Près de deux douzaines de groupes de la société civile et d’organisations à but non lucratif ont écrit une lettre ouverte au Comité européen de la protection des données (EDPB), l’exhortant à ne pas approuver une stratégie utilisée par Meta qui, selon eux, vise à contourner les protections de la vie privée de l’UE à des fins commerciales.
La lettre précède une réunion de l’EDPB cette semaine qui devrait produire des orientations sur une tactique controversée utilisée par Meta qui oblige les utilisateurs de Facebook et d’Instagram à consentir à son suivi.
De nombreux signataires, parmi lesquels EDRi, Access Now, noyb et Wikimedia Europe, ont signé une lettre ouverte similaire à l’EDPB en février. Mais le Conseil devrait adopter un avis sur « consentir ou payer » (c’est-à-dire « payer ou accepter ») dès ce mercredi. C’est donc probablement la dernière chance pour les groupes de défense des droits d’influencer les cœurs et les esprits sur une question qu’ils mettent en garde. est « cruciale » pour l’avenir de la protection des données et de la vie privée en Europe.
« Alors que vous vous préparez à élaborer des lignes directrices sur le modèle « Consentement ou paiement », nous vous exhortons à vous abstenir d’approuver une stratégie qui n’est qu’un effort visant à contourner les réglementations de l’UE sur la protection des données au nom d’un avantage commercial, et à plaider en faveur de protections solides qui donner la priorité à l’action des personnes concernées et au contrôle de leurs informations », lit-on dans la lettre ouverte. « L’accent mis sur la nécessité d’un véritable choix et d’un consentement significatif s’aligne sur les principes fondamentaux de la législation sur la protection des données, sur le contexte plus large de tous les arrêts pertinents de la CJUE et sert à faire respecter les droits fondamentaux des individus dans l’EEE. [European Economic Area]», a-t-il poursuivi.
Le porte-parole de Meta, Matthew Pollard, a déclaré dans un communiqué envoyé par courrier électronique que l’offre de la société, qu’elle appelle « Abonnement sans publicité », est conforme aux lois de l’UE : « « L’abonnement sans publicité » répond aux derniers développements réglementaires, aux orientations et aux jugements partagés par les principaux acteurs européens. les régulateurs et les tribunaux au cours des dernières années. Plus précisément, cela est conforme aux orientations données par la plus haute juridiction d’Europe : en juillet, la Cour de justice de l’Union européenne (CJUE) a approuvé le modèle d’abonnement comme moyen permettant aux personnes de consentir au traitement des données à des fins de publicité personnalisée.
De nombreuses plaintes ont été déposées contre la mise en œuvre par Meta de la tactique de paiement ou de consentement depuis le lancement de l’offre d’abonnement « sans publicité » l’automne dernier. De plus, dans une étape notable le mois dernier, l’Union européenne a ouvert une enquête formelle sur la tactique de Meta, cherchant à déterminer si elle viole les obligations qui s’appliquent à Facebook et Instagram en vertu de la loi sur les marchés numériques (DMA), axée sur la concurrence. Cette enquête reste en cours.
L’UE a également récemment interrogé Meta sur le fait de « consentir ou payer » en utilisant ses pouvoirs de surveillance qui lui permettent de contrôler le respect par les grandes plateformes de la loi sur les services numériques (DSA), une réglementation sœur du DMA, qui s’applique également aux réseaux sociaux de Meta, Facebook et Instagram.
L’avis du Conseil sur « consentement ou paiement » devrait fournir des orientations sur la manière dont le règlement général sur la protection des données (RGPD) de l’UE devrait être appliqué dans ce domaine. Cependant, cela semble également pertinent pour le DMA, dans la mesure où la nouvelle loi sur la contestabilité du marché s’appuie sur le cadre de protection des données du bloc – en faisant référence aux concepts énoncés dans le RGPD, tels que le consentement.
Cela signifie que les orientations de l’EDPB, un organe directeur axé sur le RGPD, sur la façon dont – ou, en fait, si – les modèles « consentement ou paiement » peuvent être conformes aux règles de l’UE en matière de protection des données auront probablement une plus grande importance pour savoir si le mécanisme est finalement jugé conforme. par la Commission dans son évaluation de l’approche de Meta à l’égard du DMA.
