X d’Elon Musk, la plateforme de médias sociaux anciennement connue sous le nom de Twitter, fait face à une nouvelle plainte en matière de confidentialité en Europe concernant ses outils de ciblage publicitaire. La plainte, déposée auprès de l’autorité néerlandaise de protection des données par l’association à but non lucratif noyb, accuse X de ne pas avoir fait respecter ses propres règles. directives en matière de publicité.
Alors que les conditions générales de X interdisent que les affiliations politiques et/ou les croyances religieuses des personnes soient utilisées pour les cibler avec des publicités, un annonceur de sa plateforme – en fait la Commission européenne elle-même, rien de moins (oh oh !) – a pu utiliser exactement ce type de données personnelles sensibles. pour cibler les utilisateurs avec des publicités.
Les employés du bloc ont utilisé les outils de X de cette manière afin de promouvoir une proposition législative controversée visant à analyser les messages des gens à la recherche de matériel pédopornographique (CSAM).
Comme nous l’avons signalé le mois dernier, noyb a déjà déposé une plainte contre la Commission pour avoir apparemment enfreint les règles paneuropéennes qu’elle a contribué à élaborer. Cette décision est désormais suivie par le dépôt d’une plainte contre X également. « Après que nous ayons déposé notre première plainte dans cette affaire, la Commission européenne a déjà confirmé qu’elle cesserait de faire de la publicité sur X. Cependant, pour mettre un terme à cela en général, nous avons besoin de sanctions contre X en tant que plate-forme utilisée par beaucoup d’autres », a déclaré Felix. Mikolasch, avocat spécialisé en protection des données chez noyb, dans un rapport.
Outre le règlement général sur la protection des données (RGPD) de l’UE qui fixe des limites strictes à la manière dont les données personnelles sensibles telles que l’affiliation politique et les convictions religieuses peuvent être traitées – exigeant que ceux qui souhaitent le faire obtiennent le consentement explicite des personnes en question – le bloc a récemment La loi sur les services numériques (DSA) promulguée stipule que l’utilisation de données personnelles à des fins de ciblage publicitaire nécessite le consentement. Pourtant, il n’a pas été explicitement demandé aux utilisateurs de X dont les données étaient traitées d’accepter cette utilisation de leurs informations.
« [X] a utilisé ces données spécialement protégées pour déterminer si les gens devaient ou non voir une campagne publicitaire menée par la direction générale des migrations et des affaires intérieures de la Commission européenne, qui tentait de rallier le soutien au projet de « contrôle du chat » [CSAM scanning] aux Pays-Bas », a écrit Noyb dans un communiqué de presse. «En novembre, cette utilisation illégale du micro-ciblage a déjà incité noyb à porter plainte contre la Commission européenne elle-même. Désormais, noyb dépose une plainte contre X. En autorisant cette pratique en premier lieu, l’entreprise a violé à la fois le RGPD et le DSA.
Ironie du sort, la Commission est en fait chargée de superviser le respect des DSA sur les très grandes plateformes en ligne (VLOP) comme, euh, X.
En effet, ces derniers mois, depuis l’entrée en vigueur du DSA sur les VLOP, l’exécutif européen a fait pression sur X pour qu’il soit respecté – en particulier en raison d’inquiétudes concernant la diffusion de contenus illégaux et de désinformation sur la plateforme liée à la guerre entre Israël et le Hamas. Mais — curieusement — la Commission ne semble pas avoir demandé à X de démontrer que son activité de ciblage publicitaire est conforme au règlement. (Néanmoins, étant donné que certains de ses propres employés étaient apparemment occupés à enfreindre ces règles, ce n’est peut-être pas trop surprenant ?)
noyb nous a confirmé qu’il n’avait pas déposé de plainte DSA contre X auprès de la Commission ; elle a limité son action au dépôt d’une plainte auprès de la DPA néerlandaise. La raison pour laquelle elle a choisi une autorité de protection de la vie privée basée aux Pays-Bas pour envoyer la plainte est que les publicités controversées ciblaient X utilisateurs dans le pays ; et le plaignant que Noyb soutient pour que la plainte soit néerlandaise. Cependant, X a son siège régional en Irlande, il est donc probable que les autorités néerlandaises s’engageront avec la Commission irlandaise de protection des données (DPC) dans toute enquête RGPD sur le traitement illégal de données à des fins de ciblage publicitaire.
