Le tueur de Twitter prévu par Meta, Threads, n’est pas encore accessible au public, mais il ressemble déjà à un cauchemar pour la vie privée.
Les informations fournies sur la confidentialité de l’application via les divulgations obligatoires requises sur iOS montrent que l’application peut collecter des informations très sensibles sur les utilisateurs afin de profiler leur activité numérique – y compris les données de santé et financières, l’emplacement précis, l’historique de navigation, les contacts, l’historique de recherche et d’autres informations sensibles .
Étant donné que Meta, le développeur derrière l’application, la société anciennement connue sous le nom de Facebook, tire son argent du suivi et du profilage des internautes pour vendre leur attention via ses outils de microciblage publicitaire comportemental, cela n’est guère surprenant. Mais cela soulève des questions quant à savoir si Threads pourra se lancer dans l’Union européenne où la base juridique revendiquée par Meta pour le traitement des données personnelles des utilisateurs de Facebook (exécution d’un contrat) a été jugée illégale au début de cette année.
Meta est depuis passé à une revendication d’intérêt légitime pour ce traitement des données pour les annonces. Mais, plus tôt cette semaine, le plus haut tribunal du bloc a empilé plus de malheurs régionaux sur Meta via un jugement sur un renvoi d’une affaire allemande où la Cour a déclaré que cette base juridique n’était pas non plus appropriée pour diffuser les publicités comportementales de Meta et que le consentement devait être demandé. En vertu de la législation européenne actuelle, les informations sensibles telles que les données de santé nécessitent également un niveau encore plus élevé de consentement explicite pour être légalement traitées afin d’être conformes au règlement général sur la protection des données. Meta aurait donc besoin de demander et d’obtenir une autorisation spécifique pour le traitement de données sensibles telles que la santé.
De plus, les réglementations européennes entrantes interdisent entièrement l’utilisation de données sensibles pour les publicités et peuvent exiger un consentement explicite pour que les géants de la technologie combinent les données pour le profilage des publicités (voir : la loi sur les services numériques et la loi sur les marchés numériques). Il y a donc encore plus d’incertitude juridique régionale qui se profile à l’horizon pour l’entreprise agricole de Meta. (Les contrôleurs d’accès désignés doivent se conformer à la DMA d’ici le printemps prochain, tandis que les plateformes en ligne dites très grandes doivent respecter les obligations en vertu de la DSA d’ici le 25 août.)
Actuellement, le géant de la technologie publicitaire n’offre même pas aux utilisateurs un choix général et initial de refuser son suivi et son profilage, et encore moins de demander explicitement s’il peut partager des données sur votre état de santé afin que les annonceurs puissent essayer de vous vendre des pilules amaigrissantes ou quoi que ce soit. Et avec des limites encore plus strictes sur les publicités de surveillance à venir dans l’UE, une application qui propose de tout suivre pour maximiser son attrait pour les annonceurs sera difficile à vendre aux régulateurs régionaux.
De plus, comme si cela ne suffisait pas, Meta a récemment reçu l’ordre de cesser d’envoyer des données d’utilisateurs de l’UE aux États-Unis pour traitement et une amende de près de 1,3 milliard de dollars pour avoir enfreint les exigences du RGPD en matière d’exportation de données. Cette commande est spécifique à Facebook mais, en principe, la même exigence pourrait être appliquée à d’autres services Meta qui ne protègent pas de manière adéquate les données des Européens sur l’étang (par exemple en utilisant un cryptage de bout en bout à architecture à connaissance zéro). Et, clairement, Threads n’offrira pas aux utilisateurs ce genre de confidentialité.
La mise en conformité de l’activité d’annonces de surveillance de Meta avec le droit de l’UE va nécessiter un changement radical dans son fonctionnement – un changement qui ne semble pas être son plan avec Threads, étant donné qu’il présente davantage la même agriculture d’attention qui attire Mark L’empire de Zuckerberg était un représentant si toxique qu’il a dû subir un changement de marque coûteux en Meta ces dernières années.
Que le changement de marque ait fonctionné pour détoxifier l’image de marque de Meta semble discutable étant donné qu’il choisit d’attacher Threads à la marque d’Instagram, plutôt que de l’appeler explicitement une application Meta (le développeur répertorié sur l’App Store est « Instagram Inc » et la description du texte décrit l’application comme « l’application de conversation textuelle d’Instagram »). Bien que ce choix puisse être davantage lié au fait que Meta le considère comme la meilleure stratégie pour créer rapidement une base d’utilisateurs Threads s’il peut pousser la communauté nombreuse et engagée d’Instagram à adopter instantanément ce qu’il présente comme une application sœur « texte » afin que le ce dernier peut frapper le sol en courant.
