plaintesnoyb : Le modèle économique de Meta déclaré illégal dans l'UE selon le WSJ. Facebook, Instagram et WhatsApp ne peuvent plus diffuser de publicités personnalisées sans le consentement des utilisateurs
Comme le rapporte le Wall Street Journal, l'EDPB a décidé que Meta ne pouvait pas forcer les utilisateurs à accepter des publicités personnalisées. En mai 2018, lorsque le GDPR est entré en vigueur dans l'UE, Meta Ireland Ltd pensait pouvoir "contourner" l'obligation d'obtenir le consentement des utilisateurs par opt-in, en ajoutant simplement une disposition dans les conditions générales. Le 25 mai 2018, l'organisation de défense des droits numériques noyb a déposé des plaintes auprès des autorités de protection des données (APD) concernées. Aujourd'hui, 4 ans et demi plus tard, le Conseil européen de la protection des données (EDPB) a jugé illégal le prétendu "contournement" du GDPR par Meta. L'EDPB a également rejeté l'avis de la Commission irlandaise de protection des données (DPC) qui s'était précédemment rangée du côté de Meta, après avoir pris quatre ans pour enquêter sur l'affaire.
- Rapport exclusif du Wall Street Journal
- Plaintes originales du 25 mai 2018
- Contexte de l'approbation par la DPC du "contournement du consentement"
- Contexte de la manière dont le DPC a poussé l'EDPB dans l'intérêt de Meta
- Lignes directrices 2/2019 de l'EDPB concernant l'article 6, paragraphe 1, point b), du GDPR
Faits essentiels. Voici les principaux éléments à retenir :
- Les informations actuelles sont basées sur un reportage du Wall Street Journal, selon lequel l'EDPB"statuait que la législation européenne en matière de protection de la vie privée ne permet pas aux plateformes Meta, telles qu'Instagram et Facebook, d'utiliser leurs conditions de service pour justifier l'autorisation de telles publicités."
- Cette décision est basée sur des plaintes déposées par noyb le 25 mai 2018, le jour où le GDPR est devenu applicable.
- L'EDPB a rendu une décision exigeant que le DPC irlandais (le régulateur de Meta dans l'UE) rende une décision finale dans un délai d'un mois.
- La décision de l'EDPB n'est pas dirigée contre les parties à la procédure, mais contre le DPC irlandais.
- L'EDPB a ainsi annulé un projet de décision antérieur du DPC irlandais qui considérait que le contournement du GDPR par Meta était légal.
- La décision de l'EDPB exige que Meta ne puisse pas utiliser les données personnelles pour des publicités basées sur un prétendu "contrat". Les utilisateurs doivent donc disposer d'une option de consentement oui/non.
- La décision de l'EDPB n'interdit pas d'autres formes de publicité (comme les publicités contextuelles, basées sur le contenu d'une page).
- La décision de l'EDPB elle-même n'a pas été publiée, mais elle le sera en même temps que la décision finale du CPD en janvier 2023.
- L'EDPB a également demandé une amende substantielle, dont le montant exact n'est pas encore connu.
Meta voulait "contourner" le consentement. Le GDPR prévoit six bases juridiques pour le traitement des données, dont l'une est le consentement en vertu de l'article 6, paragraphe 1, point a). Meta a tenté de contourner l'obligation de consentement pour le suivi et la publicité en ligne en faisant valoir que les publicités font partie du "service" qu'elle doit contractuellement aux utilisateurs. Le prétendu changement de base juridique s'est produit exactement le 25 mai 2018 à minuit, lorsque le GDPR a commencé à s'appliquer. La soi-disant "nécessité contractuelle" au titre de l'article 6, paragraphe 1, point b), est généralement comprise de manière étroite et permettrait par exemple à une boutique en ligne de transmettre l'adresse à un service postal, car cela est strictement nécessaire pour livrer une commande. Meta, cependant, a estimé qu'elle pouvait simplement ajouter des éléments aléatoires au contrat (comme une publicité personnalisée), afin d'éviter une option de consentement oui/non pour les utilisateurs.
