Après des années de procédures, c’est finalement la Norvège qui serait parvenu à mettre Meta au pas du RGPD, le règlement européen sur les données personnelles. Le 1ᵉʳ août 2023, on apprenait que la maison mère d’Instagram, de WhatsApp et de Facebook allait changer sa « base légale », pour justifier le recueil de données personnelles des internautes à des fins publicitaires.
Un changement juridique sans importance ? Pas vraiment. Depuis des années, les associations militant pour la défense des droits civils, ainsi que plusieurs juridictions européennes comme la Cnil irlandaise ou la Cour européenne de justice (CJUE), demandent à Meta de recueillir le consentement express des internautes avant de passer au crible leur comportement en ligne, et de récupérer une quantité astronomique de leurs données à des fins publicitaires.
Une amende de près de 90 000 euros par jour
Et jusqu’à présent, Meta faisait la sourde oreille et optait pour d’autres justifications juridiques, non par goût pour l’opposition, mais par souci pécuniaire. Car si une société est obligée de recueillir le consentement express d’un utilisateur avant de piocher dans ses données, elle s’expose, potentiellement, à une fin de non recevoir… Ce qui signifie qu’elle pourrait ne pas collecter ses données, data qui ne pourraient plus servir à vendre de la publicité ciblée. De quoi constituer un véritable scénario catastrophe pour Meta qui vit en grande majorité de ces publicités.
Or, le 18 juillet dernier, la Norvège, se basant sur une décision de la CJUE du 4 juillet, avait tapé du poing sur la table. Soit le groupe recueille ces consentements et donne la possibilité aux internautes de les refuser. Soit ces publicités seront interdites, et la firme de Menlo Park devra payer, à compter du 4 août, une amende de près de 90 000 euros par jour. Trois jours avant la date butoir, le 1ᵉʳ août, Meta a alors publié, très discrètement, une mise à jour d’un billet de blog datant de janvier. On peut y lire : « Aujourd’hui, nous annonçons notre intention de changer la base juridique que nous utilisons pour traiter certaines données pour la publicité comportementale pour les personnes dans l’UE, l’Espace économique européen et la Suisse de ‘Intérêts légitimes’ à ‘Consentement’ ».
D’autres décisions de juridictions européennes
Et même s’il n’est nullement fait mention de la Norvège dans cette mise à jour, pour nos confrères de Wired, seule la menace de ce pays serait parvenue à faire plier le géant de la publicité en ligne. Avant elle, d’autres juridictions européennes avaient déjà demandé à Meta de faire de même – sans succès – en expliquant que c’était à l’utilisateur de donner directement son accord, en raison des données particulièrement sensibles dont il est question. Car une fois ces data compilées et affinées sur le temps passé sur telle vidéo, sur les commentaires et les interactions, les algorithmes finissent par dresser un portrait très précis des internautes… si précis qu’il pourrait lister précisément leurs goûts musicaux et leurs cycles menstruels, écrivent nos confrères.
Or, jusqu’à présent, cette obligation n’était pas respectée par Meta qui passait par d’autres bases légales – moins protectrices pour l’utilisateur européen – pour justifier la collecte. Une entreprise doit, en théorie, utiliser une des six bases légales, définies dans l’article 6 du règlement général sur la protection des données (RGPD), pour pouvoir recueillir des données tout en étant conforme à la législation européenne.
À lire aussi : L’Europe ne protège pas assez notre vie privée face aux Gafam, selon une ONG
De la nécessité à l’intérêt légitime… et au consentement
Initialement, Meta avait choisi de passer par ce qu’on appelle la nécessité : la collecte et l’utilisation des données est parfois possible, si cela est « nécessaire dans le cadre du contrat ». Ce choix avait été retoqué en décembre dernier par le Comité Européen de la Protection des Données (l’organisme qui réunit les Cnils européennes). Il avait condamné la société à changer d’approche, estimant que cette justification n’était pas valable dans une telle situation.
Meta avait alors expliqué, dans un billet de blog, le 30 mars dernier, qu’il allait changer de base juridique (donc d’article du RGPD) pour être conforme au droit européen. Le groupe a choisi de se prévaloir d’un autre des six cas listés à l’article 6 du RGPD : celui de « l’intérêt légitime ». Dans certains cas, le consentement explicite n’a pas besoin d’être recueilli si, « dans le cadre d’une relation client, le traitement d’une donnée permet de poursuivre les intérêts légitimes du prestataire de services – à condition que cela ne se fasse pas au détriment des intérêts de l’utilisateur ou de ses droits et libertés ».
Or, le 4 juillet dernier, la CJUE a dans un arrêt expliqué que Meta ne pouvait pas passer par « l’intérêt légitime ». Les juges ont précisé qu’« en l’absence d’un consentement de leur part, les intérêts et les droits fondamentaux [des] utilisateurs prévalaient sur l’intérêt de l’opérateur d’un réseau social en ligne à la personnalisation de la publicité par laquelle il finançait son activité ». Traduction : Meta ne peut pas justifier la collecte de données par cet article, il doit bien recueillir le consentement des internautes.
Une simple déclaration d’intention aux contours encore flous
Et c’est bien cette direction que semble prendre Meta, selon les termes de sa mise à jour. Le 1ᵉʳ août, le Wall Street Journal expliquait que Meta avait proposé aux autorités européennes de mettre en place ce consentement pour les publicités hautement personnalisées, dès la fin du mois d’octobre – un timing qui n’a pas été confirmé officiellement par Meta, que nous avons contacté.
Mais rien n’est encore joué : il ne s’agit pour l’instant que d’une déclaration d’intention – Meta ne dit pas qu’il applique le consentement, mais qu’il compte le faire. Autre problème : le groupe parle de « publicité comportementale », ou de « publicité hautement personnalisée », des notions qui ne sont pas définies dans la loi et qui pourraient exclure certaines publicités basées sur une tranche d’âge par exemple, explique Max Schrems, le juriste autrichien dont l’ONG, NOYB, à l’origine de nombreuses actions contre Meta et d’autres géants du numérique.
Dans un communiqué en date du 1ᵉʳ août, le cofondateur de NOYB confirme que l’ONG poursuivra le contentieux, si Meta n’applique pas pleinement la loi – autrement dit, un consentement pour toutes les données collectées à des fins publicitaires, quelle que soit la publicité. Autre problème : aucune date d’application est donnée. S’agit-il d’une déclaration d’intention pour éloigner la menace norvégienne, et gagner du temps ? Le groupe, que 01net a contacté, n’a pas souhaité commenter davantage cette affaire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Wired