Aujourd'hui, l'EDPB a rendu sa première décision sur le "Pay or Okay" en ce qui concerne les grandes plateformes en ligne telles qu'Instagram et Facebook, comme l'a d'abord rapporté Politico. Cette décision interdit à Meta d'utiliser une demande de consentement illégale pour le traitement de données à caractère personnel. Il semble que Meta soit désormais à court d'options pour continuer à utiliser les données des personnes à des fins publicitaires dans l'UE sans un mécanisme de consentement qui soit réellement conforme à la loi.
Avis sur les grandes plateformes en ligne. Comme il l'a fait dans des affaires précédentes portées par noyb, l'EDPB semble avoir suivi la seule interprétation logique du terme "consentement librement donné" en analysant le système "Pay or Okay" de Meta, qui facturait aux utilisateurs plus de 250 euros par an pour Instagram et Facebook s'ils ne consentaient pas "librement" à l'utilisation de leurs données à caractère personnel. Politico cite l'EDPB: "Dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences d'un consentement valable si elles ne confrontent les utilisateurs qu'à un choix binaire entre consentir au traitement des données personnelles à des fins de publicité comportementale et payer une redevance".
Max Schrems :"Dans l'ensemble, Meta n'a plus d'options dans l'UE. Il doit maintenant offrir aux utilisateurs une véritable option oui/non pour la publicité personnalisée. Ilpeut toujours faire payer les sites pour leur portée, s'engager dans la publicité contextuelle et autres, mais le suivi des personnes à des fins publicitaires nécessite un "oui" clair de la part des utilisateurs
La discussion est lancée - des preuves sont nécessaires. L'avis rendu aujourd'hui par l'EDPB devra être analysé plus en détail lorsqu'il sera publié dans son intégralité. Il est probable qu'il ne s'agisse que du point de départ d'une discussion plus large sur le "Pay or Okay" dans divers contextes, étant donné que l'EDPB a l'intention de publier d'autres lignes directrices plus tard cette année, qui iront au-delà des "grandes plateformes en ligne". La question centrale reste de savoir si un modèle "Pay or Okay" peut répondre à l'exigence légale selon laquelle le consentement doit être "librement donné" et que les "souhaits réels" des utilisateurs soient respectés. Après tout, consentir au traitement de données personnelles revient à renoncer au droit fondamental à la protection des données. En règle générale, les droits fondamentaux ne peuvent pas être "vendus" ou accordés moyennant paiement. Jusqu'à présent, l'EDPB a largement décidé dans le vide, sans preuve indépendante et complète de la façon dont le modèle "Pay or Okay" interfère avec le choix véritable et libre des utilisateurs.
Max Schrems, président de noyb:nous nous réjouissons que l'EDPB ait entamé une discussion plus nuancée sur le "pay or okay" et ait au moins clarifié le fait que les grandes plateformes ne peuvent pas utiliser le "pay or okay". Cependant, nous sommes préoccupés par le fait que le premier avis rendu aujourd'hui est plutôt prudent et qu'il est basé sur des faits limités. Une fois que tous les faits seront sur la table, nous sommes convaincus que la méthode "Pay or Okay" sera déclarée illégale dans tous les cas. Nous savons que le système "Payez ou acceptez" fait passer les taux de consentement d'environ 3 % à plus de 99 % - il est donc aussi éloigné d'un consentement "librement donné" que la Corée du Nord l'est d'une démocratie. Ilest essentiel d'obtenir tous les chiffres pertinents pour prendre des décisions au-delà de Meta et des grandes plateformes
Une troisième option est nécessaire. L'EDPB a également évoqué la possibilité d'introduire une troisième option au-delà du "Pay or Okay", qui a jusqu'à présent été largement ignorée par le secteur. En fait, il existe de nombreuses façons de monétiser un site web, comme la publicité contextuelle, le placement de produits, le contenu payant ou les modèles "freemium", où certains contenus ne sont disponibles que moyennant paiement. Alors que l'industrie tente de limiter la discussion à deux options ("payer" ou "ok"), l'EDPB a souligné que le GDPR ne limite pas les autres moyens de financement des produits - même s'ils peuvent être moins rentables.
