Marquez votre calendrier amis européens : le 4 juillet pourrait bientôt être célébré comme la journée de l’indépendance du capitalisme de surveillance de Meta… Un arrêt tant attendu rendu aujourd’hui par la Cour de justice de l’Union européenne (CJUE) semble avoir complètement écrasé la capacité du géant des médias sociaux à continuer de bafouer la législation européenne sur la protection de la vie privée en refusant aux utilisateurs le libre choix de son suivi et de son profilage.
La décision remonte à une ordonnance pionnière de l’organisme allemand de surveillance antitrust, l’Office fédéral des cartels (FCO), qui a passé des années à enquêter sur les activités de Facebook – faisant valoir que les atteintes à la vie privée devraient également être traitées comme un abus de concurrence exploitant.
Dans son ordonnance de février 2019, le FCO a dit à Facebook (comme Meta l’était encore à l’époque) de cesser de combiner les données sur les utilisateurs sur sa propre suite de plateformes sociales sans leur consentement. Meta a cherché à bloquer l’ordonnance devant les tribunaux allemands, ce qui a finalement déclenché le renvoi du soi-disant « superprofilage » de Meta à la CJUE en mars 2021.
Maintenant, nous avons le point de vue du plus haut tribunal et, eh bien, cela ne déclenchera aucune célébration au Meta HQ, c’est sûr.
La CJUE a non seulement convenu que les autorités de la concurrence peuvent prendre en compte la protection des données dans leurs évaluations antitrust (ce qui semble bancal mais est vraiment vital car le travail en commun plutôt que les silos réglementaires est la voie vers une surveillance efficace du pouvoir de la plate-forme) – mais a signalé que le consentement est le seule base juridique appropriée pour le contenu « personnalisé » axé sur le suivi et le profilage et la publicité comportementale que Meta monétise.
Voici le morceau pertinent du communiqué de presse :
En ce qui concerne plus généralement le traitement effectué par Meta Platforms Ireland, y compris le traitement de données « non sensibles », la Cour examine ensuite s’il est couvert par les justifications, énoncées dans le RGPD, permettant le traitement de données effectué en l’absence du consentement de la personne concernée pour être rendu licite. Dans ce contexte, elle constate que la nécessité de l’exécution du contrat auquel la personne concernée est partie ne peut justifier la pratique litigieuse qu’à la condition que le traitement des données soit objectivement indispensable de sorte que l’objet principal du contrat ne puisse être réalisé si le traitement en question n’a pas lieu. Sous réserve de vérification par la juridiction de renvoi, la Cour de justice émet des doutes quant à la capacité d’un contenu personnalisé ou d’une utilisation cohérente et homogène des propres services du groupe Meta à remplir ces critères.
Le consentement en vertu de la législation européenne sur la protection des données signifie que les utilisateurs doivent avoir le choix de refuser ce type de suivi sans avoir à renoncer à l’accès au service principal. Et c’est exactement le choix que Meta a historiquement refusé à ses utilisateurs. (Bien que – surprise, surprise ! – quelques semaines à peine avant le jugement de la CJUE, anticipant sans doute ce qui allait arriver, elle a annoncé de nouveaux contrôles pour permettre aux utilisateurs de limiter son suivi intersite, bien qu’avec une certaine réduction des fonctionnalités s’ils refusent le suivi, il reste donc à voir si la tentative de Meta d’anticiper la décision est allée assez loin.)
L’année dernière, un conseiller de la CJUE a adopté un point de vue similaire sur le fond de la saisine sur le superprofilage Meta. Mais alors que l’avis de l’avocat général à la Cour n’était pas juridiquement contraignant, la décision d’aujourd’hui est authentique loi dure. Et cela signifie que ni Meta ni les autorités de protection des données de l’UE ne peuvent l’ignorer.
Ce dernier point est important car la réticence de certains DPA à appliquer vigoureusement le règlement général sur la protection des données (RGPD) du bloc sur les géants de la technologie qui bafouent les règles qu’ils sont censés superviser a conduit à crier que le règlement a échoué – ou du moins a été désespérément bloqué par achats de forum.
