Une coalition de plus de deux douzaines de groupes de défense des droits numériques et démocratiques, d’ONG et d’organisations à but non lucratif, dont noyb et Wikimedia Europe, ont écrit à l’organisme de réglementation de l’Union européenne pour la protection des données, l’exhortant à rejeter une tactique controversée. Meta dans sa dernière tentative visant à contourner les lois du bloc sur la confidentialité.
Si le Comité européen de la protection des données (EDPB) ne parvient pas à s’opposer aux approches dites « consentement ou paiement » en matière de traitement des données personnelles des citoyens, cela créera une faille fatale dans le régime phare de protection des données du bloc, qui pourrait affaiblir le droit à la vie privée des personnes et remodeler le système. le Web pour le pire, préviennent les organisations. (Voir la base de cet article pour une liste complète des signataires de la lettre.)
L’année dernière, dans l’UE, Meta a commencé à prétendre qu’elle recueillerait le consentement des utilisateurs régionaux pour les suivre et les profiler afin de gérer son activité de micro-ciblage publicitaire – à la suite de contestations réussies, en vertu du Règlement général sur la protection des données (RGPD) du bloc, contre les bases juridiques dont elle disposait auparavant. réclamée dans le même but (première exécution d’un contrat ; puis intérêt légitime). Mais la version du consentement de Meta offre aux utilisateurs le choix d’Hobson : payer au moins 9,99 €/mois pour un abonnement sans publicité (pour chaque compte qu’ils ont sur Facebook et Instagram) ; ou accepter son suivi.
Aucun autre choix n’est disponible, bien que le RGPD stipule que pour que le consentement soit une base juridique valable pour le traitement des informations personnelles, il doit être donné librement. (Meta semble ici jouer sur la « gratuité » au sens monétaire ; mais la loi exige en fait que les utilisateurs N’hésitez pas consentir ou pas consentement… ce qui est fondamentalement à l’opposé du scénario coûteux concocté par le géant de l’adtech qui met un prime littérale sur la vie privée.)
Les ONG appellent cette tactique « payer ou bien ». Et les préoccupations qu’ils soulèvent auprès de l’EDPB ont été exprimées par noyb depuis plusieurs années, y compris – plus récemment – dans deux plaintes RGPD déposées auprès des autorités de protection des données (DPA) l’année dernière, qui contestent l’approche de Meta comme étant illégale.
Le groupe de protection de la vie privée lutte en fait depuis des années contre le consentement ou le paiement (ou le paiement ou l’accord) – ce qui a entraîné une série de défis contre un certain nombre d’éditeurs de presse européens qui ont conçu la tactique pour obtenir le consentement de leurs propres utilisateurs en plaçant leur journalisme derrière un un cookie payant qui oblige les lecteurs à accepter le suivi ou à cracher pour un abonnement. Et, dans certains cas, les éditeurs de presse ont obtenu, sinon l’approbation totale de leurs autorités locales de protection des données, du moins l’équivalent d’un clin d’œil et d’un signe de tête et ont été autorisés à continuer. Ainsi, de plus en plus de ces paywalls de cookies sont apparus sur les sites d’information de la région.
Cependant, Meta n’est pas dans le secteur du journalisme. En effet, il nie généralement être un éditeur, affirmant qu’il s’agit simplement d’un intermédiaire (plateforme) reliant les utilisateurs. Pourtant, il s’approprie désormais la même tactique que celle des éditeurs. (Et, en effet, il n’est peut-être pas le seul géant de l’adtech à renifler ici la possibilité d’une victoire en matière de suivi qui écraserait la vie privée – voir, par exemple, le test international de TikTok sur un abonnement sans publicité l’année dernière.)
La coalition des groupes de défense des droits démocratiques et numériques – et des groupes favorables à l’accès à l’information – s’implique maintenant dans cette affaire parce que, plus tôt ce mois-ci, un trio d’APD (la Norvège, les Pays-Bas et les autorités de Hambourg) ont écrit à l’EDPB pour demander pour peser sur la tactique controversée. (Peut-être comme une stratégie pour éviter que la DPA irlandaise ne détermine le climat de facto ici puisque, dans le cadre du guichet unique du RGPD, elle est la principale autorité de surveillance de Meta et a révisé son mécanisme de consentement depuis l’été dernier, mais n’a pas encore prononcé son avis sur la question de savoir si ou pas, il est conforme à la loi.)
Le rôle du Conseil dans cette mosaïque réglementaire est d’œuvrer à l’harmonisation (autant que possible) de l’application du RGPD par les APD, notamment en produisant des avis et des orientations sur la manière dont la loi doit être interprétée. Compte tenu de cette fonction d’organe directeur, on peut affirmer que l’EDPB aurait dû être plutôt plus proactif dans sa réponse à la montée (et à la dérive) du principe « payer ou accepter ». Mais, en l’occurrence, sa main a finalement été forcée par les trois membres demandez ce mois-ci votre avis sur la question de savoir si « payer ou bien » est bien (ou non).
