Le DPC irlandais a rendu sa décision finale sur le traitement illégal par Meta des données des utilisateurs pour la publicité personnelle. Voici un lien de téléchargement et un premier résumé rapide par noyb.
La décision du DPC montre clairement un désaccord massif entre le DPC irlandais et l'EDPB.
Combat majeur entre la DPC et ses homologues européens. La décision de la DPC fait apparaître que les autorités autrichiennes, allemandes, françaises, italiennes, néerlandaises, norvégiennes, polonaises, portugaises et suédoises ont toutes soulevé des objections formelles contre la décision de la DPC. Or, traditionnellement, les autorités ne soulèvent pas d'objections formelles s'il est clair que la question a déjà été soulevée par un certain nombre d'autorités. Le DPC ne s'est même pas soucié de modifier la décision et d'adapter ses positions, mais a simplement copié la position de l'EDPB dans la décision précédente.
Max Schrems :"La décision se lit comme un devoir à la maison où l'élève ne s'est même pas soucié de modifier ses erreurs, mais s'est contenté de copier les corrections du professeur dans un texte."
La décision du CPH pourrait ne pas mettre fin à l'affaire. La décision ne semble pas non plus traiter pleinement les plaintes de noyb, car elle ne couvre pas des questions telles que l'utilisation des données personnelles pour améliorer la plateforme Facebook ou pour du contenu personnalisé. L'EDPB a également demandé des enquêtes supplémentaires. En outre, le conflit sous-jacent est qu'en vertu du droit autrichien ou allemand, la plainte définit la portée de la procédure, le DPC estime toutefois qu'en vertu du droit irlandais, il peut limiter la portée d'une plainte. noyb pourrait devoir faire appel de la décision pour ces motifs.
Une amende minime pour une violation réelle des droits des utilisateurs ? Un élément plutôt choquant concerne l'ampleur des amendes. Alors que l'EDPB demandait une amende "nettement plus élevée", c'est le DPC qui a décidé des chiffres définitifs. Alors que le CPD a infligé une amende globale de 150 millions d'euros à Facebook pour des questions de transparence, le CPD n'a infligé à Meta qu'une amende de 60 millions d'euros pour l'absence de toute base juridique pour le traitement des données de millions d'utilisateurs européens pendant environ cinq ans.
Max Schrems :"Apparemment, le CPD est plus soucieux de baiser les utilisateurs de manière transparente que de ne pas les baiser du tout."
Plus de détails en bullet points. La décision est divisée en différentes sections traitant de différentes questions et une annexe qui traite des questions de procédure. Un court résumé des principaux points à retenir peut être lu ci-dessous, avec les paragraphes où vous pouvez trouver le point dans la décision finale de Facebook. Il peut y avoir de légères différences pour la décision Instagram, mais nous nous attendons à ce qu'elles soient largement similaires.
Si Meta peut utiliser le consentement (question 1 de la décision)
- Le CPD tente d'ignorer la question de savoir si Meta a intentionnellement induit les utilisateurs en erreur en disant simplement qu'il s'agit d'une question de transparence (§ 2.19), le CPD rejette donc l'idée qu'il n'a pas pleinement enquêté sur la plainte initiale (§ 2.20).
- Le CEPD a estimé que le CPD"aurait dû inclure un examen des opérations de traitement [de Facebook], des catégories de données traitées (y compris l'identification des catégories spéciales de données à caractère personnel susceptibles d'être traitées) et des finalités qu'elles servent", afin de déterminer pleinement la plainte.
- Le CPD continue d'ignorer la question centrale des plaintes, à savoir si les clauses des conditions équivalent de facto à une clause de consentement caché(falsa demonstratio). Au lieu de cela, le CPD a rejoint l'opinion de Meta selon laquelle si le contrôleur n'a jamais demandé le consentement. Si tel est le cas, il ne peut y avoir de consentement (§ 3.10) et la question ne doit donc pas être examinée, même si l'allégation est que Meta a simplement déplacé une clause de consentement dans les conditions générales.
