Meta sanctionné par l’Europe, l’astuce juridique pour diffuser une publicité ciblée refusée

Meta est fortement sanctionné par la DPC (Data protection Commission), l’Autorité de protection des données irlandaise et par les autorités européennes qui pour leur part ont poussé à l’augmentation des amendes. Meta devra régler 210 millions d’euros pour des violations du RGPD relatives à son service Facebook et  180 millions d’euros pour des violations relatives à son service Instagram. Meta a été enjoint de mettre ses opérations de traitement de données en conformité dans un délai de 3 mois.

L’usage du contrat refusé au niveau européen

Les arguments de Meta ont été refusés. La société défendait le point de vue selon lequel elle délivrait des services de publicité ciblés dans le cadre d’un contrat avec l’utilisateur. Cette position a été refusée par l’Europe alors qu’elle était acceptée par la DPC. Meta avait agi avant l’entrée en vigueur du RGPD le 25 mai 2018. La société avait modifié les conditions d’utilisation de ses services Facebook et Instagram. Meta avait également signalé qu’il changeait la base juridique sur laquelle il s’appuie pour son traitement des données personnelles des utilisateurs. 

Meta s’appuyait auparavant sur le consentement des utilisateurs au traitement de leurs données personnelles dans le cadre de la fourniture des services de Facebook et d’Instagram y compris pour la diffusion de publicité comportementale. Meta a désormais cherché à s’appuyer sur la base juridique de la passation de « contrat » entre lui et ses utilisateurs pour la plupart mais pas la totalité de ses opérations de traitement.

Si les utilisateurs souhaitaient continuer à avoir accès aux services Facebook et Instagram après l’introduction du RGPD, ils étaient invités à cliquer sur « J’accepte » pour indiquer leur acceptation des conditions d’utilisation mises à jour. Les services ne seraient pas accessibles si les utilisateurs refusaient de le faire.

Etablissement d’un contrat entre Meta et ses utilisateurs

Meta considérait que, lors de l’acceptation des conditions d’utilisation mises à jour, un contrat a été conclu entre Meta et l’utilisateur. La société considérait également que le traitement des données des utilisateurs dans le cadre de la fourniture de ses services Facebook et Instagram était nécessaire à l’exécution dudit contrat, y compris la fourniture de services personnalisés et la publicité comportementale, de sorte que de tels traitements étaient licites par référence à l’article 6, paragraphe 1, point b) du RGPD qui décrit le « contrat » comme ​​base juridique du traitement de données personnelles.

Les plaignants à l’origine de l’enquête contre Meta ont soutenu que la société cherchait en fait toujours à s’appuyer sur le consentement pour fournir une base légale à son traitement des données des utilisateurs. Ils ont fait valoir qu’en subordonnant l’accessibilité de ses services à l’acceptation par les utilisateurs des conditions d’utilisation mises à jour, Meta les «  forçait »  en fait à consentir au traitement de leurs données personnelles à des fins de publicité comportementale et à d’autres services personnalisés. Les plaignants ont fait valoir que cela était contraire au RGPD.

Après enquête, la DPC irlandaise considère que Meta n’a pas clairement communiqué aux utilisateurs les informations relatives à la base juridique invoquée par Meta. De sorte que les utilisateurs n’ont pas eu suffisamment de clarté sur les traitements qui étaient effectués sur leurs données personnelles, pour quels objectifs et sur quelle base légale ils étaient réalisés parmi les six listées dans l’article 6 du RGPD. La DPC a considéré qu’il s’agissait d’une violation de l’article 5, paragraphe 1, sous a), qui consacre le principe selon lequel les données à caractère personnel des utilisateurs doivent être traitées de manière licite, loyale et transparente. 

La DPC irlandaise d’accord avec Meta sur l’usage d’un contrat avec les utilisateurs

La DPC a conclu que Meta ne s’appuyait pas, en fait, sur le consentement des utilisateurs comme base légale pour le traitement de leurs données personnelles. Dès lors, l’aspect «  consentement forcé » des plaintes ne pouvait pas être retenu, estime la DPC. Dès lors, la DPC a ensuite considéré que le recours de Meta au « contrat » constituait une base juridique pour son traitement des données personnelles des utilisateurs dans le cadre de la fourniture de ses services personnalisés y compris la publicité personnalisée. 

La DPC a conclu que Meta n’était pas tenu de s’appuyer sur le consentement. En principe, le RGPD n’empêchait pas Meta de s’appuyer sur la base juridique du contrat. La DPC estime que les services Facebook et Instagram incluent, et semblent en fait être fondés sur, la fourniture d’un service personnalisé qui comprend de la publicité personnalisée ou comportementale. Pour l’autorité irlandaise il s’agit de services personnalisés qui comportent également de la publicité personnalisée. Selon la DPC, cette réalité est au cœur du marché conclu entre les utilisateurs et le fournisseur de services qu’ils ont choisi et fait partie du contrat conclu au moment où les utilisateurs acceptent les conditions d’utilisation.

Certaines autorités de protection des données en Europe estimaient que Meta ne devrait pas être autorisé à s’appuyer sur la base juridique du « contrat » au motif que la diffusion de publicité personnalisée dans le cadre des services personnalisés proposés par Facebook et Instagram ne pouvait pas être considérée comme nécessaire pour exécuter les éléments essentiels de ce qui était considéré comme une forme de contrat beaucoup plus limitée. 

Le juge européen refuse l’usage d’un contrat entre Meta et ses utilisateurs

L’autorité européenne, le Comité européen de la protection des données (« le CEPD ») a rendu son avis le 5 décembre avec un point de vue différent sur la question de la « base juridique ». Il estime que Meta n’était pas en droit d’invoquer la base juridique du « contrat » comme fournissant une base légale pour son traitement des données à caractère personnel pour le but de la publicité comportementale.

Les décisions finales adoptées par la DPC reflètent les décisions contraignantes du CEPD. En conséquence, les décisions de la DPC incluent des conclusions selon lesquelles Meta n’est pas en droit de s’appuyer sur la base juridique du « contrat » ​​dans le cadre de la diffusion de publicité comportementale dans le cadre de ses services Facebook et Instagram, et que son traitement des données des utilisateurs à ce jour, en s’appuyant sur la base juridique du « contrat », équivaut à une violation de l’article 6 du RGPD.

A la lumière de cette infraction supplémentaire au RGPD, la DPC a augmenté le montant des amendes administratives infligées à Meta à 210 millions d’euros dans le cas de Facebook et à 180 millions d’euros dans le cas d’Instagram. La DPC souligne que les niveaux révisés de ces amendes reflètent le point de vue du CEPD concernant les manquements de Meta à ses obligations en matière de traitement équitable et transparent des données personnelles des utilisateurs.