BREAKING : il est interdit à Meta (Facebook et Instagram) d'utiliser les données personnelles à des fins publicitaires. Coup dur pour le modèle économique de Meta en Europe, suite au litige noyb . L'amende pour Meta a plus que décuplé, passant de 32 à 390 millions d'euros. Troisième affaire sur WhatsApp en cours.
Comme confirmé par le DPC irlandais, le Conseil européen de la protection des données (EDPB) a rejeté le contournement du GDPR par le DPC irlandais et Meta sur la base des plaintes noyb contre Facebook et Instagram. Il est désormais interdit à Meta de contourner le GDPR via une clause dans les termes et conditions. Meta doit obtenir un consentement "opt-in" pour la publicité personnalisée et doit fournir aux utilisateurs une option " oui/non ". La décision sur un troisième cas parallèle concernant WhatsApp est reportée à la mi-janvier.
- Vidéo explicative sur le contournement de Meta (de décembre 2022)
- Plaintes originales déposées par noyb en 2018
- Reportage précédent sur les premières informations concernant la décision de l'EDPB (Reuters)
Faits marquants :
- Deux plaintes déposées par noyb au nom d'un utilisateur autrichien et belge le 25 mai 2018 (le jour où le GDPR est devenu applicable) ont été tranchées aujourd'hui.
- Une troisième plainte déposée par WhatsApp au nom d'un utilisateur allemand a été reportée à la mi-janvier, selon un courriel du CPD.
- Meta a tenté de "contourner" l'obligation de consentement prévue par le GDPR en ajoutant une clause aux conditions générales de la publicité.
- En décembre 2022, l'EDPB a annulé un précédent projet de décision du DPC irlandais qui considérait que le contournement du GDPR par Meta était légal.
- La décision finale exige que Meta ne puisse pas utiliser les données personnelles pour des annonces basées sur un prétendu "contrat". Les utilisateurs doivent donc disposer d'une option de consentement oui/non ("opt-in"), faute de quoi Meta ne peut pas utiliser leurs données pour des publicités personnalisées.
- La décision n'interdit pas d'autres formes de publicité (comme les publicités contextuelles, basées sur le contenu d'une page).
- En plus de constater que l'utilisation des données personnelles par Meta était illégale depuis mai 2018.
- L'amende pour Facebook et Instragram s'élève à 380 millions d'euros. Il faut s'attendre à une amende supplémentaire pour WhatsApp dans le cadre de la procédure parallèle.
Meta voulait "contourner" le GDPR. Le GDPR autorise six bases juridiques pour traiter les données, dont l'une est le consentement en vertu de l'article 6, paragraphe 1, point a). Meta a tenté de contourner l'obligation de consentement pour le suivi et la publicité en ligne en faisant valoir que les publicités font partie du "service" qu'elle doit contractuellement aux utilisateurs. Le prétendu changement de base juridique s'est produit exactement le 25 mai 2018 à minuit, lorsque le GDPR est entré en vigueur. La soi-disant "nécessité contractuelle" au titre de l'article 6, paragraphe 1, point b), est généralement comprise de manière étroite et permettrait par exemple à une boutique en ligne de transmettre l'adresse à un service postal, car cela est strictement nécessaire pour livrer une commande. Meta, cependant, a estimé qu'elle pouvait simplement ajouter des éléments aléatoires au contrat (comme une publicité personnalisée), afin d'éviter une option de consentement oui/non pour les utilisateurs.
Max Schrems :"Au lieu d'avoir une option 'oui/non' pour les publicités personnalisées, ils ont simplement déplacé la clause de consentement dans les termes et conditions. Ce n'est pas seulement injuste mais clairement illégal. Nous n'avons pas connaissance d'une autre entreprise qui a essayé d'ignorer le GDPR d'une manière aussi arrogante."
avec 380 millions d'euros d'amendes, la DPC voulait 28 à 36 millions d'euros. En plus d'un arrêt global des publicités personnalisées, le DPC a insisté sur une amende massive pour Meta. Après tout, la société a fondé la plupart de ses traitements de données commerciales sur une violation intentionnelle de la loi. L'EDPB a déjà publié des lignes directrices à ce sujet en 2019. Meta a déjà été frappé de plus de 900 millions d'euros d'amendes GDPR dans d'autres cas auparavant. L'amende va à l'État irlandais, et non au plaignant, au noyb ou à l'EDPB. Le CPD a déjà demandé 28 à 36 millions d'euros dans un projet de décision, soit seulement 10 % de la décision finale de l'EDPB.
Max Schrems : "La pénalité ira à l'Irlande - l'État qui a pris le parti de Meta et a retardé l'application de la loi pendant plus de quatre ans. Cette affaire fera probablement l'objet d'un appel de la part de Meta, ce qui entraînera des coûts supplémentaires pour noyb."