- Le fait qu'une étude menée auprès de 1 000 utilisateurs montre que plus de 60 % d'entre eux considèrent qu'il s'agit d'un consentement et que moins de 2 % pensent qu'il s'agit d'un contrat, est continuellement ignoré par le DPC. L'EDPB a souligné que l'étude était une information importante qui n'a pas été prise en compte par le DPC et qui n'a pas été incluse dans le projet de décision.
- L'EDPB a annulé l'évaluation du DPC sur la question de savoir si le fait de cliquer sur "accepter" sur le site web de Meta devait être considéré comme un "consentement" au sens de l'article 6(1)(a) ou un "contrat" au sens de l'article 6(1)(b) du GDPR.
- L'EDPB a exigé que le DPC supprime toutes les conclusions relatives à la " question 1 " dans la décision (voir § 3.26). Alors que le CPD conserve toutes ses conclusions aux pages 15 à 21 du projet de décision (contre la position de l'EDPB), le CPD a ajouté un seul paragraphe à la fin de la section, disant que (bien que conservant tous les arguments contre le point de vue de l'EDPB) elle "ne fait aucune conclusion concernant la question 1".
Si Meta peut utiliser l'article 6(1)(b) "contrat" (question 2 de la décision)
- Le CPD a refusé d'enquêter sur toutes les opérations de traitement pour lesquelles Meta se fonde sur l'article 6, paragraphe 1, point b), car ilne serait "pas possible à un plaignant ... d'exiger une telle évaluation". Facebook n'a donc jamais fourni une liste de tous les traitements et de la base juridique correspondante. Cela pourrait violer le droit autrichien, où la portée d'une plainte relève clairement de la compétence du plaignant. Le CPD n'a donc enquêté que sur le plan des principes (§ 4.7), en se concentrant sur la "publicité comportementale". Cela peut rendre la décision contestable, étant donné que d'autres formes de personnalisation (comme la personnalisation du contenu, l'amélioration du produit, etc.) ou le traitement de données personnelles sensibles en vertu de l'article 9 du GDPR ont également été soulevés, mais n'ont pas été traités par l'enquête et la décision du CPD.
- Le CPD ne voit aucune compétence dans l'interprétation de ce qu'est un "contrat" et estime que la compétence du CPD est limitée au GDPR (§ 4.13). Ceci est assez étonnant car déterminer ce que contient le contrat est une condition préalable logique pour déterminer si le traitement est "nécessaire" à l'exécution d'un contrat. noyb a déjà dit que ne pas évaluer le contrat revient à ruser pour ne pas traiter la question. Le CPD"rejette, dans les termes les plus forts, ces graves allégations de mala fides, de malhonnêteté et de comportement autrement illégal" de la part de noyb alors que la nécessité contractuelle n'a tout simplement pas été examinée par le CPD. Le CPH n'accepte pas que le fait de ne pas enquêter sur ce que contient le contrat soit un"déni de justice" (§ 4.16).
- Aux paragraphes 4.26 à 4.55, le DPC répète le désaccord entre le DPC et l'EDPB, où le DPC dit qu'il ne peut pas évaluer le contenu des contrats et qu'il favoriserait une interprétation large, où tout ce qui est mis dans un contrat ou dans les termes et conditions est "nécessaire" en vertu de l'article 6(1)(b) du GDPR.
- Le CEPD semble s'être appuyé sur les références de la CJUE dans les affaires C-252/21 et C-446/21 concernant les conclusions factuelles sur l'utilisation par Meta de données à caractère personnel à des fins publicitaires et similaires, étant donné que le CPD a refusé d'examiner la question de manière approfondie (pages 37 et 38). Il semble qu'il y ait un problème de procédure majeur, car l'EDPB peut simplement manquer de preuves factuelles pour prendre une décision sur l'ensemble de la plainte, si le DPC refuse continuellement d'enquêter sur la question.
- Le CPD se contente ensuite de copier la décision de l'EDPB dans le projet de décision du CPD. Les points forts de l'EDPB :
- L'EDPB rejette en grande partie le point de vue du DPC et souligne que l'étude de noyb montre que les utilisateurs ne considèrent pas cela comme un contrat, mais comme un consentement.
