META : Vers une nouvelle sanction pour violation du RGPD ?

Après avoir fait l’objet de plaintes sur le terrain du droit de la consommation pour pratiques commerciales abusives, META est désormais la cible de plaintes au sujet du respect du droit des données à caractère personnel.

Ce jeudi 29 février, plusieurs associations de consommateurs européens[1] se sont regroupées afin de porter plainte contre META auprès de leurs autorités nationales compétentes en matière de données personnelles.

Ces plaintes ont toutes le même objet et concernent la nouvelle pratique mise en place par META à compter de novembre 2023 sur les réseaux sociaux Instagram et Facebook s’appliquant directement aux internautes concernés.

L’association UFC-que-choisir a donc porté plainte en France auprès de la CNIL et accuse META de violation des dispositions impératives du Règlement européen sur la protection des données à caractère personnel (RGPD).

L’association accuse META de respecter le RGPD uniquement en apparence en remettant en cause la validité du consentement donné par l’internaute (I) et le respect des principes fondamentaux du RGPD par META (II).

La nouvelle mesure imposée par META consiste à laisser à chaque internaute la possibilité de choisir s’il souhaite souscrire ou non à l’abonnement payant du réseau social. 

Depuis novembre 2023, chaque utilisateur de compte Instagram ou Facebook refusant la collecte de ces données doit payer 9,99 euros par mois s’il se connecte depuis un ordinateur ou 12,99 euros s'il passe par une application disponible sur smartphones.

Si un grand nombre d’internautes se sont uniquement concentrés sur le caractère payant de l’abonnement, ce choix a un fort impact en matière de collecte et de traitement des données à caractère personnel.

En effet, seuls les internautes ayant accepté de souscrire à l’abonnement ont la possibilité de refuser la collecte et le traitement de leurs données à caractère personnel.

Les autres sont contraints de consentir à la collecte et au traitement de leurs données à caractère personnel pour utiliser les réseaux sociaux en cause.

Présentée par META comme une manière de se conformer aux exigences du RGPD, cette pratique reste néanmoins fortement critiquée.

Les associations considèrent notamment que par cette pratique META profite de sa position dominante sur le marché pour contraindre les consommateurs à consentir.

META a fait l’objet de plusieurs décisions la condamnant pour manquement au RGPD notamment sur le fondement d’absence de base légale[2].

L’une de ces décisions a été rendue le 4 janvier 2023 par la DPC irlandaise et a condamné META à deux amendes pour un montant total de 390 millions d’euros pour violation du RGPD.

Cette décision mettait en avant le fait que META ne pourrait procéder à l’utilisation des données de ses internautes pour une publicité personnalisée aussi ciblée que ce qu’elle mettait en œuvre (notamment via de l’IA) que dans l’hypothèse où une option de consentement était prévue à cet effet.

L’instauration de sa nouvelle pratique semble découler de ces décisions.

Ainsi, META affirme dans l’un de ses communiqués[3] que cette nouvelle pratique a été approuvée par la Cour de Justice de l’Union Européenne, qui permet aux consommateurs de consentir au traitement de leurs données à des fins de publicité personnalisée.

La société se place donc dans la lignée des décisions récentes du Conseil d’état et des lignes directrices publiées par la CNIL ayant trait aux cookies et autres traceurs pour justifier la possibilité de recueillir le consentement de l’internaute dans le cadre de sa nouvelle pratique.

Si le consentement constitue bien une base juridique au sens de l’article 6 du RGPD[4], le RGPD précise néanmoins que celui-ci doit être libre, spécifique, éclairé et univoque, pour pouvoir être considéré comme valable. 

Et c’est ce point qui selon les associations de consommateurs précitées fait défaut.

La validité du consentement donné par l’internaute dans le cadre de la nouvelle pratique mise en place par META est donc contestée dans le cadre de la plainte déposée par l’UFC-que-choisir contre META auprès de la CNIL.

Selon l’association UFC-que-choisir[5], l’internaute n’est pas en mesure de donner un tel consentement en ce que META ne spécifie pas la finalité précise de chaque type de traitement opéré sur les données collectées.

Cette absence de clarté rendrait difficile de délimiter la différence entre la souscription ou non de l’abonnement.

Actuellement, il apparait selon l’UFC-que-choisir, difficile pour l’internaute de savoir si l’abonnement souscrit amène à une réduction du « pistage massif » de l’abonné ou bien à la seule cessation de diffusion des publicités.

La plainte souligne également que l’information donnée à l’internaute, au moment de recueillir son consentement, apparait contradictoire en comparaison de celle donnée aux entreprises souhaitant avoir recours aux services de publicité ciblée du réseau social concerné. La plainte reproche donc au niveau du consentement donné un manque de transparence de META et donc de loyauté au regard de ce qui est effectivement mis en œuvre. 

En dehors de la question de la licéité d’un traitement fondé sur un consentement donné par l’utilisateur, la pratique de META est également contestée au regard d’autres principes fondamentaux du RGPD.  

Quand bien même le consentement serait considéré comme valide l’internaute peut-il consentir à une collecte et un traitement en profondeur de son comportement d’internaute ?

Le RGPD énonce des principes fondamentaux qu’il convient de respecter à tout moment de la collecte et du traitement des données à caractère personnel concernées.

Parmi ces principes, la nouvelle pratique de META est débattue au regard du principe de minimisation.

Pour rappel le principe de minimisation impose que les données à caractère personnel collectées soient adéquates, pertinentes et limitées au nécessaire en fonction des finalités pour lesquelles elles sont traitées.

Pour qu’un traitement soit considéré comme nécessaire, il convient d’évaluer s’il existe des alternatives réalistes et moins intrusives permettant d’aboutir à la finalité poursuivie. Si de telles alternatives existent, on considérera que le traitement n’est pas nécessaire au sens du RGPD.

Or, la plainte en question soutient que META n’entend en rient imiter la collecte des données mais utilise au contraire des technologies « espionnes » l’amenant à une intrusion massive dans tous les aspects de la vie privée et de la personnalité de l’internaute.

Faisant écho à la décision publiée par la DPC le 4 janvier 2023, l’association UFC-que-choisir remet donc encore en cause la pratique de publicité comportementale de META, une publicité que l’EDPB avait considéré comme non nécessaire en ce qu’il existait selon elle des alternatives moins intrusives[6].

Cette nouvelle pratique de META semble donc occasionner de nombreux débats, au niveau de la base juridique, du principe de minimisation mais également au sujet d’autres grands principes. L’organisation NOYB a porté plainte une seconde fois sur le fondement cette fois du retrait du consentement.

Si le Comité Européen de la Protection des données (EDPB) a indiqué rendre un avis sur le sujet fin mars, la décision devrait en principe revenir à l’autorité irlandaise de protection des données (DPC) en raison du siège social européen de META établi en Irlande.

Affaire à suivre …

Sadry PORLON (Avocat Fondateur) et Vicky BOUCHER (Avocate Collaboratrice)