L'European Data Protection Board (EDPB), le Comité européen de la protection des données ayant pour mission de veiller à l'application du RGPD dans tous les pays membres de l'UE, a haussé le ton à l'encontre de Meta, ex-Facebook. Le 27 octobre, il a sommé la Data Protection Commission (DPC), l'équivalent de la Commission nationale de l'informatique et des libertés en Irlande, d'interdire dans un délai de deux semaines 'le traitement de données personnelles à des fins de publicité comportementale sur les bases juridiques du contrat et de l'intérêt légitime dans l'ensemble de l'Espace économique européen (27 Etats membres de l'UE + l'Islande, la Norvège et le Liechtenstein).
L'interdiction du traitement des données personnelles deviendra "effective" une semaine après la notification à Meta par la DPC, précise le Comité dans son communiqué. "Il est grand temps pour Meta de mettre ses traitements en conformité et de mettre un terme aux traitements illicites", a déclaré Anu Talus, la présidente de l'EDPB.
Meta jongle entre plusieurs bases légales
Cette injonction met un terme (en partie) à plusieurs années de débats autour des fondements juridiques, également appelées bases juridiques, sur lesquels s'appuie le géant américain pour justifier le traitement des données personnelles des utilisateurs de ses réseaux sociaux – Facebook, Instagram et WhatsApp – à des fins de publicité comportementale. Cette dernière est, pour rappel, une technique publicitaire visant à identifier les caractéristiques de chaque internaute pour lui diffuser des messages publicitaires bien spécifiques. Cette pratique nécessite de collecter un grand nombre de données personnelles afin de constituer le profil le plus précis possible. C'est pour cette raison que des règles doivent être respectées en la matière. L'article 6 du RGPD prévoit 6 bases légales : le consentement, le contrat, l'obligation légale, la sauvegarde des intérêts vitaux, l'intérêt public et les intérêts légitimes.
Source : site de la Cnil
La fabrique du consentement à la sauce Meta
L'entrée en vigueur du RGPD, le 25 mai 2018, a obligé Meta à revoir sa copie une première fois : il est passé du consentement au contrat. En d'autres termes, il arguait que le traitement des données personnelles était nécessaire "à l'exécution d'un contrat". A cette époque, les utilisateurs avaient reçu un email dans leur messagerie leur proposant d'accepter les nouvelles conditions d'utilisation. S'ils refusaient, il n'y avait plus accès. L'association autrichienne Noyb, présidée par le militant Max Schrems, avait déposé des plaintes estimant que "l'exécution d'un contrat" était en réalité qu'une façon contournée de collecter le consentement illégalement. En décembre 2022, l'EDPB lui avait donné raison en jugeant que la base légale choisie, le contrat, n'était pas appropriée.
Conséquence de quoi, Meta avait changé le fondement juridique du traitement des données personnelles pour "les intérêts légitimes". "Meta remplace une pratique illégale par une autre pratique illégale", critiquait Max Schrems. Le 1er août, l'entreprise a encore changé de fondement en repassant au "consentement" de l'utilisateur pour "répondre à un certain nombre d'exigences réglementaires évolutives et émergentes dans la région [EEE, ndlr] notamment la manière dont notre principal régulateur de protection des données dans l'UE, la Commission irlandaise de protection des données (DPC), interprète désormais le RGPD à la lumière de récentes décisions de justice en anticipation de l’entrée en vigueur de la loi sur les marchés numériques (DMA)".
La Cnil néerlandaise laisse trois mois à Meta pour changer ses pratiques
Pour comprendre ce nouveau changement, il faut prendre en compte deux décisions. La première a été rendue par la Cour de justice de l'Union européenne (CJUE) le 4 juillet 2023. Elle répondait à des questions d'interprétation du RGPD dans le cadre d'un litige opposant Meta au Bundeskartellamt, l'autorité de la concurrence allemande. Elle a conclu que "la personnalisation de la publicité par laquelle est financé le réseau social en ligne Facebook ne saurait justifier, en tant qu’intérêt légitime poursuivi par Meta Platforms Ireland, le traitement de données en cause, en l’absence du consentement de la personne concernée". La seconde décision a été prise par la Datatilsynet, l'autorité néerlandaise de protection des données. Le 17 juillet 2023, elle a interdit à Meta d'effectuer de la publicité ciblée à partir du 4 août jusqu'au 3 novembre, date à laquelle elle espérait qu'il aurait changé ses pratiques. L'entreprise américaine a déposé un recours devant le tribunal d'Oslo qui l'a débouté le 6 septembre.
Les choses se sont accélérées lorsque la Datatilsynet a demandé au Comité européen à la protection des données de prendre une décision contraignante pour interdire de manière permanente et dans tout l'EEE la publicité ciblée par Meta sur Facebook et Instagram. "Meta poursuit ses activités illégales et ne s'est pas encore conformé à notre décision", écrit-elle dans son communiqué publié le 17 octobre. L'appel a donc été entendu.
La publicité au coeur du business model de Meta
La décision de l'EDPB est importante pour Meta car le coeur de son modèle économique repose sur la publicité. Ainsi, au deuxième trimestre 2023, ses revenus publicitaires s'élevaient à 32 milliards de dollars (+ 11% par rapport au deuxième trimestre de l'année dernière), ce qui représente la quasi-totalité des revenus de la société.
Mais l'entreprise a plus d'un tour dans son sac : elle a annoncé le 30 octobre, soit un jour avant la décision de l'EDPB, le lancement en novembre 2023, dans l'EEE, des abonnements payants à Facebook et Instagram sans publicité. Un coup savamment préparé : "les membres de l'EDPB étaient au courant de ce projet depuis des semaines et nous étions déjà pleinement engagés à leurs côtés pour parvenir à un résultat satisfaisant pour toutes les parties", a déclaré un porte-parole de Meta. Ce dernier a jugé que la décision du Comité ignorait "de manière injustifiable ce processus réglementaire prudent et robuste".
Le feuilleton est loin d'être terminé. En effet, l'EDPB dit "prendre note" de la décision de Meta de s'appuyer désormais sur le consentement de l'utilisateur. "La DPC irlandaise évolue actuellement cette question en collaboration avec les autorités de surveillance concernées", indique-t-il. Meta devrait respecter un certain nombre de règles pour cette fois-ci espérer être dans les clous : le consentement doit être "libre, spécifique, éclairé et univoque" et se manifester "par une déclaration ou par un acte positif clair" (article 4 du RGPD).
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