Dans un blog sur cette demande plus tôt ce mois-ci, la DPA norvégienne a averti que la question constituait une « énorme bifurcation sur la route » pour le droit à la vie privée en Europe. « La protection des données est-elle un droit fondamental pour tous, ou est-ce un luxe réservé aux riches ? La réponse façonnera Internet pour les années à venir », a écrit Tobias Judin, responsable international de l’autorité.
Interrogée à ce sujet la semaine dernière, une porte-parole de l’EDPB a déclaré à TechCrunch : « Nous pouvons confirmer que nous avons reçu une demande pour un Art. 64 (2) Opinion sur le thème du consentement ou du paiement. Il s’agira d’un avis portant sur une question d’application générale, conformément aux exigences énoncées à l’art. 64 RGPD.
Elle a ajouté que l’avis « examinerait le concept général de consentement ou de paiement » ; et « n’examinera aucune entreprise en particulier » – mais a refusé de fournir davantage d’informations, notant : « Nous ne pouvons pas commenter l’avancement des dossiers en cours ».
L’EDPB dispose de huit semaines pour adopter un avis, à compter du 25 janvier (date à laquelle il a reçu la demande des DPA). Mais comme le souligne l’autorité norvégienne, ce délai peut être prolongé de six semaines supplémentaires (« si nécessaire »). Cela signifie que le Conseil devrait se prononcer sur la manière dont la loi sur le consentement s’applique dans ce contexte, au plus tard fin mars ou début mai. Il y a donc une fenêtre relativement courte avant que les conseils sur une question très controversée ne soient abandonnés et qui pourraient avoir un impact significatif sur les entreprises dotées de modèles commerciaux de surveillance comme celui de Meta – et sur l’Internet régional.
« Nous sommes très préoccupés par ce vote et nous exhortons l’EDPB à rendre une décision sur le sujet qui soit conforme au droit fondamental à la protection des données », écrivent les ONG dans leur lettre au Conseil. « Lorsque le principe « payer ou accepter » est autorisé, les personnes concernées perdent généralement le « choix réel ou libre » d’accepter ou de refuser le traitement de leurs données personnelles, qui était une pierre angulaire de la réforme du RGPD et confirmé à plusieurs reprises par la CJUE, également en C. -252/21 Carte fédérale [aka Germany’s Federal Cartel Office’s (FCO) case against Meta’s ‘exploitative abuse’ of users’ data].
« Avec « payer ou accepter », tout site Web, application ou autre entreprise destinée aux consommateurs peut simplement mettre un prix sur toute option de « rejet », garantissant que la grande majorité des personnes concernées doivent accepter l’utilisation, le partage ou la vente de données personnelles. données – ou payer des frais qui peuvent être plus de 100 fois plus élevés que les revenus générés par l’utilisation des données personnelles.
Dans la lettre, les ONG soutiennent également que le principe « payer ou accepter » n’a pas réussi à soutenir les modèles économiques de l’industrie de l’information en difficulté qui l’a déployé pour la première fois – suggérant : « Les bénéfices restent dans les grands réseaux publicitaires et les grandes plateformes technologiques qui s’appuient fortement sur une surveillance. modèle d’affaires. »
« Si le principe « payer ou accepter » est autorisé, il ne se limitera pas aux pages d’actualités ou aux réseaux sociaux, mais sera utilisé par tout secteur industriel ayant la capacité de monétiser des données personnelles via le consentement », préviennent-ils. « Le RGPD ne prévoit pas de traitement différent par secteur industriel. En pratique, cela saperait le RGPD, la norme européenne élevée en matière de protection des données, et éliminerait toutes les protections réalistes contre le capitalisme de surveillance.
La lettre soulève également des allégations selon lesquelles Meta aurait fait pression sur des DPA individuelles pour qu’elles soutiennent le paiement ou l’approbation des votes qui éclaireront l’opinion du Conseil.
Un vote des membres du conseil d’administration aura lieu pour déterminer la position adoptée dans l’avis, chaque État membre de l’UE obtenant une voix par l’intermédiaire d’un DPA représentatif au sein de l’organisme. L’EDPB vise le consensus dans ses positions officielles, mais seule une majorité simple est nécessaire. Et il n’est pas clair si la plupart des APD membres s’opposent – ou même soutiennent – au principe « payer ou accepter ». Il est donc difficile de prédire dans quelle direction se déroulera le vote, d’où l’inquiétude des ONG. (Nous avons déjà examiné ici certains des points de vue que les APD ont eux-mêmes publiés avec consentement ou paiement.)
« Nous… exhortons l’EDPB et toutes les autorités de sécurité [supervisory authorities] de nous opposer fermement au principe « payer ou accepter » pour éviter de créer une lacune substantielle dans le RGPD », écrivent les organisations. « L’avis de l’EDPB façonnera l’avenir de la protection des données et d’Internet pour les années à venir. Il est de la plus haute importance que l’avis garantisse véritablement aux personnes concernées un « choix véritable et libre » concernant le traitement de leurs données personnelles.
