Le GDPR prévoit six bases légales pour le traitement des données personnelles. Dans l'affaire Meta contre Bundeskartellamtla CJUE s'est prononcée aujourd'hui sur chacune d'entre elles, clarifiant ainsi l'interprétation du GDPR. La CJUE a largement interdit à Meta d'utiliser des données à caractère personnel au-delà de ce qui est strictement nécessaire pour fournir les produits de base (tels que la messagerie ou le partage de contenu) - tous les autres traitements (comme la publicité et le partage de données à caractère personnel) nécessitent le consentement libre et équitable des utilisateurs.
- Arrêt en Allemand et en Français
- Communiqué de presse de la CJUE
- Décision antérieure de l'EDPB conduisant à une amende de 320 millions d'euros
- Contexte de l'approche du "consentement forcé" par Meta
- Historique de l'évolution de Meta vers "l'intérêt légitime"
Première déclaration. noyb doit encore étudier les détails de cet arrêt massif. D'après la lecture en direct de l'arrêt, il semble que Meta/Facebook n'ait plus le droit d'utiliser autre chose que le consentement pour les opérations cruciales sur lesquelles il s'appuie pour faire des profits en Europe.
Max Schrems :"Nous nous félicitons de la décision de la CJUE. Elle précise que Meta ne peut pas simplement contourner le GDPR avec quelques paragraphes dans ses documents légaux. Cela signifie que Meta doit obtenir un consentement approprié et ne peut pas utiliser sa position dominante pour forcer les gens à accepter des choses qu'ils ne veulent pas. Cela auraégalement un impact positif sur le litige en cours entre noyb et Meta en Irlande"
Meta voulait "contourner" le GDPR. L'article 6, paragraphe 1, du GDPR prévoit six bases juridiques pour le traitement des données, dont l'une est le consentement au titre de l'article 6, paragraphe 1, point a), mais Meta voulait contourner l'obligation de consentement par le biais des cinq autres bases juridiques. La CJUE les a toutes traitées, citant l'article 6, paragraphe 1, point a), jusqu'au point f) dans son arrêt. Meta a principalement tenté de contourner l'obligation de consentement pour le suivi et la publicité en ligne en faisant valoir que les publicités font partie du "service" qu'elle doit contractuellement aux utilisateurs. Le prétendu changement de base juridique a eu lieu exactement le 25 mai 2018 à minuit, date d'entrée en vigueur du GDPR. La "nécessité contractuelle" visée à l'article 6, paragraphe 1, point b), est généralement comprise de manière étroite et permettrait par exemple à une boutique en ligne de transmettre l'adresse à un service postal, car cela est strictement nécessaire à la livraison d'une commande. Meta a toutefois estimé qu'elle pouvait simplement ajouter des éléments aléatoires au contrat (tels que des publicités personnalisées), afin d'éviter que les utilisateurs n'aient à donner leur consentement par oui ou par non.
Max Schrems :"Au lieu d'avoir une option 'oui/non' pour les publicités personnalisées, ils ont simplement déplacé la clause de consentement dans les termes et conditions. Ce n'est pas seulement injuste, c'est aussi clairement illégal. Nous n'avons connaissance d'aucune autre entreprise qui ait tenté d'ignorer le GDPR de manière aussi arrogante."
Le recours de Meta à l'"intérêt légitime" a également échoué. Après la décision de l'EDPB, interdisant le "contournement" en vertu de l'article 6, paragraphe 1, point b), Meta est passé à l'article 6, paragraphe 1, point f), du GDPR ce printemps. La CJUE semble également balayer les espoirs de Meta de passer simplement à un soi-disant "intérêt légitime" pour la publicité en vertu de l'article 6, paragraphe 1, point f), du GDPR. Bien que la CJUE n'ait pas exclu l'existence d'un intérêt légitime (par exemple, pour la sécurité du réseau), l'arrêt précise qu'il n'existe pas d'"intérêt légitime" qui l'emporterait sur les droits des utilisateurs lorsque les responsables du traitement tentent de fournir de la publicité. Cela empêche fondamentalement tout contrôleur de l'UE de diffuser des publicités personnalisées autrement que sur la base d'un consentement librement donné (oui/non).
Max Schrems :"C'est un coup dur pour Meta, mais aussi pour les autres sociétés de publicité en ligne. Elle clarifie le fait que les diverses théories juridiques utilisées par l'industrie pour contourner le GDPR sont nulles et non avenues