Il convient de noter que l’avis du Conseil portera sur le « consentement ou le paiement » de manière générale, plutôt que sur une enquête spécifique sur le déploiement de Meta. Meta n’est pas non plus le seul fournisseur de services à inciter les utilisateurs à « consentir ou payer ». Cette tactique a en fait été lancée par une poignée d’éditeurs de presse européens.
Néanmoins, cela aura probablement des implications majeures pour le géant des réseaux sociaux. Cela pourrait soit rendre plus difficile pour Meta de prétendre que sa tactique d’abonnement est conforme au RGPD, soit, si l’EDPB finit par approuver un modèle controversé où les utilisateurs doivent payer pour obtenir leurs droits, les bouchons de champagne éclateront sûrement à 1 Hacker Way. car Meta prévaut sur la vie privée des Européens.
Les groupes de défense des droits à l’origine de la lettre ouverte affirment que le fait d’écrire deux lettres sur ce sujet à quelques semaines d’intervalle reflète « une appréhension généralisée quant aux conséquences » du « consentement ou paiement » approuvé sans discussion par les régulateurs de la vie privée.
Le groupe de protection de la vie privée, noyb, et d’autres ont averti qu’un feu vert à cette tactique ouvrirait les vannes aux applications de tous bords pour tirer parti de la coercition économique afin de forcer les utilisateurs à être suivis – vidant ainsi les éléments clés du régime phare de protection des données de l’UE.
La lettre souligne les préoccupations exprimées par la Commission suite à l’ouverture d’une enquête du DMA sur le déploiement du « consentement ou paiement » par Meta, dans laquelle l’UE a fait part de ses craintes que « le choix binaire imposé par le modèle « payer ou consentement » de Meta pourrait ne pas fournir une solution. véritable alternative au cas où les utilisateurs ne donneraient pas leur consentement », et pourrait donc conduire à une accumulation continue de données personnelles et à une perte de confidentialité pour les utilisateurs.
La lettre fait valoir que le paiement invoqué dans le modèle « consentement ou paiement » « pourrait être considéré comme une dégradation des conditions de service », ce qui, selon elle, viole l’article 13(6) du DMA. Cet article « correspond au principe d’équité énoncé à l’article 5, paragraphe 1, point a) du RGPD ».
« Étant donné que les deux lois font référence à l’article 4 (11) du RGPD, cela souligne la nécessité urgente de protéger de manière cohérente le consentement librement donné dans le contexte du DMA ainsi que dans le cadre du RGPD », indique la lettre.
La lettre note en outre que la Commission a déjà exprimé des doutes sur le fait que le consentement ou le paiement soit « une alternative crédible au suivi », en relation avec les efforts visant à encourager les entreprises à simplifier les flux de consentement aux cookies (alias le « Cookie Pledge ») en raison du caractère « extrêmement limité » nombre de consommateurs qui acceptent de payer en fonction du nombre d’applications et de sites Web différents qu’ils peuvent utiliser chaque jour.
Il souligne également que la réponse de l’EDPB à la proposition de la Commission relative aux Cookie Pledge contenait ce qu’ils présentent comme une clarification « que cette option « moins intrusive » devrait être proposée gratuitement. »
« Cette insistance sur un véritable choix de l’utilisateur souligne le principe fondamental selon lequel le consentement doit être librement donné », poursuit-il. « Cependant, le modèle actuel « Consenter ou payer » inscrit dans le marbre une dynamique coercitive, laissant les utilisateurs sans véritable choix. L’acceptation continue de ce modèle sape les principes fondamentaux du consentement et perpétue un système qui donne la priorité aux intérêts commerciaux plutôt qu’aux droits individuels.
Une porte-parole du Conseil a confirmé avoir reçu « plusieurs lettres » d’organisations de la société civile à ce sujet. Elle nous a également indiqué que l’avis sur « le consentement ou le paiement » « concerne une question d’application générale et ne s’intéresse pas à des entreprises spécifiques », soulignant en outre : « L’EDPB examinera cette question uniquement du point de vue de la protection des données. »
« L’avis portera sur l’utilisation de modèles de consentement ou de paiement par les grandes plateformes en ligne à des fins de publicité comportementale. Des orientations plus générales sur les modèles de consentement ou de rémunération seront adoptées à un stade ultérieur », a-t-elle ajouté, affirmant que si un avis était adopté mercredi, il y aurait encore du travail administratif à faire avant qu’il puisse être rendu public – refusant de confirmer une date de publication. en avance.
Ce rapport a été mis à jour après que l’EDPB a répondu à notre demande de commentaires et de clarifications.