Il ne fait aucun doute que l’application du GDPR sur Big Tech a été un processus très minutieux. Une décision majeure de la DPA irlandaise en janvier s’est finalement prononcée contre la prétention de Meta de s’appuyer sur la nécessité contractuelle pour diffuser sa publicité comportementale. Mais il a fallu plus de quatre ans depuis que la plainte initiale a été déposée pour obtenir cette ordonnance (dont Meta fait également appel maintenant, donc le processus n’est toujours pas encore terminé non plus).
Puis, en mars, en réponse à un délai de conformité dans l’ordonnance de la Commission irlandaise de protection des données (DPC), Meta a annoncé qu’il changerait la base juridique qu’il revendique pour le traitement des données pour les annonces sur une autre base non basée sur le consentement – connue comme intérêt légitime.
Ainsi, après des années de plaintes pour atteinte à la vie privée, d’enquête réglementaire et d’application (éventuelle) de Meta, Meta a toujours opté contre offrant aux utilisateurs un choix clair oui / non sur son suivi – anticipant vraisemblablement être en mesure de faire tourner le processus de surveillance de sa réclamation LI (et d’éviter d’avoir à réformer son modèle commercial hostile à la vie privée) pendant encore environ quatre ans.
Cependant, la CJUE semble avoir lancé une clé dans cette dernière tactique d’évasion GDPR puisque les DPA de l’UE ne peuvent pas ignorer la direction de la Cour. L’Irlande ne devrait donc pas simplement rester les bras croisés et laisser Meta le faire en revendiquant une base juridique d’intérêt légitime que la CJUE a signalée comme inappropriée dans ce contexte. Et, eh bien, lorsque les utilisateurs sont habilités à nier le capitalisme de surveillance, ils le font en masse. (Voir, par exemple, l’impact de la transparence du suivi des applications d’Apple sur les activités publicitaires de Meta.)
La clarté de la CJUE sur la manière dont le RGPD doit être appliqué aux modèles commerciaux financés par la publicité comme celui de Meta pourrait enfin clore ce chapitre sur le capitalisme de surveillance.
Dans son communiqué de presse sur le jugement, la Cour écrit (avec emphase) : «[T]La publicité personnalisée par laquelle le réseau social en ligne Facebook finance son activité, ne saurait justifier, en tant qu’intérêt légitime poursuivi par Meta Platforms Ireland, le traitement des données en cause, en l’absence du consentement de la personne concernée.
Nous avons contacté le DPC irlandais pour obtenir une réponse à la décision de la CJUE et mettrons à jour ce rapport si nous en recevons un.
La CJUE a également choisi de souligner la nécessité de s’assurer que la qualité du consentement est valide, c’est-à-dire que le choix qui lui est offert est vraiment libre (et non manipulé, comme par l’utilisation de motifs sombres ou en pénalisant l’utilisateur, comme avec un service inférieur à la moyenne pour refuser l’accès à leurs données) — compte tenu du déséquilibre entre le pouvoir de marché d’un réseau social dominant et de ses utilisateurs, notant dans son communiqué de presse que « c’est à l’opérateur de prouver ».
En outre, la Cour a confirmé que Meta ne peut pas simplement esquiver l’obligation légale d’obtenir le consentement explicite des utilisateurs pour traiter les catégories de données personnelles dites sensibles (telles que les convictions politiques, l’orientation sexuelle, l’origine raciale ou ethnique, etc.) — avec la Cour constater que le fait que des utilisateurs visitent ou interagissent avec des services web ne signifie pas qu’ils ont manifestement rendu publiques leurs données sensibles (ce qui lèverait l’obligation d’obtenir un consentement explicite).
Cet élément du jugement pourrait alimenter une nouvelle vague de litiges contre Meta pour le traitement des données sensibles des utilisateurs sans obtenir leur consentement explicite puisque Facebook traite clairement des tas de ces choses – toujours sans demander explicitement la permission.
