Il aura fallu pas moins de quatre ans pour que la procédure engagée à l’encontre de Meta au sein de l’Union européenne aboutisse et que les pratiques publicitaires de l’entreprise soient jugées illégales. Le géant des réseaux sociaux doit maintenant s’acquitter d’une amende de 400 millions de dollars, infligée par le Comité européen de la protection des données. Par ailleurs, il devra sérieusement réfléchir à la façon dont il envisage à l’avenir de recueillir les données et d’appliquer son modèle publicitaire sur le marché européen.
Voici les informations dont nous disposons au sujet de cette affaire et les enseignements que nous pouvons tirer du pari perdu de Meta face au RGPD.
L’affaire à ce jour : analyse des pratiques publicitaires de Meta au sein de l’Union européenne
En 2018, NOYB, une organisation à but non lucratif dirigée par Max Schrems, défenseur de la vie privée, dépose deux plaintes, considérant que la pratique de Meta qui vise à recueillir l’autorisation des utilisateurs à des fins de publicité ciblée est illégale et contraire au Règlement général sur la protection des données (RGPD).
Pour obtenir cette autorisation, Meta incluait une déclaration dans ses (longues) conditions d’utilisation, selon laquelle les utilisateurs devaient soit consentir à ce que leurs données soient utilisées à des fins de publicité personnalisée, soit renoncer totalement à utiliser la plateforme. En d’autres termes, pour Meta, dès lors qu’une personne utilise Facebook, Instagram ou une autre application sur la plateforme, cette utilisation constitue un accord implicite à la collecte et à l’exploitation de ses données personnelles à des fins de publicité personnalisée.
Un consentement implicite est-il réellement un consentement ?
Les pratiques de Meta soulèvent la question suivante : un consentement implicite est-il réellement un consentement ? Si une personne utilise une plateforme gratuite, cette utilisation donne-t-elle le droit à la plateforme de collecter et d’exploiter les données de cette personne à des fins publicitaires ?
Réponse : tout dépend de l’endroit où vous vivez et des réglementations en vigueur en matière de protection des données. Si cette approche peut convenir aux États-Unis, où il n’existe aucune loi nationale sur la confidentialité des données, ce n’est pas le cas au sein de l’Union européenne, l’un des plus grands marchés de Facebook. Le RGPD exige des organisations qu’elles obtiennent un consentement spécifique (et qu’elles proposent un moyen de le retirer) avant de recueillir les données des utilisateurs et de les utiliser à diverses fins, comme la publicité ciblée.
Définition du consentement par le RGPD
Le site GDPR.eu souligne que le consentement doit être :
- Libre : l’individu doit avoir la possibilité de dire « non ».
- Spécifique : l’individu doit comprendre clairement la façon dont ses données seront utilisées.
- Éclairé : l’individu doit savoir qui recueille ses données et pour quelles finalités.
- Univoque : il ne peut y avoir aucune ambiguïté quant à l’expression du consentement. Conformément à la raison 32 du RGPD, « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. »
- Révocable : l’individu doit être en mesure de changer d’avis et de retirer à tout moment son consentement.
Respecter les individus. Respecter leur vie privée.
Bien que Meta ait prévu de faire appel de la décision à son encontre, l’entreprise sera certainement tenue d’effectuer quelques changements majeurs au niveau de ses pratiques en matière de consentement afin de respecter les mécanismes du RGPD, à savoir obtenir l’accord des utilisateurs avant d’exploiter leurs données à des fins publicitaires. Même si ces modifications entraîneront une réduction de ses revenus publicitaires, une de plus après l’annonce d’Apple concernant les contrôles de confidentialité des appareils iOS en 2021, il s’agit de la bonne approche à adopter.
En tant qu’individus, nous ne connaissons que trop bien ce cas de figure où l’écran de notre navigateur est envahi de fenêtres contextuelles qui nous demandent l’autorisation de recueillir nos données. Certes, la situation est un peu agaçante, ce qui explique pourquoi de nombreux utilisateurs finissent par sélectionner « Accepter tout », mais au moins, nous avons le choix.
Meta n’est pas la première organisation ni la dernière à enfreindre les réglementations en matière de protection des données. Si nous devions retenir ne serait-ce qu’une seule leçon de cette récente décision, ce serait la suivante : un individu, et lui seul, doit avoir la possibilité de contrôler le sort de ses propres informations personnelles.
