas à cela. Oui, on pourrait écrire un livre à ce sujet.
Selon la Cour, une autorité antitrust peut prendre en compte une violation du GDPR pour évaluer un abus de position dominante, à condition qu'il y ait un certain degré de collaboration avec l'autorité compétente en matière de protection de la vie privée.
Cette indication est quelque peu vague. Il faudra donc peut-être un certain temps pour comprendre ce qu'elle signifie exactement et quels types d'infractions au GDPR peuvent être pris en compte. Les autorités antitrust pourraient peut-être commencer à examiner les infractions au GDPR liées à des politiques de confidentialité et à des conditions d'utilisation déloyales, c'est-à-dire le genre de choses qui brouillent les frontières entre les lois sur la protection de la vie privée et les lois sur la protection des consommateurs. Mais tout ceci n'est que le fruit de mes impressions, donc à prendre avec des pincettes.
Il est certain que le Bundeskartellamt est synonyme d'ennuis pour les grandes entreprises technologiques. Les géants de la technologie occupent souvent une position dominante sur un ou plusieurs marchés. Par exemple, Google est un monopole sur les marchés des moteurs de recherche et de la publicité en ligne, et Meta est pratiquement un monopole sur les réseaux sociaux (TikTok est sans doute un concurrent, mais en y regardant de plus près, il pourrait s'agir d'un marché légèrement différent).
Les grandes entreprises technologiques n'ont que peu ou pas d'égards pour la législation relative à la protection de la vie privée. Parfois, il n'existe que peu ou pas d'alternatives à leurs services, ce qui leur permet d'imposer des conditions horribles aux utilisateurs et de s'en tirer parce que ces derniers n'ont nulle part où aller. Ils adorent également violer la législation antitrust dès qu'ils en ont l'occasion - c'est ainsi qu'ils sont devenus des monopoleurs après tout.
C'est pourquoi le Bundeskartellamt pourrait changer la donne à long terme et jouer un rôle important dans les affaires antitrust.
Qu'est-ce que tout cela signifie pour Meta et Big Tech ?
Tout d'abord, la nouvelle politique de Meta en matière de protection de la vie privée n'est plus d'actualité après seulement quatre mois.
Mais le Bundeskartellamt est beaucoup, beaucoup plus grand que Meta. Ce qu'il faut retenir, c'est que les grandes entreprises technologiques ne peuvent pas s'en tirer à bon compte dans le cadre du GDPR. C'est l'hypothèse implicite mais cohérente qui sous-tend toutes les conclusions de la Cour, qu'il s'agisse des bases juridiques de la publicité ou du chevauchement entre le droit antitrust et le droit de la protection de la vie privée. Chaque mot de cet arrêt est une mauvaise nouvelle pour les grandes entreprises technologiques.
Désormais, il sera plus difficile que jamais d'affirmer que le modèle commercial répandu de paiement avec vos données peut être conforme au GDPR, à moins de donner aux utilisateurs un choix équitable et significatif de se retirer. Dans ce cas, de nombreux utilisateurs se désengageront, ce qui aura des conséquences catastrophiques sur les revenus. Cette décision est donc un coup dur pour le modèle commercial "données en tant que paiement" souvent utilisé par les grandes entreprises technologiques.
Comme si cela ne suffisait pas, les autorités de la concurrence peuvent prendre en compte les violations du GDPR lorsqu'elles évaluent les abus de position dominante. C'est une mauvaise nouvelle pour les Big Tech, car elles sont souvent dans le collimateur des autorités chargées de la protection de la vie privée et de la concurrence.
Conclusion
Il est désormais courant de constater que l'application du GDPR laisse à désirer. Les décisions prennent souvent du temps parce que les autorités chargées de la protection de la vie privée sont chroniquement sous-financées et surchargées de travail, et d'innombrables affaires transfrontalières sont retardées ou entièrement déraillées en raison d'une coopération inefficace entre les autorités.
Mais il y a une lueur d'espoir. Nous ne voyons peut-être pas autant de décisions que nécessaire, mais celles que nous voyons sont souvent très bonnes.
De nombreux régulateurs comprennent que le GDPR n'est pas une liste de paperasse qu'une entreprise doit remplir, mais plutôt une loi importante qui joue un rôle crucial dans la protection du droit fondamental à la vie privée. Ils attendent des organisations qu'elles se conforment à l'esprit du règlement et ne les laissent pas s'en tirer pour des questions techniques. Si vous faites quelque chose de mal, vous ne pourrez probablement pas vous en sortir par la voie juridique.
LeBundeskartellamt est un excellent exemple de bonne application du règlement. Il prouve que la CJUE prend le GDPR au sérieux et suggère que le règlement pourrait enfin montrer les dents aux Big Tech dans un avenir proche - ce qui est une mauvaise nouvelle pour les Big Tech et une bonne nouvelle pour tous les autres.
En attendant, les organisations peuvent également contribuer à l'évolution de l'UE vers la protection de la vie privée. De nombreux services très répandus et gourmands en données disposent d'excellentes alternatives respectueuses de la vie privée - et Google Analytics devrait être un candidat de choix à abandonner !
Nous avons créé Simple Analytics parce que nous pensons que l'analyse web n'a pas besoin d'être invasive ! Nous sommes fiers de fournir à nos clients toutes les informations dont ils ont besoin pour développer leur activité et renforcer leur présence en ligne, sans collecter de données personnelles ni tracer les utilisateurs. Si cela vous convient, n'hésitez pas à nous essayer !