Meta a été temporairement interdit de diffuser de la publicité comportementale sur Facebook et Instagram en Norvège, à moins qu’il n’obtienne le consentement des utilisateurs au traitement.
L’ordonnance urgente de mesures provisoires concernant les activités de Meta, rendue par l’autorité norvégienne de protection des données, Datatilsynet, s’applique pour une période initiale de trois mois.
Il stipule que Meta peut exécuter d’autres formes de publicité ciblée, telles que le ciblage contextuel, c’est-à-dire qui ne reposent pas sur le suivi et le profilage des utilisateurs. Ou il peut continuer à diffuser de la publicité comportementale s’il obtient le consentement des utilisateurs. Cependant, si Meta continue son « business as usual » hostile à la vie privée sur le marché – en diffusant des publicités comportementales sans donner aux utilisateurs le choix de refuser son suivi et son profilage – il encourra des amendes pouvant aller jusqu’à un million de NOK (~ 100 000 $) par jour .
« L’Autorité norvégienne de protection des données considère que la pratique de Meta est illégale et impose donc une interdiction temporaire de la publicité comportementale sur Facebook et Instagram », écrit-elle dans un communiqué de presse annonçant l’ordonnance d’interdiction, ajoutant : « Nous considérons que les critères de agir en urgence dans cette affaire sont remplies, notamment parce que Meta a récemment reçu à leur encontre à la fois une décision et un jugement sur lesquels ils ne se sont pas alignés. Si nous n’intervenons pas maintenant, les droits à la protection des données de la majorité des Norvégiens seraient violés indéfiniment.
« La surveillance commerciale invasive à des fins de marketing est l’un des plus grands risques pour la protection des données sur Internet aujourd’hui », a également averti l’autorité.
Bien que la DPA norvégienne ne soit pas le principal superviseur des données de Meta dans la région, elle est en mesure d’utiliser les pouvoirs d’urgence contenus dans le règlement général sur la protection des données (GDPR) qui permettent aux autorités d’intervenir et de prendre des mesures en cas de problèmes urgents afin de protéger les utilisateurs dans son propre marché. C’est pourquoi l’ordonnance d’interdiction ne s’applique qu’en Norvège.
L’action de la DPA fait suite à une décision rendue plus tôt ce mois-ci par la Cour de justice de l’UE (CJUE) – qui a décoché la base juridique que Meta prétend actuellement microcibler les utilisateurs avec des publicités dans la région (c’est-à-dire les intérêts légitimes).
Auparavant, une décision majeure de la Commission irlandaise de protection des données (DPC) en janvier avait conclu que le traitement des publicités de Meta enfreignait le RGPD du bloc en raison d’une prétention antérieure à s’appuyer sur l’exécution d’un contrat comme base juridique.
Meta a été condamné à une amende de plus de 410 millions de dollars pour la violation et a été condamné à corriger sa conformité, passant rapidement à une revendication d’intérêts légitimes pour le traitement. Cependant, la CJUE a depuis déclaré que la base juridique était également inappropriée pour son activité de publicité de surveillance, comme nous l’avions signalé à l’époque. C’est pourquoi la DPA norvégienne dit qu’elle prend des mesures urgentes maintenant.
« En décembre de l’année dernière, la Commission irlandaise de protection des données a rendu une décision au nom de toutes les autorités de protection des données de l’EEE. [European Economic Area] qui a établi que Meta a fait de la publicité comportementale illégale. Depuis lors, Meta a apporté certains changements, mais une nouvelle décision de la Cour de justice de l’Union européenne a déclaré que la publicité comportementale de Meta n’était toujours pas conforme à la loi. Par conséquent, l’Autorité norvégienne de protection des données prend maintenant des mesures en imposant une interdiction temporaire », a-t-il écrit.
« L’interdiction s’appliquera à partir du 4 août et durera trois mois, ou jusqu’à ce que Meta puisse prouver qu’elle respecte la loi. Si Meta ne se conforme pas à la décision, l’entreprise risque une amende coercitive pouvant aller jusqu’à un million de NOK par jour. La décision de l’Autorité norvégienne de protection des données ne s’applique qu’aux utilisateurs en Norvège.
Joint pour une réponse à l’ordonnance d’interdiction, Meta a envoyé une brève déclaration (ci-dessous) dans laquelle il tente d’esquiver le problème central en laissant entendre qu’il y a encore un « débat » sur la question de savoir s’il peut s’appuyer sur des intérêts légitimes pour son activité de publicités comportementales – malgré la décision de la CJUE quelques semaines il y a que LI n’est pas une base juridique valable pour son activité publicitaire. (Sa déclaration omet entièrement de mentionner la décision de la CJUE.)
Voici la déclaration Meta dans son intégralité :
Le débat autour des bases juridiques dure depuis un certain temps et les entreprises continuent de faire face à un manque de sécurité réglementaire dans ce domaine. Nous continuons à dialoguer de manière constructive avec le DPC irlandais, notre principal régulateur dans l’UE, concernant notre conformité à sa décision. Nous examinerons la décision de l’APD norvégienne, et il n’y a pas d’impact immédiat sur nos services
Le géant de la technologie n’a pas confirmé s’il ferait appel de la commande.
