International

Meta sanctionnée par la Commission irlandaise pour la protection des données (DPC) à une amende de 390 millions d’euros pour violation du Règlement général sur la protection des données (RGPD)

Par Judith Rochfeld, le 16 janvier 2023 à 16:58

Par Judith Rochfeld – Professeure à l’Ecole de droit de la Sorbonne – Université Paris 1 – IRJS
Le 31 décembre 2022, Meta Ireland (qui préside aux destinées de Facebook, Instagram, Whatsapp) a été condamnée par la Commission irlandaise pour la protection des données (DPC), à la demande de deux demandeurs, autrichien (pour Facebook) et belge (pour Instagram), à une amende de 390 millions d’euros pour violation du RGPD

Pour quelle(s) raison(s) le groupe Meta s’est-il vu infliger cette amende ?

Meta Ireland a affronté deux critiques concernant l’organisation de la publicité ciblée à l’égard de ses utilisateurs (ou de propositions de services personnalisés). Au préalable, il faut bien comprendre que, pour personnaliser des publicités et propositions de services, il est nécessaire d’avoir « profilé » les personnes en les suivant à la trace numérique, via des cookies et traceurs placés sur le disque dur des ordinateurs, des identifiants générés par les systèmes d’exploitation des smartphones, des dispositifs d’enregistrement sur les objets connectés, etc. : sur ce fondement, on collecte et analyse leurs données à caractère personnel, pour connaître leurs goûts, centres d’intérêts, comportements, capacités à acheter, etc. ; on les profile ; on infère des caractéristiques ; on les cible en retour avec des publicités censées être adaptées et on monétise ainsi au plus près les précieuses minutes d’attention de chacun.

Ces traitements de données doivent, entre autres exigences et pour être licites, respecter le principe de transparence (l’un des principes fondamentaux énoncé par l’article 5 du Règlement européen Général de Protection des Données, RGPD) et se fonder sur l’une des six bases autorisant, pour le Règlement toujours, un traitement (article 6, à savoir le consentement de la personne, la nécessité pour l’exécution d’un contrat, du respect d’une obligation légale, d’une mission d’intérêt public, de la sauvegarde d’intérêts vitaux, et l’intérêt légitime de l’opérateur ou d’un tiers). Or, pour les demandeurs et d’une part, Meta aurait mal informé les utilisateurs sur les traitements menés, leurs finalités, ainsi que sur la base juridique censée les rendre licites (les articles 12 et 13 du texte égrainant les informations requises, le moment et la manière de les fournir). D’autre part, elle aurait choisi une base de traitement inadaptée. Elle ne se fondait pas, en effet, sur le consentement des personnes ; dans ce cas, il aurait fallu obtenir un « acte positif clair », spécifique — via une case spéciale à cocher par exemple — libre, éclairé et univoque. Elle considérait plutôt que le traitement — et plus largement la publicité ciblée et la monétisation de l’audience — étaient strictement nécessaires à l’exécution du contrat de fourniture d’accès au réseau social : les utilisateurs étaient censés entrer dans un contrat dont l’exécution impliquait de pouvoir proposer des publicités et propositions personnalisées.

En conséquence, elle se contentait de demander aux utilisateurs d’accepter les conditions générales d’utilisation, par un clic sur un traditionnel et global « j’accepte », et conditionnait ainsi leur accès aux services à cette acceptation. L’Autorité donne alors raison aux demandeurs de considérer l’information comme insuffisante et la base choisie comme inadmissible : tout en rejetant le grief avancé de « consentement forcé » — puisque la base de traitement ne tenait pas au consentement —, elle n’adhère pas à l’idée que la personnalisation de la publicité et des propositions de services puisse relever de la stricte exécution du contrat. En réalité, ce sont davantage les autres autorités européennes de contrôle, puis le Comité européen de protection des données (CEPD), sorte de réunion de ces autorités, qui l’ont conduite à cette conclusion : l’autorité irlandaise, qui n’est pas connue pour être sévère avec les GAFA dont les sièges européens se trouvent à Dublin par attraction fiscale (entre autres) et dont la présence est hautement appréciée (économiquement), n’allait pas en ce sens initialement. Mais elle a dû, selon une procédure prévue par le RGPD étant donné l’envergure de la pratique, soumettre son projet de décision à ses consœurs, puis faire trancher leur désaccord par le Comité européen. De là l’augmentation de la sanction du premier manquement (on a, un moment, parlé en milliards…), mais également le constat du second (cf. la décision du comité du 5 décembre 2022).