Payez ou acceptez, c'est la fin du consentement "librement donné". Comme nous l'avons signalé au cours des derniers mois, le "Pay or Okay" entraîne des coûts énormes pour les consommateurs (facilement 35 263,20 euros pour une famille de quatre personnes), qui dépassent de loin les revenus publicitaires actuels des éditeurs, qui ne s'élèvent souvent qu'à quelques centimes d'euros. Le revenu moyen actuel de la publicité programmatique dans l'Union européenne est de 1,41 euro par utilisateur et par mois, tous sites confondus. Dans des pays comme l'Autriche, l'Allemagne, la France, l'Espagne ou l'Italie, visiter les 100 premiers sites web peut déjà coûter plus de 1 500 euros par an si l'on ne consent pas au suivi. Dans la vidéo d'information de la semaine dernière, nous avons également mis en évidence la dynamique décisionnelle problématique du "Pay or Okay", qui fait passer le "libre arbitre" des utilisateurs de 3 % qui souhaitent une publicité personnalisée à 99,9 % qui cliquent (à contrecœur) sur "d'accord" si l'alternative est une facture salée.
Max Schrems :"Lorsque plus de 90 % des utilisateurs acceptent quelque chose qu'ils ne veulent pas, il n'est pas nécessaire d'être juriste pour comprendre qu'il ne s'agit pas d'un consentement "librement donné". En fait, cinq ans après l'entrée en vigueur du GDPR, il ne s'agit là que de la dernière "astuce" visant à saper la législation européenne, ou du moins à retarder la mise en conformité de quelques années supplémentaires. Il est très problématique que les autorités n'aient pas encore adopté une position claire à ce sujet. Dans les affaires que nous avons introduites en Autriche ou en Allemagne, nous constatons plutôt que les autorités ferment les yeux sur le "Pay or Okay" parce qu'il a d'abord été introduit par les médias d'information, avec lesquels elles ne veulent pas interférer - même si la loi est la même pour tout le monde"
Contexte. Jusqu'à ce que le GDPR devienne applicable le 25 mai 2018, Meta a utilisé le "consentement" en vertu de l'article 6, paragraphe 1, point a), du GDPR comme base juridique pour le traitement des données à caractère personnel des utilisateurs, par exemple pour la publicité. En vertu du GDPR, le consentement doit être spécifique, informé, non ambigu et donné librement. Meta craignait que le fait de donner aux utilisateurs une telle option oui/non ne limite ses possibilités de gagner de l'argent dans l'UE. À minuit le 25 mai 2018, Meta a donc commencé à soutenir que l'affichage de publicités faisait partie du contrat de l'utilisateur, en invoquant l'article 6, paragraphe 1, point b), du GDPR. La Cour de justice de l'Union européenne (CJUE) et le Comité européen de la protection des données (CEPD) ont jugé cette pratique illégale en 2023. En 2023, Meta a ensuite brièvement fait valoir qu'elle avait un "intérêt légitime" à traiter des données à caractère personnel à des fins publicitaires en vertu de l'article 6, paragraphe 1, point f), du GDPR, jusqu'à ce qu'elle commence à revenir au "consentement" en vertu de l'article 6, paragraphe 1, point a), du GDPR - en demandant aux utilisateurs de consentir ou de payer une redevance pouvant aller jusqu'à 20,99 € pour Instagram et Facebook combinés.
Les autorités de protection des données norvégiennes, néerlandaises et hambourgeoises ont renvoyé le programme "Pay or Okay" devant l'EDPB, qui vient de rendre une décision. Toutes ces tentatives de contournement de la loi ont été menées avec le soutien actif de la Commission irlandaise de protection des données (DPC), en tant que principal régulateur du siège européen de Meta en Irlande. Tous ces "accords" avec le régulateur irlandais ont ensuite été jugés illégaux par l'EDPB ou la CJUE.