Elle n’a pas non plus répondu aux questions que nous lui avons posées lui demandant de justifier son affirmation de « débat en cours » sur un point que la CJUE a récemment clarifié. Il n’a pas non plus confirmé s’il modifierait la façon dont il exploite Facebook et Instagram en Norvège.
Depuis que Meta est passé à une réclamation de LI pour traiter les données des utilisateurs à des fins de publicité comportementale, il a dû offrir aux utilisateurs de l’UE un moyen de s’opposer à ce traitement – ce qui est une exigence pour s’appuyer sur le fondement juridique. Cela signifie qu’il dispose déjà d’un moyen d’offrir aux utilisateurs une version de son service qui ne repose pas sur le suivi et le profilage pour le ciblage publicitaire. Il pourrait donc simplement appliquer cette forme moins intrusive de ciblage publicitaire à tous les utilisateurs en Norvège. Cependant, il n’est pas clair si l’entreprise l’activera sur le marché. (Ou, en fait, apporter des modifications à la façon dont il exploite Facebook et Instagram en Norvège.)
Si Meta retarde l’exécution de l’ordonnance d’interdiction de la DPA, il risque des amendes quotidiennes pour les trois prochains mois, ce qui pourrait s’élever à plusieurs millions de dollars de pénalités.
Peut-être plus inquiétant pour Meta est le fait que l’autorité norvégienne a averti qu’elle pourrait chercher à saisir le comité européen de la protection des données (EDPB) – par exemple en lui demandant de prendre une décision contraignante pour prolonger l’ordonnance d’interdiction au-delà des trois premières période de validité d’un mois.
Une telle ordonnance du CEPD pourrait obliger Meta à cesser de diffuser sa publicité comportementale sans consentement dans toute l’UE. Bien que le conseil d’administration préfère peut-être encourager le DPC irlandais à prendre le relais, en sa qualité de superviseur principal des données pour Meta, il reste donc à voir si nous verrons une réponse rapide des régulateurs européens de la protection des données à la promulgation de cette dernière CJUE décision ou une autre combustion lente – avec Meta prêt à bénéficier de tout nouveau retard d’application.
Nous avons contacté le DPC irlandais pour lui demander s’il prendra des mesures concernant le recours de Meta à LI pour les publicités comportementales à la lumière de la décision de la CJUE et nous mettrons à jour ce rapport avec toute réponse.
Mise à jour: Le commissaire adjoint du DPC, Graham Doyle, a confirmé que le régulateur avait mené une évaluation de la conformité de Meta à la suite de l’application antérieure du GDPR sur la base juridique des publicités et de la décision de la CJUE – qu’il a transmise à d’autres autorités de protection des données de l’UE pour examen. Il a ajouté qu’il s’attend à conclure ce processus d’ici le milieu du mois prochain. Meta est donc susceptible de faire face à de nouvelles actions sur la question de la base juridique cet été.
Voici la déclaration DPC :
Ayant conclu ses décisions finales dans ces enquêtes, le DPC les a transmises à Meta et supervise maintenant le respect des ordonnances contenues dans les décisions. À cette fin, le DPC a évalué les rapports de conformité de Meta avec les ordonnances et a demandé l’avis de toutes les autorités de surveillance concernées (« ASC »). Le DPC a maintenant produit un document d’évaluation provisoire sur les rapports de conformité qui intègre les points de vue du CSA et a pris en compte la récente décision de la CJUE Bundeskartellamt jugement.
Le DPC a fourni son évaluation à tous les CSA et ils ont jusqu’au vendredi 21 juillet pour faire des soumissions au DPC. Nos confrères norvégiens sont en effet les premiers de nos confrères à nous répondre et ils nous ont confirmé avoir « trouvé votre analyse très approfondie, réfléchie et sensée ». Comme vous pouvez le voir, ce processus est très avancé et la DPC a l’intention de clôturer par une approche harmonisée sa supervision de Meta sur cette question au plus tard à la mi-août. Toutes les Autorités de Supervision parties à ce processus ont connaissance de ce calendrier.
Dans l’intervalle, les utilisateurs européens de Facebook et d’Instagram continuent d’être soumis au suivi et au profilage de Meta par défaut, sans choix initial de refuser sa surveillance – même si la récente décision de la CJUE suggère que le consentement est probablement la seule base viable permettant à Meta de diffuser légalement sa publicité comportementale dans la région.
« Meta, la société derrière Facebook et Instagram, détient de grandes quantités de données sur les Norvégiens, y compris des données sensibles. De nombreux Norvégiens passent beaucoup de temps sur ces plateformes, et donc le suivi et le profilage peuvent être utilisés pour brosser un tableau détaillé de la vie privée, de la personnalité et des intérêts de ces personnes. De nombreuses personnes interagissent avec des contenus tels que ceux liés à la santé, à la politique et à l’orientation sexuelle, et il existe également un danger que cela soit indirectement utilisé pour leur cibler le marketing », a averti la DPA norvégienne.
Les problèmes de confidentialité liés à Threads, le dernier réseau social de Meta – qui suit également l’activité des utilisateurs, y compris la collecte d’informations sensibles telles que les données financières et de santé – expliquent également pourquoi le service n’a pas été lancé dans l’UE.