Une chose est claire : Threads ne fonctionnera pas encore dans l’UE. Et peut-être jamais. Du moins pas à moins que Meta ne réforme radicalement son approche du choix de l’utilisateur par rapport au suivi.
Hier, l’Irish Independent a annoncé que l’application ne serait pas lancée dans l’UE, citant le principal superviseur régional de la protection des données de Meta, le DPC irlandais, affirmant qu’il avait été en contact avec Meta à propos du service et qu’il ne serait pas lancé « à ce stade ». .
Alors qu’aujourd’hui, le Guardian – citant des sources au sein de Meta – a rapporté que la société avait retardé le lancement de Threads dans l’UE en raison de l’incertitude juridique concernant l’utilisation des données liée aux limites susmentionnées du DMA sur le partage des données des utilisateurs sur différentes plates-formes.
Un porte-parole de Meta n’a pas répondu à nos questions quant à savoir s’il prévoyait de lancer Threads dans l’UE ou non.
Mais le DPC a précisé à TechCrunch qu’il n’avait pas empêché Meta de lancer Threads, sur la base de son rôle d’application de la conformité au RGPD, affirmant que la société n’avait « pas encore l’intention de se lancer dans l’UE ». Il semble donc qu’il n’y ait eu aucune intervention réglementaire active pour bloquer un lancement à ce stade. Meta semble plutôt préoccupé par le risque juridique qu’il pourrait engendrer s’il poursuit son lancement alors qu’il devrait être soumis à la DMA dans quelques mois. (Plus tôt cette semaine, la société a informé l’UE qu’elle pensait que le régime antitrust ex ante entrant s’appliquait à son entreprise – mais la conformité n’est requise que six mois après les désignations officielles de gardien de l’UE).
Le nouveau règlement sera appliqué de manière centralisée par la Commission européenne, plutôt que par les autorités au niveau des États membres telles que le DPC irlandais. On s’attend donc à un changement de vitesse dans le bloc vers l’application des géants du numérique – et ce changement de paradigme augmente également l’incertitude juridique pour Meta au sein de l’UE.
Notamment, Threads doit être lancé au Royaume-Uni jeudi – où la situation réglementaire est différente puisque le marché ne relève plus du droit de l’UE après le référendum sur le Brexit pour quitter le bloc.
Le régime actuel de protection des données du Royaume-Uni est toujours dérivé du RGPD, donc, techniquement parlant, les mêmes exigences légales concernant le traitement des données personnelles s’y appliquent également. Cependant, le chien de garde de la protection des données du pays, l’ICO, a été tristement inactif sur les violations systémiques de l’industrie de la publicité de surveillance. Meta peut donc être à l’aise avec le niveau de risque juridique auquel son entreprise est confrontée dans le Brexit Grande-Bretagne. Et tandis que le gouvernement britannique a récemment relancé un plan mis de côté pour promulguer sa propre réforme antitrust ex ante ciblant les géants du numérique, il est probable qu’il manque des années pour avoir une législation comparable à la DMA de l’UE dans ses propres textes législatifs.
Le gouvernement britannique a également annoncé un plan visant à atténuer les normes nationales de protection des données, dans le cadre d’un projet de loi sur la réforme des données post-Brexit, qui devrait également éroder l’indépendance de l’ICO et pourrait rendre le chien de garde encore plus édenté qu’il ne l’est déjà quand il s’agit de lutter contre les atteintes à la protection des données.
Dans l’UE, pendant ce temps, Meta a été condamné à une amende de plus de 410 millions de dollars en janvier pour son manque de base juridique valide en vertu du RGPD pour diffuser des publicités comportementales sur Facebook et Instagram – ce qui n’est que la dernière d’une série de lourdes sanctions qu’il a été frappé pour enfreindre le RGPD. Alors que la dernière fois que l’ICO a infligé une amende à Meta, c’était à la suite du scandale de Cambridge Analytics, alors que l’entreprise s’appelait encore Facebook.
Dans le cadre de la DMA, les sanctions appliquées au niveau central peuvent atteindre 10 % du chiffre d’affaires annuel mondial, ce qui est considérablement plus élevé que le maximum théorique que les DPA peuvent sanctionner les contrôleurs de données pour violation du RGPD (qui ne dépasse pas 4 %).
En l’occurrence, les amendes infligées aux géants de la technologie reconnus coupables d’avoir enfreint le règlement de l’UE sur la protection des données sont restées une fraction du maximum, y compris dans le cas de Meta.