Mais pourquoi personne ne dépose-t-il une plainte DSA concernant X auprès de la Commission européenne ? Un porte-parole de l’organisation à but non lucratif nous a indiqué que cette mesure n’avait pas été prise, car les deux plaintes relatives à la protection des données qu’elle a déposées aujourd’hui, à savoir l’une contre la Commission déposée auprès du CEPD (le Contrôleur européen de la protection des données, qui supervise le respect par les institutions européennes des règles); et un contre X envoyé maintenant à une DPA nationale — pourrait conduire à une coopération entre ces contrôleurs de données « sur un cas presque identique ».
« Il reste à voir si la Commission pourra prendre des mesures contre X elle-même dans le cadre du DSA », a ajouté Noyb.
Alors que les sanctions en cas de violation du RGPD peuvent atteindre 4 % du chiffre d’affaires annuel mondial, le régime de la DSA autorise des sanctions encore plus lourdes, jusqu’à 6 %. Ainsi, si des mesures coercitives sont prises sous les deux régimes, l’entreprise de Musk pourrait faire face à un double coup dur de sanctions réglementaires. (Un sandwich RGPD-DSA, ça vous tente ?)
La Commission a été contactée pour faire le point sur sa propre enquête interne sur le ciblage publicitaire controversé de la proposition CSAM ; et demander s’il prendra des mesures contre X, en sa qualité de responsable de l’application du DSA sur les VLOP, pour avoir accepté les publicités illégales. Mais un porte-parole de l’exécutif européen a refusé de fournir une mise à jour « pour le moment ». Au lieu de cela, il a réitéré la décision antérieure de la Commission de conseiller à ses services internes d’arrêter tous les types de communications payantes sur X.
Surveillance irlandaise de X par le RGPD
Comme indiqué ci-dessus, la plainte RGPD de noyb contre X, quant à elle, finira probablement sur le bureau de l’organisme irlandais de surveillance de la vie privée, le DPC.
Depuis que Musk a repris Twitter et a commencé à imposer son cachet distinctif à l’entreprise (et à ses produits), le DPC a réagi en faisant quelques bruits publics à la suite de certaines décisions controversées du nouveau propriétaire, comme la décision de Musk de laisser dehors. les journalistes accèdent aux données de Twitter ; ou son déploiement d’une fonctionnalité de vérification payante dans l’UE sans préavis ; ou en n’informant pas l’organisme de surveillance de la démission du DPO – mais le régulateur irlandais semble s’être abstenu d’intervenir plus durement sur l’entreprise. Ceci malgré les préoccupations croissantes en matière de confidentialité dans des domaines tels que la suppression des données et la confidentialité et la sécurité des messages directs (DM) sous la propriété de Twitter/X par Musk.
De plus, Musk’s X reste principalement implanté en Irlande, sous la supervision du DPC. Il détient ce statut malgré le leadership erratique du milliardaire américain et ses prises de décision unilatérales – qui ont fait naître des doutes sur le fait que les décisions relatives aux produits affectant les utilisateurs de l’UE bénéficient réellement d’une contribution locale significative, comme cela devrait être le cas pour X qui revendique son principal établissement au niveau local. Cette désignation est importante car elle permet à l’entreprise de continuer à réduire son risque réglementaire dans l’UE en bénéficiant de la surveillance rationalisée offerte par le guichet unique (OSS) du RGPD.
Encore une fois, hormis quelques expressions publiques d’inquiétude au cours des premiers mois du rachat de Musk, le régulateur irlandais n’a pas secoué le bateau de l’entreprise dans ce domaine.
En regardant plus loin, depuis l’entrée en vigueur du RGPD, la DPC n’a émis qu’une seule sanction publique sur Twitter, comme on appelait encore l’entreprise au moment de la sanction il y a trois ans. La sanction consistait en une amende d’environ 550 000 $ pour avoir omis de signaler rapidement une violation de données. Il est donc juste de dire que la plate-forme a connu jusqu’à présent un parcours assez fluide sous la surveillance irlandaise de la vie privée, même avec Musk prenant la direction du navire.
Il reste néanmoins à voir ce que la DPC pourrait faire d’une plainte concernant une violation des règles de ciblage publicitaire par X – en supposant que la dernière action stratégique de noyb finisse par être renvoyée en Irlande par la DPA néerlandaise, comme cela semble probable en vertu des règles de l’OSS. Le régulateur a déjà prêté attention aux inquiétudes concernant la base juridique des publicités de Twitter/X lorsque la rumeur disait que Musk prévoyait de forcer les utilisateurs à choisir entre accepter des publicités personnalisées ou lui payer un abonnement.
Un cas concret de X ne respectant pas ses propres conditions générales d’annonceur – si, effectivement, c’est à cela que se résume la plainte de Noyb – semble plus simple que cela.