Max Schrems :"Au lieu d'avoir une option oui/non pour les publicités personnalisées, ils ont simplement déplacé la clause de consentement dans les termes et conditions. Ce n'est pas seulement injuste mais clairement illégal. Nous n'avons pas connaissance d'une autre entreprise qui a essayé d'ignorer le GDPR d'une manière aussi arrogante."
Une amende substantielle attendue. En plus d'un arrêt global des publicités personnalisées, l'EDPB a insisté sur une amende massive pour Meta, selon le WSJ. Après tout, l'entreprise a fondé la plupart des traitements de données commerciales sur une base juridique qui a été clairement écartée par l'EDPB dans des lignes directrices explicites en 2019, ce qui a conduit à des violations clairement intentionnelles de la loi. Meta a déjà été frappé par plus d'un milliard d'euros d'amendes GDPR jusqu'à présent. Meta doit payer cette amende à l'État irlandais.
Max Schrems : "Cette procédure fait appel à de nombreuses ressources de notre association financée par des dons. L'affaire se retrouvera probablement devant les tribunaux par la suite. Cependant, l'amende ira à l'Irlande - l'État qui a pris le parti de Meta et qui retarde la procédure depuis plus de quatre ans."
DPC et Meta ont coopéré sur le "bypass". Au cours de la procédure, Meta s'est appuyé sur dix réunions confidentielles avec le DPC irlandais au cours desquelles ce dernier aurait autorisé Meta à utiliser ce "contournement". Il a été révélé par la suite que le CPD a même essayé d'influencer les lignes directrices pertinentes de l'EDPB dans l'intérêt de Meta. Néanmoins, les autres APD européennes ont rejeté le point de vue du CPD dès 2018 et à nouveau dans la décision finale de l'EDPB. L'affaire a duré plus de 4 ans et demi et a conduit à des centaines de pages de rapports et de soumissions, bien que l'affaire porte sur une question juridique plutôt simple.
Max Schrems :"Cette affaire porte sur une question juridique simple. Malgré la lenteur de la procédure, nous sommes finalement satisfaits de la décision de l'EDPB."
Conséquence : pas de publicités personnalisées. La décision signifie que Meta doit permettre aux utilisateurs d'avoir une version de toutes les apps qui n'utilise pas les données personnelles pour les publicités. La décision permettrait toujours à Meta d'utiliser des données non personnelles (comme le contenu d'un article) pour personnaliser les publicités ou de demander aux utilisateurs leur consentement aux publicités via une option oui/non. Les utilisateurs doivent pouvoir retirer leur consentement à tout moment et Meta ne peut pas limiter ce service. Cette décision limitera considérablement les bénéfices de Meta dans l'UE, mais elle n'interdira pas totalement les publicités. Au contraire, la décision mettra Meta au même niveau que les autres sites web ou applications, qui doivent offrir une option oui/non aux utilisateurs.
Max Schrems :"C'est un coup dur pour les profits de Meta dans l'UE. Il faut maintenant demander aux gens s'ils veulent que leurs données soient utilisées pour des publicités ou non. Ils doivent pouvoir répondre par "oui ou non" et peuvent changer d'avis à tout moment. Cette décision garantit également des conditions de concurrence équitables avec les autres annonceurs qui doivent également obtenir un consentement explicite."
Prochaines étapes. La décision de l'EDPB est remise au DPC irlandais. La décision doit ensuite être signifiée à Meta en Irlande et à noyb en Autriche dans un délai d'un mois (donc en janvier 2023). Meta peut alors faire appel de la décision, mais les chances de gagner un tel appel sont minimes après une décision de l'EDPB. La Cour de justice de l'UE (CJUE) est également saisie de deux affaires similaires concernant le contournement du consentement de Meta, ce qui pourrait régler définitivement la question et tous les appels. Les utilisateurs peuvent également intenter une action contre l'utilisation illégale de leurs données au cours des 4,5 dernières années.