Même si les orientations du Conseil seront importantes pour déterminer la manière dont le RGPD sera appliqué dans ce domaine dans les mois à venir, il se peut que ce ne soit pas la fin du monde en ce qui concerne les limites juridiques du consentement. Il est probable que la plus haute juridiction de l’UE, la Cour de justice (CJUE), soit appelée à intervenir pour fixer des limites définitives à cette question.
La Cour a déjà jeté le chat parmi les pigeons sur le consentement ou le paiement après que, l’été dernier, elle ait fait une mention passagère dans un renvoi lié à l’affaire du FCO allemand susmentionné contestant la collecte de données par Meta qui permettait la possibilité, « si nécessaire », d’un « frais approprié » facturé pour l’accès à un service alternatif équivalent dépourvu de suivi et de profilage.
« Nécessaire » et « approprié » sont des mises en garde majeures, mais Meta a rapidement saisi l’occasion pour justifier son déploiement « consentement ou paiement ». Alors que Noyb a rejeté cette mention comme étant un simple Dicton de l’orbiteur – et continue de suggérer qu’un futur renvoi demandant à la CJUE de déterminer exactement où (et comment) se situe la ligne de consentement sera le dernier mot ici.
Cependant, tout renvoi devant la plus haute juridiction du bloc prendra probablement des années avant que le verdict ne soit rendu. Et l’avis du Conseil restera autonome entre-temps, déterminant les développements sur une question controversée et impactante, à la fois pour les utilisateurs du Web (qui veulent la vie privée) et les géants de l’adtech (qui veulent les données des gens), dans un avenir prévisible. C’est donc encore une fois la raison pour laquelle les observateurs des droits sont nerveux.
Les enjeux sont certainement élevés : pour le droit à la vie privée des Européens ; pour la perspective que le bloc montre qu’il peut – enfin – appliquer ses propres lois et défendre les droits fondamentaux contre les modèles commerciaux des grandes technologies hostiles à la vie privée ; et pour les géants de la technologie comme Meta qui tentent d’imposer leurs activités publicitaires de micro-ciblage de surveillance de masse sur des utilisateurs réticents en faisant de la seule alternative un luxe inaccessible et en encadrant un « choix » où ils gagnent toujours.
Comme le suggère un porte-parole de noyb, un avis de l’EDPB « en faveur des grandes technologies » pourrait permettre au modèle controversé « payer ou accepter » de se propager davantage et de s’enraciner, fermant ainsi la possibilité de meilleurs modèles commerciaux – favorables aux utilisateurs et à l’information. en remplacement du complexe de suivi industriel des données qui se cache derrière une grande partie des médias antisociaux et de la toxicité en ligne d’aujourd’hui.
La lettre prévient également que l’approbation du Conseil d’administration pour le consentement ou le paiement pourrait voir cela s’infiltrer dans d’autres secteurs – où cela aurait un impact supplémentaire sur la capacité des utilisateurs du Web à accéder librement à l’information sans que leur activité et leurs intérêts soient surveillés et enregistrés, et que leur attention soit découpée, autocollante et vendue pour gain commercial.
Si les cinq dernières années d’application du RGPD ont démontré quelque chose, c’est qu’essayer de réparer les torts en ligne une fois qu’ils sont commis est une bataille presque impossible à gagner. Tous les regards seront donc tournés vers l’action du CEPD. L’opinion qu’elle produira dans les semaines à venir pourrait cimenter tous ces échecs passés – et conduire à l’éclatement des bouchons de champagne au siège de Meta à Dublin. Ou – peut-être – cela pourrait ouvrir la voie à des années d’impasse en matière de droit à la vie privée.
Voici la liste complète des ONG signataires de la lettre adressée à l’EDPB :
- ApTI – Association pour la technologie et Internet, Roumanie
- Des morceaux de liberté
- Observatoire des entreprises européennes (CEO)
- La Fondation Daphné Caruana Galizia
- Défendre la démocratie
- DFRI – Föreningen för digitala fri- och rättigheter
- Droits numériques Irlande
- Državljan D / Citizen D
- Deutsche Vereinigung für Datenschutz
- Frontière électronique Norvège
- Eko
- Le Centre d’information électronique sur la confidentialité (EPIC)
- Fédération européenne des services publics (FSESP)
- epicentre.works – pour les droits numériques
- Fondation Eticas
- Forbrugerrådet Tænk/Conseil danois des consommateurs
- Forbrukerrådet (Conseil norvégien des consommateurs)
- Centre Hermès
- Homo Digitale
- Conseil irlandais pour les libertés civiles
- IT-Pol Danemark
- #jesuislà
- noyb – Centre européen pour les droits numériques
- Fondation Panoptykon
- Centre de ressources pour la participation publique
- Stichting Onderzoek Marktinformatie
- Wikimédia Europe
- Xnet, Institut pour la numérisation démocratique