Elon Musk devrait prendre note d’une récente amende majeure pour la confidentialité de Meta avant d’aller de l’avant avec tout plan visant à imposer des publicités comportementales aux utilisateurs de Twitter dans l’Union européenne.
À savoir : dans les remarques d’aujourd’hui, à la suite de la publication de deux décisions finales contre Meta par les régulateurs de la vie privée de l’UE appliquant la Règlement général de l’UE sur la protection des données (RGPD) à Facebook et Instagram – des décisions qui incluent un total d’environ 410 millions de dollars d’amendes (toujours avec une troisième décision contre WhatsApp à venir), ainsi que des ordres de corriger son traitement illégal de données dans les trois mois – tLe comité européen de la protection des données (EPBD) a lancé un avertissement clair aux autres entreprises qui cherchent à ignorer les règles de protection des données de l’UE en ne donnant pas aux utilisateurs le choix de faire l’objet d’un suivi pour la publicité comportementale.
« Les décisions contraignantes du CEPD précisent que Meta a traité illégalement des données personnelles à des fins de publicité comportementale. Une telle publicité n’est pas nécessaire à l’exécution d’un prétendu contrat avec les utilisateurs de Facebook et d’Instagram. Ces décisions peuvent également avoir un impact important sur d’autres plates-formes qui ont des publicités comportementales au centre de leur modèle commercial », a déclaré la présidente de l’EDPB, Andrea Jelinek, dans un communiqué.
Le conseil a également qualifié la relation entre Meta et ses utilisateurs de « déséquilibrée », citant des « violations graves » des obligations de transparence qui, selon lui, avaient « affecté les attentes raisonnables des utilisateurs », ainsi que critiquant le géant de la technologie pour avoir présenté ses services aux utilisateurs » de manière trompeuse », ce qui a conduit le CEPD à également constater une violation du principe d’équité du RGPD ainsi que des manquements à la transparence.
L’organe de contrôle supervise l’application du RGPD de l’UE dans le but d’assurer la cohérence dans la manière dont la loi est appliquée par les régulateurs dans les États membres. Et cela était en fin de compte responsable de l’annulation de la fausse allégation de nécessité contractuelle de Meta pour les publicités comportementales – la publication d’une décision contraignante qui a forcé le principal régulateur de la protection des données de l’entreprise pour le RGPD, la Commission irlandaise de protection des données (DPC), à revenir sur une conclusion à laquelle elle était parvenue en son projet de décision de 2021 et concluent que la pratique de Meta consistant à forcer le consentement au suivi des publicités par le biais d’une allégation de nécessité contractuelle est illégale.
Comportemental La publicité fait référence à une forme de publicité ciblée dans laquelle le choix de l’annonce diffusée est déterminé à la suite du suivi et du profilage des utilisateurs individuels via leur activité en ligne (et parfois aussi en combinant des ensembles de données hors ligne pour enrichir davantage ces profils par utilisateur) – donc, au sens de la législation européenne sur la protection des données, en traitant des données à caractère personnel — une activité qui nécessite une base juridique valable. D’autres types de publicités ciblées qui ne nécessitent pas le traitement de données personnelles (telles que la publicité contextuelle ciblée) sont disponibles. Par conséquent, l’affirmation de Meta selon laquelle le suivi et le profilage intrusifs d’individus sont une composante essentielle de ses services n’a pas non plus été acceptée par le Conseil.
Les remarques du CEPD aujourd’hui – sur « l’impact important » que la décision Meta ads pourrait avoir sur d’autres plateformes – semblent également pertinentes pour TikTok qui, l’année dernière, a cherché à supprimer la possibilité pour les utilisateurs de refuser ses publicités de suivi – disant qu’il prévoyait de changer la base juridique pour la publicité « personnalisée » du consentement à l’intérêt légitime – avant de geler rapidement le mouvement face aux avertissements des régulateurs de la vie privée.
Toute décision de TikTok maintenant de relancer un tel changement – avec ces deux décisions majeures du RGPD contre le statut de «consentement forcé» de Meta – ne ferait qu’inviter un examen réglementaire rapide, de sorte qu’un tel changement vers sa base juridique revendiquée est certainement très improbable (d’autant plus que la vidéo plate-forme de partage est occupée à essayer de redorer son blason devant les législateurs européens — alors que la Commission commence à appliquer de nouveaux pouvoirs de surveillance sur les plateformes numériques en vertu de la loi sur les services numériques (DSA) et de la loi sur les marchés numériques (DMA)).
Ainsi, ce n’est pas parce que Facebook a – pendant des années – traité et profité des données des Européens en diffusant des publicités illégales que d’autres plateformes financées par la publicité bénéficieront du même tour gratuit des régulateurs du bloc. L’exécution est enfin là.
(Pour mémoire, Meta a déclaré qu’il ferait appel des deux décisions GDPR. Il nie également qu’ils signifient qu’il n’a pas d’autre choix que de demander aux utilisateurs européens leur consentement à ses publicités comportementales – soulignant que le règlement autorise « une gamme » de bases juridiques mais sans préciser laquelle de ces alternatives limitées (et délimitées) au consentement pourrait voler… Alors, euh, des publicités comportementales d’intérêt public sur Facebook, n’importe qui ? !)
Twitter, quant à lui, vient également d’annoncer que son application iOS utilisera par défaut un flux de contenu algorithmique «Pour vous» – obligeant les utilisateurs à balayer activement pour afficher leur flux chronologique habituel – ce qui pourrait soulever des questions sur la base juridique sur laquelle l’entreprise s’appuie pour pousser personnalisation du contenu devant des utilisateurs qui n’en veulent peut-être pas. Les considérations intéressantes découlant de la fessée GDPR de Meta ne manquent donc pas.