Que prévoit le règlement général sur la protection des données (RGPD) dans le traitement des données à caractère personnel à des fins de publicité ciblée et personnalisée ? Cette sanction illustre-t-elle l’incertitude règlementaire à laquelle peuvent être confrontées les entreprises en cette matière ?

La publicité ciblée doit, en réalité, être analysée au regard d’au moins deux textes (elle soulève également des questions de concurrence, que nous laisserons ici de côté et dont s’est récemment saisi le Digital Market Act adopté en octobre 2022).

D’un côté, le fameux RGPD, qui permet de déterminer à quelles conditions et sur quelle base juridique un « responsable de traitement » a le droit de traiter les données à caractère personnel, ainsi qu’on l’a mentionné. D’un autre côté, la directive spéciale 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite « vie privée et communications électroniques », révisée en 2009) : son article 5§3 exige, pour stocker des informations ou accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, que celui-ci ait été informé et ait donné son consentement ; il le fait au nom de la défense d’une valeur quelque peu différente, à savoir le « secret des correspondances ».

Or, la révision de cette directive, qui a été transposée en France à l’article 82 de la loi « Informatique et Libertés », se trouve au cœur d’enjeux parmi les plus importants pour les modèles d’affaires dits du « gratuit », propres à certaines des très grandes plateformes, modèles qui reposent en réalité sur la monétisation décrite de l’audience : conservera-t-on l’exigence de consentement ? Ce dernier peut-il conditionner l’accès aux services (cookie wall ou « mur de cookies ») ? Peut-on le paramétrer de façon globale ? C’est pourquoi, alors que cette révision aurait dû intervenir en même temps que celle de sa grande « sœur », la directive du 24 octobre 1995 sur la protection des données à caractère personnel, sous la forme d’un règlement européen « e-privacy », elle n’a pas abouti : si le RGPD a bien quoique non sans mal été adopté en 2016 (et est entré en application en 2018), on attend et discute toujours très âprement de l’autre règlement… Il a fallu se contenter en la matière du récent Digital Services Act publié le 27 octobre 2022 (et applicable en février 2024) posant, pour les plateformes, quelques règles relatives à la publicité comportementale (information sur les critères de profilage et les systèmes de recommandation ; interdiction des publicités ciblées sur le fondement de données sensibles et envers les mineurs).

Quelles sont les conséquences d’une telle amende pour le groupe Meta ?

Dans l’immédiat, l’entreprise a trois mois pour respecter une obligation de se mettre en conformité, obligation qui accompagne l’amende. Elle a annoncé faire appel, tandis que l’Autorité irlandaise, qui a peu apprécié que le Comité européen lui force la plume, menace de faire annuler la décision de ce dernier par la Cour de Justice de l’UE… Mais il faut surtout se rendre compte que cette sanction n’est nullement isolée : récemment, l’entreprise a été condamnée à 60 millions d’euros par la CNIL française pour sa politique de cookies (plus exactement Facebook Ireland et pour la difficulté des utilisateurs de les refuser ; décembre 2021) ; à 405 millions pour les traitements de données des enfants sur Instagram, par l’Autorité irlandaise poussée par le Comité européen à nouveau (septembre 2022),… et on pourrait multiplier les exemples.

À plus long terme, cette décision soulève la question centrale de la pérennité du modèle de « gratuité » et des conditions de son admission, participant en conséquence grandement des débats évoqués.

L’Autorité irlandaise, en se rangeant à l’avis de Méta, la soutenait : la conclusion du contrat de fourniture de services de réseaux sociaux implique la publicité ciblée et la personnalisation des contenus ; le marché du gratuit suppose, économiquement et pour fonctionner, ce ciblage publicitaire et de services (la monétisation sous-jacente de l’audience et des personnes). L’orientation des autorités européennes, en refusant ce lien, rebat les cartes des « externalités » admissibles.

Pour l’heure, cette monétisation n’est pas exclue même si, pour s’opérer, elle doit se réorienter vers le fondement du consentement ou de l’intérêt légitime (et respecter le consentement aux traceurs). Mais elle subit en parallèle des attaques sans précédent : des concurrents font obstacle au suivi des utilisateurs qui fréquentent leur silo de services (Apple) ; d’autres expérimentent des technologies de ciblage qui ne passent pas par ces pistages (Google) ; des usagers, encore, commencent à s’en lasser…Et les cours de l’action de Meta baissent en bourse. Il n’en demeure pas moins que le dernier mot devrait revenir au législateur européen et au Règlement e-privacy…

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]