[ad_1]
Les deux décisions publiées mercredi 4 janvier constituent un revers majeur pour les médias sociaux appartenant à Meta car elles risquent de mettre en péril l’ensemble du modèle commercial de l’entreprise et s’accompagnent d’une lourde amende.
Le commissaire irlandais à la protection des données (DPC) a publié deux décisions liées à des violations du règlement général sur la protection des données (RGPD), par Facebook et Instagram de Meta, entraînant des amendes totalisant respectivement 210 millions d’euros et 180 millions d’euros.
Les décisions concernent la base juridique du traitement des données personnelles à des fins de publicité personnalisée, qui est au cœur du modèle économique de l’entreprise. La base juridique actuelle a été jugée incompatible avec la législation de l’UE, et Meta aura trois mois pour en trouver une nouvelle.
Les deux plaintes remontent au 25 mai 2018, le jour même où le règlement de l’UE sur la protection des données est entré dans l’application. Avant cette date, les deux réseaux sociaux ont modifié leurs conditions d’utilisation, demandant aux utilisateurs existants et nouveaux d’accepter le traitement de leurs données personnelles pour utiliser leurs services.
Modèle de contrat
La base juridique actuelle de Meta consiste en ce que l’on appelle le « modèle de contrat », ce qui signifie qu’en acceptant les conditions d’utilisation, les utilisateurs ont conclu un contrat avec la plate-forme. En outre, la société a considéré que les données personnelles étaient nécessaires pour mener à bien un tel accord, qui comprenait la fourniture de services personnalisés et la publicité comportementale.
De cette manière, Meta a considéré qu’il était conforme au RGPD, au lieu de demander le consentement des utilisateurs pour traiter leurs données personnelles. Cependant, cette approche a été critiquée par NOYB, l’ONG dirigée par l’activiste autrichien Max Schrems, qui l’a qualifiée de « contournement » du RGPD.
« Au lieu d’avoir une option ‘oui/non’ pour les publicités personnalisées, ils ont juste déplacé la clause de consentement dans les termes et conditions. Ce n’est pas seulement injuste mais clairement illégal. Nous ne connaissons aucune autre entreprise qui ait tenté d’ignorer le GDPR de manière aussi arrogante », a déclaré Schrems dans un communiqué.
Discussions animées
Dans sa décision préliminaire, la DPC a considéré que Meta n’avait pas respecté les obligations de transparence du RGPD, car les informations fournies aux utilisateurs n’étaient pas suffisamment claires sur la manière dont leurs données personnelles étaient traitées, à quelles fins et sur quelle base juridique.
Cependant, sur la partie la plus importante de la plainte, l’autorité irlandaise s’est initialement rangée du côté de Meta, estimant que l’argument du « consentement forcé » ne tenait pas et que la base juridique du « contrat » était une alternative viable au recours au consentement.
Selon des documents internes publiés par NOYB, le modèle de contrat même était le résultat d’un dialogue entre la DPC et Meta. Les régulateurs discutant avec les entreprises de la manière d’appliquer la loi sont relativement courants dans le système juridique anglo-saxon mais beaucoup moins en Europe continentale.
Décision finale
Le projet de décision du DPC a été contesté par 10 autorités européennes de protection des données, qui ont contesté le fait que la publicité personnalisée pouvait être autorisée en vertu de la base juridique du contrat car elle n’était pas considérée comme un élément essentiel pour la fourniture des services personnalisés des plateformes.
Comme aucun consensus n’a pu être atteint, l’affaire a été renvoyée au mécanisme de règlement des litiges du comité européen de la protection des données, un organe qui rassemble toutes les autorités de protection des données de l’UE, qui a rendu une décision finale contraignante le 5 décembre 2022.
La Commission a largement confirmé la position du DPC concernant les manquements à la transparence, mais a renversé son point de vue sur la question de la base juridique, estimant que la base juridique du « contrat » n’était pas légale pour le traitement de données à caractère personnel à des fins de publicité comportementale.
L’interprétation de l’instance ayant constaté de nouvelles infractions, elle a également augmenté les amendes administratives initialement proposées, 36 millions d’euros pour Facebook et 23 millions d’euros pour Instagram.
Meta n’a pas répondu à la demande de commentaire d’EURACTIV au moment de la publication. L’entreprise pourrait faire appel de la décision devant un tribunal national irlandais.
Pas encore fini
Avec Facebook et Instagram, NOYB s’est également attaqué au service de messagerie WhatsApp, propriété de Meta. Bien que la décision du comité européen de la protection des données sur WhatsApp ait été prise avec les deux autres en décembre, elle n’a été transmise à l’autorité irlandaise que la semaine suivante.
L’autorité dirigeante disposant d’un mois pour finaliser sa décision, l’enquête de WhatsApp devrait être conclue la semaine prochaine, avec un résultat similaire.
En outre, le Conseil a également demandé au DPC de mener une nouvelle enquête sur les pratiques de traitement des données de Facebook et Instagram, notamment en référence à des catégories particulières de données personnelles.
Cependant, l’autorité irlandaise considère cette dernière partie de la décision comme un dépassement, arguant que l’organisme n’a pas le pouvoir d’instruire et de diriger le travail d’une autorité indépendante. Ainsi, sur cet élément de la décision, le DPC intentera un recours en annulation devant la Cour de justice de l’UE.
[Edited by Nathalie Weatherald]
[ad_2]
Source link -42