DPC et Meta ont coopéré et se sont fait débouter par l'EDPB. Au cours de la procédure, Meta s'est appuyé sur dix réunions confidentielles avec la DPC irlandaise au cours desquelles cette dernière a autorisé Meta à utiliser ce "contournement". Il a été révélé par la suite que le DPC a même essayé d'influencer les directives pertinentes de l'EDPB dans l'intérêt de Meta. Néanmoins, les autres APD européennes ont rejeté le point de vue du CPD en interne en 2018, dans les lignes directrices en 2019 et à nouveau dans la décision finale de l'EDPB en décembre 2022. L'affaire a pris de l'ampleur pendant 4 ans et demi, avec des centaines de pages de rapports et de soumissions, bien que l'affaire porte sur une question juridique plutôt simple.
Max Schrems :"Cette affaire porte sur une question juridique simple. Meta prétend que le 'bypass' a eu lieu avec la bénédiction du DPC. Pendant des années, le DPC a fait traîner la procédure et a insisté pour que Meta puisse contourner le GDPR, mais il a maintenant été renversé par les autres autorités de l'UE. C'est dans l'ensemble la quatrième fois consécutive que le CPD irlandais est renversé."
Le DPC voit une victoire sur la question de la " transparence " ? Dans le communiqué de presse du DPC, la question centrale de savoir si Meta peut partager les données des utilisateurs à des fins publicitaires est noyée dans un débat plus restreint sur la transparence, où le DPC a constaté une violation.
"Il est plutôt pathétique que la DPC prétende maintenant que d'autres autorités se sont mises d'accord sur une question mineure de transparence, ce qui n'aurait nécessité que la modification d'un texte sur le site web de Meta. La question centrale était que Meta a traité illégalement les données des utilisateurs pendant plus de quatre ans, le CPD a protégé Meta et ils ont été votés au niveau de l'UE."
Conséquence : pas de publicités personnalisées, moins de profits. La décision signifie que Meta doit permettre aux utilisateurs d'avoir une version de toutes les apps qui n'utilise pas les données personnelles pour les publicités dans les trois mois. La décision permettrait toujours à Meta d'utiliser des données non personnelles (telles que le contenu d'une histoire) pour personnaliser les publicités ou de demander aux utilisateurs leur consentement aux publicités via une option " oui/non ". Les utilisateurs doivent pouvoir retirer leur consentement à tout moment et Meta ne peut pas limiter le service si les utilisateurs choisissent de le faire. Si cette mesure limitera considérablement les profits de Meta dans l'UE, elle n'interdira pas totalement les publicités. Au contraire, la décision mettra Meta au même niveau que d'autres sites web ou applications, qui doivent offrir une option "oui/non" aux utilisateurs.
Max Schrems :"C'est un coup dur pour les profits de Meta dans l'UE. Il faut maintenant demander aux gens s'ils veulent que leurs données soient utilisées pour des publicités ou non. Ils doivent avoir une option 'oui ou non' et peuvent changer d'avis à tout moment. Ladécision garantit également des conditions de concurrence équitables avec les autres annonceurs qui doivent également obtenir un consentement explicite."
DPC censure la décision du plaignant et du public, garantissant que Meta et DPC contrôlent le récit médiatique. Dans un geste étonnant, le DPC a informé noyb aujourd'hui que, bien qu'étant l'une des deux parties dans la procédure, le DPC ne divulguera pas la décision à noyb. Le DPC a soudainement invoqué la prétendue "confidentialité" de la décision comme raison. La décision devrait être communiquée au plaignant à un stade ultérieur - peut-être même après l'expiration de la durée de tout appel. Ceci est contraire aux informations précédentes du CPH selon lesquelles les parties recevraient la décision avant toute publication par le CPH.
Max Schrems :"Le fait d'être renversé par l'EDPB est un coup dur pour le DPC, non pas qu'ils semblent au moins essayer de gagner la perception publique de cette affaire. En dix ans de litiges, je n'ai jamais vu une décision être signifiée uniquement à une partie, mais pas à l'autre. Le CPH joue un jeu de relations publiques très diabolique. En ne permettant pas à noyb ou au public de lire la décision, il tente de façonner le récit de la décision conjointement avec Meta. Il semble que la coopération entre Meta et le régulateur irlandais soit bien vivante - malgré le fait que le DPC ait annulé la décision."
Prochaines étapes : DPC poursuit l'EDPB, Meta fera probablement appel. Meta devrait faire appel de la décision devant les tribunaux irlandais, mais les chances de gagner un tel appel sont minimes après une décision contraignante de l'EDPB. La Cour de justice de l'UE (CJUE) est également saisie de deux affaires similaires concernant le contournement du consentement de Meta, ce qui pourrait régler définitivement la question et tous les appels. Par ailleurs, la DPC a également annoncé qu'elle pourrait poursuivre l'EDPB sur un certain nombre de questions, car l'EDPB a demandé à la DPC de prendre des mesures d'investigation supplémentaires sur Meta, au-delà des plaintes décidées par noyb. Le DPC estime que l'EDPB n'a pas ces pouvoirs et tentera d'obtenir l'annulation de cette décision. Les utilisateurs pourront alors également intenter une action contre l'utilisation illégale de leurs données depuis 4,5 ans.