Cette nouvelle dynamique d’application du RGPD (si nous osons l’appeler ainsi) présente des opportunités régionales pour d’autres approches (et innovations) dans le domaine de légitime publicité ciblée – qu’il s’agisse d’annonces basées sur le suivi avec le consentement valide de l’utilisateur. Ou des formes de ciblage publicitaire qui n’impliquent aucun traitement de données personnelles. (Ou, eh bien, qui cherchent à prétendre qu’ils ne le font pas.)
Et nous assistons déjà à des mouvements de haut niveau pour capitaliser sur le lent déclin/disparition des publicités comportementales anarchiques, comme le plan de Google de passer du ciblage publicitaire au niveau individuel à des publicités alternatives ciblant les intérêts de « bac à sable » – ou un nouvelle proposition des opérateurs de télécommunications européens de se regrouper dans une coentreprise pour offrir un ciblage publicitaire opt-in des utilisateurs mobiles (qui, selon les opérateurs, limiterait le ciblage aux données de première partie et recueillerait le consentement explicite des utilisateurs pour les publicités par annonceur/marque).
Comment Meta obtient son opération de ciblage publicitaire dans l’ordre juridique, en attendant, reste à voir. Mais, eh bien, réparer une infrastructure qui ne se soucie jamais de se conformer semble que cela pourrait coûter très cher…
Le communiqué de presse de l’EDPB aborde également aujourd’hui la raison pour laquelle il a chargé le DPC d’enquêter sur le traitement des données sensibles par Meta – ce qui a conduit le régulateur irlandais à accuser le Conseil d’excès de compétence et à annoncer qu’il intente une action en justice pour tenter d’annuler cette composante de sa consigne.
Sur ce point, la Commission a déclaré avoir examiné si les plaintes contre la légalité des publicités de Meta avaient été traitées avec la diligence requise par le DPC.
« Le plaignant avait soulevé le fait que des données sensibles sont traitées par Meta IE [Ireland]. Cependant, l’IE DPA [aka the DPC] n’a pas évalué le traitement des données sensibles et, par conséquent, le CEPD ne disposait pas de preuves factuelles suffisantes pour lui permettre de tirer des conclusions sur une éventuelle violation des obligations du responsable du traitement en vertu de l’art. 9 RGPD [which deals with the processing of special category data] », écrit-il. « En conséquence, l’EDPB n’était pas d’accord avec la conclusion proposée par l’IE DPA selon laquelle Meta IE n’est pas légalement obligée de s’appuyer sur le consentement pour effectuer les activités de traitement impliquées dans la fourniture de ses services Facebook et Instagram, car cela ne pouvait être conclu catégoriquement sans Enquêtes supplémentaires. Par conséquent, l’EDPB a décidé que l’IE DPA devait mener une nouvelle enquête.
La DPC a souvent été accusée de « jouer sur les bords » des plaintes GDPR – par exemple en ouvrant des enquêtes plus étroites que celles demandées par les plaignants (ou en n’ouvrant pas du tout d’enquête). Il est également poursuivi pour inaction (et a même fait face à des allégations de corruption criminelle) dans quelques affaires. Il est donc certainement remarquable (et gênant pour l’Irlande) que la décision contraignante du CEPD conclue que le régulateur irlandais n’a pas enquêté sur les éléments du traitement des données de Meta qui, selon lui, étaient nécessaires pour parvenir à sa proposition de conclusion selon laquelle Meta n’était pas légalement obligé de s’appuyer sur le consentement.
Alors que les points noirs contre l’approche du DPC en matière d’application du RGPD disparaissent, cette formation du Conseil est un ajout majeur au décompte de Dublin.
Pourtant, l’instruction de l’EDPB selon laquelle le DPC ouvre une toute nouvelle enquête sur le traitement des données de Meta a attiré une attention interrogative – étant donné que le droit de l’UE prévoit l’indépendance des autorités de protection des données.
À ce sujet, le président honoraire de noyb, Max Schrems – un critique de longue date (en particulier) de l’approche du DPC en matière d’application du RGPD mais aussi, plus généralement, du manque de ressources des DPA de l’UE et de la difficulté pour les Européens d’exercer leurs droits – le suggère montre toujours que le système ne fonctionne pas.
Peu de gens diraient que l’application du RGPD se déroule sans heurts – mais à l’approche du cinquième anniversaire de l’entrée en vigueur du règlement (en mai), il y a maintenant un flux régulier de décisions, y compris certaines décisions majeures ayant des implications pour les modèles commerciaux hostiles aux droits. Ainsi, l’aiguille semble bouger – même si l’histoire se termine rarement par une décision finale (puisque des années d’appels en justice peuvent suivre).
Cette année, une grande partie de l’attention portée au travail réglementaire dans l’UE se tournera également vers la Commission européenne – pour voir comment elle applique deux réglementations plus récentes sur les grandes plates-formes numériques (les DSA et DMA susmentionnées) ; une nouvelle structure d’application centralisée conçue par les législateurs du bloc qui a sans aucun doute été informée par des années de critiques sur la lenteur et la faiblesse de l’application du RGPD.
Ainsi, l’héritage des publicités anarchiques de Meta et les atermoiements de l’Irlande pour faire respecter son suivi et son profilage sans consentement sont déjà durables.