En août 2021, noyb avait déposé plusieurs plaintes contre des sites d'information utilisant des systèmes illégaux "Pay or OK" auprès des autorités allemandes chargées de la protection des données (DPA). Bien que seulement 3 à 10 % des personnes souhaitent être suivies à des fins de publicité personnalisée, ces systèmes aboutissent à des taux de consentement de plus de 99 %. Près de quatre ans après le dépôt des plaintes, les autorités de protection des données de Rhénanie-du-Nord-Westphalie et de Hesse n'ont toujours pas pris de décision sur le fond. Bien au contraire : Afin d'éviter de trancher définitivement l'affaire, l'autorité de protection des données de Rhénanie-du-Nord-Westphalie a même publié une décision de 12 pages dans laquelle elle indique qu'elle ne peut pas encore se prononcer. Aujourd'hui, noyb a assigné les deux autorités en justice pour leur inactivité qui dure depuis un an.
Historique de "Pay or OK". En août 2021, noyb a déposé deux plaintes GDPR contre les bannières "Pay or OK" sur les sites d'information faz.net et t-online.de. À l'époque, le plaignant (et tous les autres utilisateurs) devait décider s'il autorisait les sites web à traiter et à diffuser ses données personnelles à des fins de suivi publicitaire ou s'il souscrivait à un abonnement payant pour que sa vie privée soit respectée. Le GDPR exige explicitement que le consentement soit "librement donné" "librement donné". Néanmoins, plus de 99,9 % des utilisateurs acceptent le tracking lorsqu'ils sont confrontés à des systèmes "Payez ou OK" - même si seulement 3 à 10 % des personnes souhaitent en fait être suivies à des fins de publicité personnalisée. Entre-temps, même la Commission européenne a estimé que cette approche était illégale dans une affaire contre Meta.
Max Schrems, président honoraire du noyb: "Vos droits à la vie privée et à la protection des données ne devraient pas avoir de prix. Lorsque 99,9 % des citoyens acceptent quelque chose, mais que seuls 3 % le souhaitent réellement, il est clair qu'ils n'ont pas eu de choix libre et véritable. Malheureusement, une inactivité aussi évidente ressemble à une pure réticence politique à appliquer le GDPR aux entreprises de médias"
"Non-décision de la Rhénanie-du-Nord-Westphalie. Après que le DPA de Rhénanie-du-Nord-Westphalie a confirmé la réception de la plainte contre t-online.de en août 2021, noyb n'a reçu aucune mise à jour substantielle pendant un certain temps. En novembre 2022, plus d'un an après la confirmation, l'autorité a contacté noyb pour lui dire qu'elle avait vu la plainte sur le site de noyb mais ne l'avait jamais reçue. noyb a rapidement répondu en envoyant l'accusé de réception de la DPA qu'elle avait envoyé l'année précédente l'année précédente. Il s'en est suivi un échange de nombreuses observations écrites et de multiples tentatives de la part de noyb d'obtenir enfin une décision. En mai 2025, la DPA a finalement rendu une décision indiquant qu'elle ne pouvait pas encore rendre de décision - près de quatre ans après le dépôt de la plainte.
Jonas Breyer, avocat représentant le plaignant : "Il est honteux que les autorités de protection des données de Rhénanie-du-Nord-Westphalie et de Hesse n'aient toujours pas pris de décision sur le contenu après presque quatre ans. Et il ne s'agit pas d'un cas isolé. On peut se demander ce que ces autorités font de l'argent des contribuables"
L'efficacité allemande - un mythe ? L'autorité de protection des données de la Hesse n'a pas non plus pris de décision dans l'affaire faz.net. Elle a justifié sa décision en invoquant la complexité de l'affaire et la possibilité que de nouvelles lignes directrices soient introduites à l'avenir. Mais ces incertitudes potentielles n'ont pas empêché l'autorité de protection des données de Basse-Saxe de prendre une décision DPA de Basse-Saxe de Basse-Saxe de rendre une décision sur une plainte similaire dès 2023. Bien que l'Allemagne soit réputée pour sa position prétendument stricte en matière de protection des données, la réalité est que ses autorités de protection des données sont largement dépourvues de dents et se considèrent de plus en plus comme des "facilitateurs d'affaires" des "facilitateurs d'affaires". Selon un rapport du noyb des statistiques de l'EDPB entre 2018 et 2023, seulement 1,26 % des affaires portées devant l'ensemble des DPA allemandes ont abouti à une amende. Le DPA de Hesse, par exemple, a seulement ordonné 115 mesures correctives en 2024bien qu'elle ait reçu 3 839 plaintes.
Felix Mikolasch, avocat spécialisé dans la protection des données au sein de l'agence noyb: "Il est évident que les systèmes "pay or OK" n'offrent pas l'option d'un consentement "librement donné". Malgré cela, les autorités chargées de la protection des données en Hesse et en Rhénanie-du-Nord-Westphalie semblent n'avoir aucun intérêt à appliquer le GDPR de manière cohérente. C'est très discutable"
Action en justice contre les autorités. Le plaignant dans les affaires contre t-online et faz.net a maintenant déposé deux plaintes auprès des tribunaux administratifs de Wiesbaden et de Düsseldorf, respectivement. Si l'action est couronnée de succès, les autorités devront statuer sur les plaintes initiales et les confirmer.
Le plaignant est représenté par Jonas Breyer du cabinet Breyer Legal.
