Noyb accuse Meta de violer le consentement des utilisateurs de Facebook

L'association autrichienne None of your business (Noyb), qui promeut la protection de la vie privée, a déposé une plainte contre Meta devant la Datenschutzgesetz (DSB), l'équivalent de la Commission nationale de l'informatique et des libertés (Cnil) en Autriche. Elle estime que l'entreprise américaine viole l'article 7 du Règlement général de protection des données personnelles (RGDP) – qui établit les conditions applicables au consentement – avec son système d'abonnement payant.

Il n'est aussi simple de se retirer que d'accepter

C'est en octobre 2023 que Meta a présenté son abonnement payant à ses réseaux sociaux. Il propose des abonnements allant de 9,99 euros jusqu'à 12,99 euros par mois permettant aux internautes d'utiliser Facebook et Instagram sans publicité. Or, comme l'explique Noyb dans sa plainte, "une fois que les utilisateurs ont consenti à être suivis, il n'existe aucun moyen simple de retirer [leur consentement]". En effet, ils doivent souscrire à l'abonnement payant, ce qui nécessite de "parcourir plusieurs fenêtres et bannières pour trouver la page où [ils peuvent] effectivement retirer [leur] consentement". 

"Il est malheureusement évident que payer 251,88 euros par an pour retirer son consentement n'est pas aussi simple que de cliquer sur un bouton", a déclaré Massimiliano Gelmi, avocat spécialisé en protection des données au sein de Noyb. L'association appuie son raisonnement sur les lignes directives du European Data Protection Board (EDPB) adoptées le 4 mai 2020 à propos du consentement.

Le retrait ne doit entraîner aucun coût 

Dans ce document, l'autorité européenne qui réunit les autorités nationales de protection des données écrit que "le responsable de traitement doit prouver que le retrait du consentement n'entraînera aucun coût pour la personne concernée". Or, d'après la plainte, pour ne plus accepter d'être la cible de publicités, l'utilisateur doit basculer vers l'offre payante.

Il s'agit de la seconde plainte déposée par Noyb dans le cadre de la nouvelle offre de Meta. C'est début décembre qu'elle a saisi pour la première fois l'autorité autrichienne sur le fondement de la violation du RGPD, en particulier la tentative de la société américaine de tenter de contourner cette réglementation en proposant "une redevance de confidentialité pouvant aller jusqu'à 250 euros par an à toute personne qui ose exercer son droit fondamental à la protection des données".

Meta accusé de "pratiques commerciales déloyales"

Noyb n'est pas la seule organisation à attaquer Meta. Le Bureau européen des unions de consommateurs (BEUC), une fédération de 43 associations européennes de consommateurs, et 19 de ses membres, dont l'UFC-Que Choisir, ont déposé une plainte auprès du réseau des autorités de protection des consommateurs (CPC). Ils dénoncent "des pratiques commerciales déloyales" et une violation du RGPD. Ils mettent notamment en avant "une pratique agressive" lorsque Meta bloque partiellement l'utilisation de Facebook et Instagram jusqu'à l'utilisateur fasse un choix entre un abonnement payant et ne plus voir de publicités ou de ne pas payer et rester dans le statu quo. Une stratégie qui créerait "un sentiment d'urgence" pour le consommateur qui se sentirait obligé de choisir rapidement entre ces deux options. 

Ce sont deux décisions de justice consécutives qui ont poussé Meta à changer de base légale – obligation imposée par l'article 6 du RGPD – pour justifier la collecte de données sur ses réseaux sociaux. La Cour de justice de l'Union européenne a rendu un arrêt en juillet 2023 dans lequel elle a conclu que "la personnalisation de la publicité par laquelle est financé le réseau social en ligne Facebook ne saurait justifier, en tant qu'intérêt légitime poursuivi par Meta Platforms Ireland, le traitement de données en cause, en l'absence du consentement de la personne concernée". 

La DPC sommée d'interdire le traitement de données à Meta

Le même mois, la Datatilsynet, l'autorité néerlandaise de protection des données, lui a interdit d'effectuer de la publicité ciblée sur une période allant du 4 août 2023 jusqu'au 3 novembre 2023. Les pratiques n'ayant pas été modifiées entre temps, l'autorité a saisi le Comité européen à la protection des données pour qu'il prenne une décision contraignante. Son appel a été entendu : le Comité a sommé la Data Protection Commission (DPC), la Cnil irlandaise, d'interdire "le traitement des données personnelles à des fins de publicité comportementale sur les bases juridique du contrat et de l'intérêt légitime".

Meta a donc dû prendre une décision pour se mettre en conformité et a ainsi choisi de lancer un abonnement. En refusant de payer, les utilisateurs acceptent donc que leurs données personnelles soient collectées à des fins publicitaires. Il faut ici bien préciser que le modèle payant permet toujours à la société de collecter des informations à d'autres fins que des fins publicitaires (promotion de la sûreté, l'intégrité et la sécurité...).

Meta devra-t-il une nouvelle fois changer de base légale ou modifier son offre payante ? Les futures décisions de l'autorité autrichienne permettront de le savoir.