La justice européenne multiplie les attaques contre le fonctionnement des activités de Meta. Après avoir mis un coup de frein sans précédent à sa stratégie en matière de l'intelligence artificielle générative, c'est le business model de ses réseaux sociaux qui semble sérieusement remis en cause.
Meta exhorté à revoir sa copie
Saisie par Maximilian Schrems, le président d'honneur de l'association Noyb connu pour ses croisades contre Meta, la Cour de justice de l'Union européenne (CJUE) a décidé qu'un réseau social - tel que Facebook - ne peut pas utiliser les données personnelles de ses utilisateurs à des fins de publicité ciblée sans limitation dans le temps et sans distinction en fonction de leur nature. Cet arrêt, rendu le 4 octobre 2024, semble obliger Meta à revoir sa copie en matière de publicité sur ses réseaux sociaux pour se conformer aux exigences du Règlement général sur la protection des données (RGPD).
Les faits à l'origine du litige sont les suivants : Maximilian Schrems a contesté devant les juridictions autrichiennes le traitement illicite de ses données personnelles par la filiale irlandaise de Meta (Meta Platforms Ireland) sur Facebook. Plus précisément, il reprochait à l'entreprise de l'avoir ciblé avec "des publicités visant un public homosexuel et des invitations à des événements correspondants". Ces publicités ne se basaient pas directement sur l'orientation sexuelle du requérant et ses "amis" sur le réseau social mais sur "une analyse de leurs centres d'intérêt, en l'occurrence sur le fait qu'un des amis de M.Schrems aurait marqué un produit en appuyant sur un bouton 'J'aime'".
Des données obtenues sur les sites tiers
Après analyse, le requérant en a conclu que les données permettant à Facebook de lui proposer ces publicités n'avaient jamais été renseignées par lui-même. Il s'agissait, en fait, d'informations issues de la consultation de sites internet de tiers et obtenues par des tiers, dont Facebook a eu accès via des cookies, des "social plugins" et des pixels. Cette pratique viole certaines dispositions du RGPD, en particulier celles relatives au consentement au traitement des données personnelles, a déclaré le requérant dans sa plainte déposée devant la justice autrichienne. C'est la Cour suprême du pays (Oberster Gerichtshof) a qui posé une question préjudicielle à la Cour de justice de l'Union européenne (procédure permettant de solliciter une interprétation d'un texte européen).
Les juges européens ont ainsi rappelé qu'en vertu du principe de minimisation (article 5 du RGPD), le responsable de traitement ne peut procéder, de manière généralisée et indifférenciée, à la collecte des données personnelles et qu'il doit s'abstenir de collecter des données qui ne sont pas strictement nécessaires au regard des finalités du traitement. En l'occurrence, il ressort de la décision de renvoi que Meta collecte les données personnelles des utilisateurs de Facebook portant sur leurs activités tant sur ce réseau social qu'en dehors de celui-ci. Il s'agit des données relatives à la consultation de la plateforme en ligne ainsi que des pages internet et d'applications tierces ainsi que du suivi du comportement de navigation des utilisateurs sur ces pages.
"La sensation d'une surveillance continue"
C'est ainsi que la CJUE a jugé qu'un tel traitement est "particulièrement étendu" dès lors qu'il porte sur "des données potentiellement illimitées" et qu'il a un "impact important" sur l'utilisateur, dont une grande partie voire la quasi-totalité, des activités en ligne sont "monitorées" par Meta, "ce qui peut susciter la sensation d'une surveillance continue de sa vie privée". Il revient désormais à la juridiction autrichienne de mettre en balance l'atteinte à la vie privée provoquée et l'objectif de Meta consistant à permettre la diffusion de publicité ciblée. La CJUE juge de son côté que l'ingérence dans les droits fondamentaux du requérant - à savoir la protection de sa vie privée - n'est pas "raisonnablement justifiée".
La cour suprême autrichienne s'interrogeait également sur l'interprétation de l'article 9 du RGPD, c'est-à-dire le traitement des données sensibles. Elle cherchait à déterminer si, par la déclaration de Maximilian Schrems sur son homosexualité lors d'une table ronde, celui-ci n'avait plus le droit à la protection conférée par cet article et si, par conséquent, Facebook était en droit de traiter d'autres données relatives à son orientation sexuelle.
Limiter le croisement des données
La Cour précise que le traitement des données relatives à son orientation sexuelle est intervenue postérieurement à la table ronde. Dans tous les cas, ajoute-t-elle, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et de l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée.
Noyb s'est félicité de cette décision. "Meta a constitué depuis 20 ans une énorme base de données sur ses utilisateurs et elle s'agrandit de jour en jour (...) A la suite de cette décision, seule une petite partie de [sa] base de données pourra être utilisée à des fins publicitaires, même lorsque les utilisateurs y consentent", a déclaré Katharina Raabe-Stuppnig, avocate de Maximilian Schrems.
Meta face à la justice européenne sur son abonnement
En quelques mois, Meta a été exhorté à plusieurs reprises de revoir en profondeur sa gestion des données des utilisateurs européens de ses services. Fin octobre 2023, l'European Data Protection Board (EDPB), le Comité européen de la protection des données ayant pour mission de veiller à l'application du RGPD dans tous les pays membres de l'UE, a sommé l'autorité irlandaise d'interdire le traitement par Meta des données personnelles à des fins de publicité ciblée sur les bases du contrat et de l'intérêt légitime. Face à cette décision, l'entreprise américaine a usé d'un énième tour de passe-passe : le lancement d'un abonnement payant à Facebook et Instagram sans publicité.
Le modèle surnommé "Pay or Consent" a soulevé un vent de contestations. Après le dépôt de plusieurs plaintes, Meta a envoyé une proposition à la Commission européenne visant à baisser le prix de l'abonnement à 5,99 euros au lieu de 9,99 euros par mois pour un compte unique. Bruxelles n'a pas été convaincu : dans ses conclusions préliminaires publiées en début juillet 2024, elle a jugé que l'entreprise américaine avait violé le Digital Markets Act (DMA). "Ce choix préliminaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne permet pas de leur proposer une version moins personnalisée mais équivalente des réseaux sociaux de Meta", écrit la Commission qui vise l'article 5 du texte.
La décision finale sera rendue d'ici le 25 mai 2025. En cas de non-respect, l'entreprise américaine pourra être condamnée à une amende dont le montant peut aller jusqu'à 10% de son chiffre d'affaires total et jusqu'à 20% en cas de récidive. En 2023, Meta a présenté un chiffre d'affaires de 135 milliards de dollars. Ses revenus provenant de la publicité étaient en hausse de 28%.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
