European Union: Publicité ciblée sur les réseaux sociaux : Le consentement est-il obligatoire ?

Le dernier épisode de la saga judiciaire « Meta vs publicité ciblée » a remis au goût du jour la question de la base légale de la publicité ciblée ! 

Les opérations de ciblage opérées par les réseaux sociaux suscitent un intérêt accru du point de vue du respect de la réglementation en matière de protection des données personnelles.

Depuis plusieurs années, les filiales du Groupe Meta (Facebook, Instagram et WhatsApp) sont pointées du doigt pour leur manque de transparence et le contrôle exercé sur les utilisateurs.

En 2018, dès l'entrée en vigueur du RGPD, ces filiales ont été la cible de plaintes déposées par l'Association de défense de la vie privée « Noyb » auprès de l'autorité de protection des données. Meta est accusée d'avoir collecté et traité les données personnelles de ses utilisateurs à des fins de publicité ciblée sur la seule base du contrat conclu avec ces derniers, sans avoir recueilli leur consentement.

La question qui se pose alors est celle de savoir si un fournisseur de réseau social, tel que Facebook, peut fonder le traitement des données personnelles de ses utilisateurs à des fins de ciblage publicitaire sur le contrat conclu entre le réseau social et l'utilisateur ?

La base légale de la publicité ciblée : Contrat ou Consentement ?

Pour rappel, le RGPD prévoit que le traitement de données à caractère personnel n'est licite que s'il repose sur l'une des six bases légales listées à l'article 6.1 du RGPD :

• le consentement ;
• l'exécution d'un contrat ou de mesures précontractuelles ;
• le respect d'une obligation légale ;
• la sauvegarde d'intérêts vitaux ;
• l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique ;
• l'intérêt légitime.

En matière de publicité ciblée, la réglementation européenne sur la protection des données impose le consentement des utilisateurs pour l'utilisation de traceurs sur leurs appareils. Ce consentement est généralement obtenu via des bannières présentes sur les sites ou applications, permettant d'accepter, de refuser ou de paramétrer les traceurs.

Toutefois, la présentation de ces bannières est susceptible d'influencer les choix des utilisateurs notamment par l'utilisation des dark patterns (schémas sombres) qui visent à tromper ou manipuler les consommateurs pour qu'ils consentent à l'utilisation de leurs données (par exemple en rendant l'acceptation du traitement de leurs données personnelles plus facile que le refus grâce à des techniques telles que la couleur, la police, la taille des boutons et la formulation des options présentées).

C'est pourquoi, les décisions rendues par le CEPD ont permis de rappeler l'importance de recueillir le consentement des utilisateurs dans le cadre du ciblage publicitaire.

Une cascade de décisions en faveur du consentement 

La position du Comité Européen de la Protection des Données (CEPD)

Les décisions du 6 décembre 2022 rendues par le CEPD ont mis fin à la confusion entretenue par les réseaux sociaux entre acceptation des conditions générales d'utilisation (CGU) et consentement des utilisateurs.

En effet, de nombreux réseaux sociaux intègrent la publicité ciblée dans leurs CGU et se fondent sur l'acceptation de celles-ci par leurs utilisateurs pour justifier la légitimité du ciblage publicitaire opérée.

Désormais, le CEPD affiche clairement que le consentement doit être détaché de l'acceptation des CGU.

La présidente du CEPD, Andrea Jelinek, a déclaré à cette occasion que : « Les décisions contraignantes du CEPD clarifient que Meta a traité illégalement des données personnelles à des fins de publicité comportementale. Une telle publicité n'est pas nécessaire à l'exécution d'un prétendu contrat avec les utilisateurs de Facebook et d'Instagram. Ces décisions peuvent également avoir un impact important sur d'autres plateformes qui placent les publicités comportementales au centre de leur modèle économique. »

La position de la Data Protection Commission

Le 12 mai 2023, la Data Protection Commission (DCP) a condamné Meta à une amende record de 1,2 milliards d'euros, dont 390 millions d'euros [210M pour Facebook et 180M pour Instagram] pour avoir traité les données personnelles de ses internautes sur la base de l'acceptation des conditions générales d'utilisation très denses, sans avoir pris soin de recueillir leur consentement.

L'association Noyb s'est félicitée d'une décision qui forcera Meta à mettre en place « une option de consentement oui/non » pour l'utilisation des données personnelles de ses utilisateurs, faute de quoi l'entreprise « ne peut pas utiliser leurs données pour une publicité personnalisée ».

Pourtant Meta n'exécutera pas cette décision et tentera de détourner celle-ci en modifiant ses Conditions générales d'utilisation pour prévoir que la publicité ciblée repose désormais sur la notion de l'intérêt légitime, l'une des autres bases légales prévues par l'article 6 du RGPD.

La position de la Cour de Justice de l'Union Européenne (CJUE)

Le 4 juillet 2023, la CJUE a rendu une décision dans laquelle elle déclare que : « La publicité personnalisée par laquelle le réseau social en ligne Facebook finance son activité, ne saurait justifier, en tant qu'intérêt légitime poursuivi par Meta Platforms Ireland, le traitement des données en cause, en l'absence d'intérêt légitime poursuivi par Meta Platforms Ireland. »

Elle rappelle également que « le fait que l'exploitant d'un réseau social en ligne, en tant que responsable du traitement, occupe une position dominante sur le marché des réseaux sociaux n'empêche pas, en tant que tel, ses utilisateurs de donner valablement leur consentement, au sens du RPPD, au traitement de leurs données à caractère personnel par cet opérateur. Toutefois, dès lors que cette position est susceptible d'affecter la liberté de choix de ces utilisateurs et de créer un déséquilibre manifeste entre eux et le responsable du traitement, elle constitue un élément important pour déterminer si le consentement a effectivement été valablement et, en particulier, librement donné. C'est à l'opérateur de le prouver. »

La position de la CNIL Norvégienne

Malgré les nombreuses décisions rendues à l'encontre de Meta, le géant du numérique n'a toujours pas modifié la base légale.

Le 14 juillet 2023, la CNIL Norvégienne adressera une injonction à Meta et Facebook Norway AS l'invitant à se mettre en conformité avec les décisions précédemment rendues. Elle rappelle que les données personnelles ne doivent pas être traitées à des fins de publicité comportementale sur la base de l'exécution d'un contrat ou sur la base de l'intérêt légitime. Elle enjoint Meta de demander le consentement de ses internautes pour le traitement de leurs données personnelles à des fins de publicité ciblée, et ce avant le 4 août 2023.

A défaut de s'exécuter, Meta sera soumise à une astreinte d'un million de couronnes norvégiennes (environ 100.000 euros) par jour de non-respect.

Trois jours avant la date butoir, le 1ᵉʳ août 2023, Meta a annoncé discrètement : « Aujourd'hui, nous annonçons notre intention de changer la base juridique que nous utilisons pour traiter certaines données pour la publicité comportementale pour les personnes dans l'UE, l'Espace économique européen et la Suisse de ‘Intérêts légitimes' à ‘Consentement' ».

Meta s'est tournée mardi et mercredi vers un tribunal à Oslo pour suspendre la sanction. « Nous avons déjà annoncé notre intention de passer à la base légale du consentement pour la publicité personnalisée en Europe et dans l'Espace économique européen ».

Sous réserve que les GAMAM se plient aux décisions des autorités de contrôle européennes, il est à espérer que les internautes aient peut-être le choix un jour d'être en position de refuser le traitement de leurs données personnelles aux fins de ciblage publicitaire.

Affaire à suivre.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.