Toujours du communiqué de presse de la CJUE :
En outre, la Cour observe que le traitement de données effectué par Meta Platforms Ireland semble également concerner des catégories particulières de données susceptibles de révéler, entre autres, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou l’orientation sexuelle, et dont le traitement est en principe interdit par le RGPD. Il appartiendra à la juridiction de renvoi d’apprécier si certaines des données collectées sont effectivement susceptibles de permettre la révélation de telles informations, que ces informations concernent un utilisateur dudit réseau social ou toute autre personne physique.
Max Schrems, l’avocat et militant des droits à la vie privée qui était à l’origine de la plainte initiale contre le « consentement forcé » de Meta, a surnommé aujourd’hui « le jour de l’effondrement du RGPD pour Meta » – arguant que le tribunal a fermé la porte à toutes les « échappatoires » que les avocats de l’entreprise ont cherché à faire pression au cours des cinq dernières années.
Dans une déclaration plus complète, noyb – l’organisation à but non lucratif pour les droits à la vie privée de Schrem – a déclaré que la CJUE avait déclaré l’approche GDPR de Meta « illégale ».
« noyb doit encore étudier les détails de ce jugement massif. D’après la lecture en direct de la holding, il semble que Meta / Facebook n’ait pas le droit d’utiliser autre chose que le consentement pour des opérations cruciales sur lesquelles il s’appuie pour réaliser des bénéfices en Europe », a-t-il également écrit, Schrems affirmant que Meta devra désormais «chercher correctement consentement et ne peut pas utiliser sa position dominante pour forcer les gens à accepter des choses qu’ils ne veulent pas ».
« Cela aura également un impact positif sur les litiges en cours entre noyb et Meta en Irlande », a-t-il ajouté – faisant référence à la décision susmentionnée en Irlande sur la base juridique de Meta pour les publicités.
Le BEUC, l’organisation européenne des consommateurs, a également salué la décision de la CJUE, suggérant qu’elle « ouvre la voie à une application plus efficace contre les plateformes numériques dominantes ».
Alors que dans un communiqué, le président du FCO, Andreas Mundt, a déclaré que l’arrêt « envoie un signal fort pour l’application du droit de la concurrence dans l’économie numérique, un domaine où les données sont décisives pour le pouvoir de marché ».
« Lorsque les grandes entreprises de l’internet utilisent les données très personnelles des consommateurs, cette utilisation peut également être considérée comme abusive au regard du droit de la concurrence. Dans leur application du droit de la concurrence, les autorités de la concurrence doivent également tenir compte des règles de protection des données. Le jugement aura des effets considérables sur les modèles commerciaux utilisés dans l’économie des données. Lors de l’application du droit de la concurrence, il est important que nous continuions à coopérer étroitement avec les autorités de protection des données », a-t-il ajouté.
Pour sa part, Meta n’a pas encore offert beaucoup de réponse à offrir. « Nous évaluons la décision de la Cour et aurons plus à dire en temps voulu », a déclaré un porte-parole de la société.
Meta a également rappelé un article de blog antérieur, publié après la constatation de la violation du RGPD en janvier et mis à jour en mars lorsqu’il est passé à LI, où la société écrivait alors : « Pour nous conformer, à partir du mercredi 5 avril, nous modifions la base juridique que nous utiliser pour traiter certaines données de première partie en Europe, de la « nécessité contractuelle » aux « intérêts légitimes ». Le GDPR stipule clairement qu’il n’y a pas de hiérarchie entre les bases juridiques, et aucune ne doit être considérée comme plus valide qu’une autre.
Le contentieux en Allemagne, où Meta conteste l’injonction du FCO de limiter son profilage des utilisateurs — qui a été mis en pause sur la saisine de la CJUE — va désormais pouvoir reprendre. Il reste à voir combien de temps il faudra pour que cette affaire passe devant les tribunaux allemands. Mais la décision de la CJUE peut être lue comme l’écriture sur le mur pour un suivi sans consentement dans l’UE.
Ce rapport a été mis à jour pour inclure la déclaration du FCO