- L'EDPB affirme également que ce n'est pas parce que Meta choisit de faire des profits via des publicités personnalisées que celles-ci sont "nécessaires", car Meta pourrait également diffuser des publicités basées sur le contexte ou d'autres données.
- L'EDPB estime que le but principal pour lequel les utilisateurs utilisent les services de Meta est la communication, et non les annonces personnalisées.
- Selon l'EDPB, la position du DPC et de Meta pourrait également encourager d'autres opérateurs à utiliser l'article 6(1)(b) pour contourner l'obligation de consentement.
- L'EDPB partage l'avis des autorités autrichiennes, allemandes, françaises, italiennes, néerlandaises, norvégiennes, polonaises, portugaises et suédoises, selon lequel la publicité comportementalen'est"objectivement pas nécessaire à l'exécution du prétendu contrat de Meta".
- Sans aucun autre commentaire, la DPC conclut ensuite (contre tout ce qu'elle a soutenu auparavant) au § 4.56 que" conformément aux instructions de l'EDPB", elle estime" que Facebook n'était pas en droit d'invoquer l'article 6(1)(b) GDPR" aux fins du ciblage comportemental.
Transparence du "bypass" (contournement)
- Jusqu'à présent, le CPD a surtout estimé que Meta aurait simplement dû rendre plus transparent le contournement du GDPR (qui, selon le CPD, est par ailleurs légal). Cela aurait signifié que les utilisateurs verraient simplement une pop-up supplémentaire ou autre, mais n'aurait pas empêché Meta d'abuser davantage des données des utilisateurs. Le manque de transparence est maintenu dans la décision et expliqué aux § 5.1 à 5.77.
- Le CEPD a toutefois insisté sur le fait que cela conduisait également à une violation de l'article 5, paragraphe 1, point a), du GDPR, ce qui signifierait également que les données personnelles des utilisateurs n'auraient pas dû être traitées.
- Le DPC s'est à nouveau contenté de copier/coller la décision de l'EDPB dans sa propre décision et a ajouté une ligne indiquant que, conformément à la décision de l'EDPB, il devait faire cette constatation supplémentaire.
Les ordonnances finales :
- L'EDPB a demandé un délai de trois mois pour se conformer à l'ordonnance à partir du moment où l'ordonnance de l'EDPB est signifiée. Elle interdit à Meta d'utiliser l'article 6(1)(b) comme décrit dans l'ordonnance de l'EDPB.
- Le CPD a précisé que la décision de l'EDPB doit signifier que " le traitement " est limité au traitement pour la publicité uniquement. Il semble que d'autres aspects de la plainte n'aient pas été traités par le CPD, ce qui en soi peut être illégal.
- Le CPD a modifié la décision de l'EDPB de sorte que le délai de trois mois ne commence pas à courir à partir du moment où la décision de l'EDPB a été notifiée à Meta (en décembre) mais à partir de la notification de la décision du CPD (en janvier) (voir § 8.11). Cet écart du CPH par rapport à la décision de l'EDPB semble être illégal.
- L'EDPB a fondamentalement désapprouvé l'avis du DPC sur l'amende. L'autorité allemande l'a même qualifiée de "contrefactuelle" (page 91). Dans le même temps, le CEPD ne disposait pas non plus des éléments de preuve nécessaires pour conclure que Meta avait violé "intentionnellement" le GDPR, comme le soutenait l'autorité suédoise de protection des données.
- L'EDPB n'a pas fixé d'amende spécifique, mais a seulement exigé que le DPC ait une amende " significativement plus élevée ".
- Les pages 100 à 153 sont consacrées à une réévaluation de l'amende majorée par le CPD. L'amende est divisée en 80 millions d'euros, 70 millions d'euros pour un manque de transparence et seulement 60 millions d'euros en relation avec le traitement illicite réel des données personnelles de millions d'utilisateurs de l'UE en vertu de l'article 6(1)(b) (§ 10.45).