Trois questions sur la conformité du modèle "Consent or Pay" pour la publicité en ligne

Le 17 avril dernier, l'European Data Protection Board (EDPB) - un organisme indépendant ayant pour principale mission de veiller à l'application du RGPD dans tous les pays membres de l'UE - a rendu un avis non contraignant sur la conformité du modèle "Pay or Consent". Il fait suite à une demande formulée au titre de l'article 64.2 du Règlement général sur la protection des données (RGPD) par les autorités de protection des données hambourgeoise, néerlandaise et norvégienne. 

L'origine de cette affaire remonte à juillet 2023, mois durant lequel deux décisions ont obligé Meta à changer de base légale pour traiter les données personnelles des utilisateurs de ses réseaux sociaux au sein de l'Union européenne. La Cour de justice de l'Union européenne a rendu un arrêt dans lequel elle a conclu que "la personnalisation de la publicité par laquelle est financé le réseau social en ligne Facebook ne saurait justifier, en tant qu'intérêt légitime poursuivi par Meta Platforms Ireland, le traitement de données en cause, en l'absence du consentement de la personne concernée". 

Le même mois, la Datatilsynet, l'autorité néerlandaise de protection des données, lui a interdit d'effectuer de la publicité ciblée sur une période allant du 4 août 2023 jusqu'au 3 novembre 2023. Les pratiques n'ayant pas été modifiées entre temps, l'autorité a saisi le Comité européen à la protection des données pour qu'il prenne une décision contraignante. Son appel a été entendu : le Comité a sommé la Data Protection Commission (DPC), la Cnil irlandaise, d'interdire "le traitement des données personnelles à des fins de publicité comportementale sur les bases juridique du contrat et de l'intérêt légitime".

Face à cette situation, Meta a changé de base légale en choisissant le consentement et a ainsi lancé son premier abonnement payant afin de bénéficier des services de Facebook et Instagram sans publicité ciblée. Précision importante : l'entreprise américaine peut toujours collecter les données personnelles à d'autres fins, lesquelles sont précisées dans sa politique de confidentialité. 

1 - Que retenir de l'avis de l'EDPB ?

Dans les grandes lignes, l'EDPB considère que, dans la plupart des cas, il ne sera pas possible pour les très grandes plateformes en ligne de recourir au modèle "Pay or Consent" en respectant les conditions de validité du consentement. En vertu du RGPD, le consentement doit respecter plusieurs critères : il doit être libre, spécifique, éclairé et univoque. Il a également estimé que proposer uniquement une alternative payante aux services qui impliquent le traitement de données personnelles à des fins de publicité comportementale ne devrait pas être la voie par défaut pour les responsables du traitement.

L'avis invite donc fortement les grandes plateformes à proposer une alternative supplémentaire qui devrait être gratuite et dépourvue de publicité comportementale, c'est-à-dire la pratique basée sur le suivi des activités de navigation sur Internet via les actions en ligne des internautes. Cette alternative peut passer par de la publicité contextuelle qui ne nécessite pas de disposer d'informations sur la personne consultant la publicité. 

Sur le montant de l'abonnement, l'EDPB a déclaré que les responsables du traitement doivent évaluer, au cas par cas, si un paiement est approprié en tenant compte notamment de leur position sur le marché, de la mesure dans laquelle la personne dépend du service et du public principal du service.

2 - Est-ce que l'opinion de l'EDPB clôt le débat ? 

Pour le dire rapidement, l'opinion de l'EDPB répond à autant de questions qu'il n'en soulève. Il est tout d'abord important de préciser que sa position ne porte pas spécifiquement sur le cas de Meta mais concerne toutes les "Large Online Platforms" (les grandes plateformes en ligne). Pour être qualifiée comme telle, une entreprise doit répondre à plusieurs critères. "Ce sont des plateformes qui attirent un grand nombre d'utilisateurs, qui ont une position particulière sur le marché et traite un grand volume de données", résume Isabelle Roccia, managing director Europe de l'International Association of Privacy Professionals (IAPP), sollicitée par L'Usine Digitale. 

Premier problème : cette notion n'a pas d'existence légale. Elle semble se rapprocher de la notion de "gatekeeper" (contrôleur d'accès) défini dans le Digital Markets Act (DMA). "Pour une entreprise qui pourrait être à la fois dans le scope du DSA/DMA et de ce nouveau concept, cela crée des questions de mise en conformité", ajoute la juriste. Elle se demande également si et comment les règles de l'EDPB s'appliqueront à d'autres acteurs, par exemple les acteurs de la presse en ligne. Sur ce point, la publication de lignes directrices par l'EDPB est prévue dans les prochains mois. 

Isabelle Roccia s'interroge aussi sur l'application concrète de l'opinion par les différentes autorités de protection des données qui doivent trancher le cas de Meta. "Au-delà de la quantification de l'abonnement, se pose la question du mandat des DPA pour définir que tel ou tel prix est justifié ou trop haut ? Faudra-t-il faire appel à une autre autorité ?", se demande-t-elle. De nombreuses questions demeurent qui cristallisent le débat, "à l'image des débats sur les transferts de données vers les Etats-Unis". 

3 - Quelles sont les premières réactions ? 

On peut citer au moins deux réactions, celle de l'IAB Europe et de l'association autrichienne Noyb, dont le président d'honneur Max Schrems est connu pour ses croisades contre Meta. 

L'IAB Europe, association professionnelle européenne qui représente les acteurs de la publicité en ligne, a déclaré que la position de l'EDPB "dénature fortement à la fois le modèle 'Consent or Pay' et la publicité personnalisée" voire même pourrait "à terme, compromettre la capacité des utilisateurs à accéder gratuitement à divers ensembles de services et de contenus en ligne". Elle critique notamment la position de l'EDPB s'agissant de l'introduction d'une troisième alternative gratuite et financée par la publicité contextuelle.

Or, juge-t-elle, "la publicité contextuelle ne constitue pas toujours une alternative de monétisation viable". "Aucune entreprise ne peut être tenue de fournir ses services à perte", note-t-elle dans son analyse. Elle plaide une nouvelle fois pour le lancement d'une consultation publique afin d'élaborer "des orientations politiques solides qui tiennent compte des préoccupations et des intérêts des parties concernées". 

De son côté, Max Schrems s'est félicité du fait que "l'EDPB ait entamé une discussion plus nuancée sur le 'Pay or Okay' et et ait au moins clarifié que les grandes plateformes ne peuvent pas [l']utiliser". Cependant, il a dit se montrer prudent sur le fait que l'avis ne porte que sur une partie de la publicité en ligne, celle des grandes plateformes. "Nous sommes convaincus que 'Pay or Okay' sera déclaré illégal dans tous les domaines", a-t-il néanmoins conclu.