META : la fin de la pratique du « Pay or Consent » ?


Nous vous parlions récemment de la nouvelle pratique mise en œuvre depuis novembre 2023 du « Pay or Consent » selon laquelle META propose un choix binaire à ses utilisateurs, à savoir souscrire à un abonnement payant ou consentir à l’utilisation de leurs données à caractère personnel.

Si cette pratique nous parait déjà critiquable au point de vue du RGPD, il semblerait qu’elle le soit également au regard du DMA[1], le règlement sur les marchés numériques, lequel renvoie aux dispositions du RGPD en matière de consentement.

En effet, la Commission européenne a adressé à la maison mère de Facebook et Instagram un avis préliminaire plutôt clair le 1er juillet 2024 pour lui faire savoir qu’elle n’était pas en conformité avec ce règlement européen.

I. Une non-conformité au DMA

Entré totalement en vigueur depuis le 6 mars 2024, META se présente déjà comme étant en violation du règlement sur les marchés numériques selon les premières constatations de la Commission européenne du fait de sa pratique de « Pay or Consent ».

Le commissaire au numérique, Thierry Breton précise ainsi :

« Meta a forcé des millions d’utilisateurs à travers l’Union européenne à faire un choix binaire : payer ou consentir. Selon nos conclusions préliminaires, il s’agit d’une violation »

Cette pratique est considérée par l’institution européenne comme poursuivant les habitudes des contrôleurs d’accès à imposer à leurs utilisateurs des conditions de services aboutissant à la collecte de grandes quantités de données pour acquérir un avantage concurrentiel face à leurs concurrents.

Pour établir que META n’est pas en conformité avec le DMA, la Commission se fonde sur l’article 5 paragraphe 2 du règlement lequel énonce :

« 2. Tout contrôleur d’accès est tenu de ne pas :

a)        Traiter, aux fins de la fourniture de services de publicité en ligne, les données à caractère personnel des utilisateurs finaux qui recouvrent à des services de tiers utilisant des services de plateforme essentiels fournis par le contrôleur d’accès ;

b)       Combiner les données à caractère personnel provenant du service de plateforme essentiel concerné avec les données à caractère personnel provenant de tout autre service de plateforme essentiel ou de tout autre service fourni par le contrôleur d’accès, ni avec des données à caractère personnel provenant de services tiers ;

c)         Utiliser de manière croisée les donnes à caractère personnel provenant du service de plateforme essentiel concerné dans le cadre d’autres services fournis séparément par le contrôleur d’accès, y compris d’autres services de plateforme essentiels et inversement ; et

d)       Inscrire les utilisateurs finaux à d’autres services du contrôleur d’accès dans le but de combiner des données à caractère personnel,

A moins que ce choix précis ait été présenté à l’utilisateur final et que ce dernier ait donné son consentement au sens de l’article 4, point 11), et de l’article 7 du règlement (UE) 2016/679. […] »

Au titre de cet article, META en tant que contrôleur d’accès se devait de demander le consentement aux utilisateurs pour procéder à une combinaison de données à caractère personnel des utilisateurs relevant des services essentiels de la plateforme et d’autres services, telle qu’une combinaison réalisée à des fins publicitaires.

Cet article a pour vocation d’imposer aux grandes plateformes de respecter davantage la concurrence et de réglementer la collecte massive de données.

En l’absence du consentement d’un utilisateur, la Commission estime que META doit présenter à l’utilisateur une possibilité moins personnalisée mais équivalente aux services proposés fondés sur des publicités personnalisées, c’est-à-dire un réseau social gratuit sans croisement de données pour cibler la publicité.

La Commission constate alors qu’il n’est pas offert aux utilisateurs une option équivalente, de sorte que ces utilisateurs ne peuvent pas opter pour un service utilisant moins leurs données à caractère personnel.

Selon l’institution cet équivalent pourrait être accompagné de publicités plutôt « contextuelle », ciblée en fonction du contenu affiché sur l’écran consulté par l’internaute.

A ce jour, il en est donc conclu que les utilisateurs ne peuvent exercer valablement leur droit à un consentement libre, conformément au RGPD auquel l’article 5 du DMA renvoie.

Pour en savoir plus sur le consentement libre de l’utilisateur et la pratique de META, nous vous invitons à consulter notre précédent article sur le sujet.

Si l’avis préliminaire de la Commission parait assez clair, la condamnation de META pour non-conformité au DMA n’est pas encore assurée.

II. Une procédure en cours

L’avis préliminaire parvenu à META semble assez tranché sur la mise en œuvre de cette pratique. Il n’en reste pas moins qu’il ne s’agit pour le moment que d’un avis donné par la Commission européenne.

Cette Commission a toujours la possibilité au cours de l’enquête qu’elle va réaliser de changer d’avis, même si cela nous parait peu probable.

A la suite de la réception de cet avis, META peut choisir d’élaborer sa défense dans le sens d’une conformité au DMA, ou bien initier des changements conformément à l’avis reçu pour être en conformité avec le règlement.  

Pour le moment, META semble être celui de la défense de la conformité au DMA en indiquant que la proposition d’un abonnement contre l’absence de publicité suit l’orientation donnée par la haute cour européenne.

Le choix d’une défense pour la conformité semble d’autant plus risqué que si l’institution européenne n’est pas d’accord avec les arguments soulevés, celle-ci est en mesure d’infliger de lourdes sanctions à l’entreprise, pouvant aller jusqu’à 10% du chiffre d’affaires total réalisé au niveau mondial par le contrôleur d’accès, sans parler des sanctions supplémentaires en cas d’infraction répétée ou non-conformité systémique. 

Ce n’est qu’à l’issue d’une enquête d’une durée d’un an que la Commission sera amenée à donner une décision définitive. Dans le cas de META, la procédure devrait prendre fin au 25 mars 2025.

Le temps est compté pour META. Reste à savoir ce que l’entreprise va faire, s'adapter ou tenir sa ligne en attendant une éventuelle condamnation ... 

Sadry PORLON (Avocat Fondateur) et Vicky BOUCHER (Avocate Collaboratrice)


[1] Digital Markets Act


Articles similaires

Derniers articles

La « négative harmony » : prétexte à un tour d’horizon des poncifs en matière de droit d’auteur

Quand l’IA rédigera des contrats…en lieu et place des avocats

Pourquoi désigner un DPO lorsqu'on est une commune ?

L'Affaire Pavel DUROV pour les nuls

META : la fin de la pratique du « Pay or Consent » ?

Peut-on repousser ou raccourcir la tombée d'une œuvre dans le domaine public ?

Porter plainte pour diffamation ou pour injure : une mauvaise idée ?

Comment sortir valablement d'un contrat ?

Focus sur les premières recommandations de la CNIL sur le développement des IA

Contr@vis : Un avis d’Avocat sur vos contrats à un tarif forfaitaire

Agir contre une personne qui vous a diffamé sur internet : un délai court et un niveau d'exigence élevé !

Qu’apporte de nouveau le guide de sécurité des données personnelles de la CNIL dans sa version 2024 ?