- L’autorité de contrôle irlandaise a constaté que Facebook ne pouvait pas invoquer l’article 6, paragraphe 1, point b) du RGPD pour la publicité personnalisée et qu’il n’existait donc pas de base juridique.
- Facebook manque de transparence : des informations insuffisantes et non liées sur les catégories de données, les finalités et les bases juridiques ont conduit à une amende de 210 millions d’euros.
L’autorité irlandaise de contrôle de la protection des données, la Commission, a publié le 31 décembre 2022 son rapport de 188 pages sur la protection des données. Décision concernant Facebook ainsi que leur 196 pages Décision concernant Instagram (voir les Communiqué de presse de la Commission). Facebook et Meta y sont condamnés à des amendes de 210 millions d’euros (affaire Facebook) et de 180 millions d’euros (Instagram). Le 12 janvier 2023, le jugement de 112 pages a été rendu. Décision concernant WhatsApp Les décisions ne sont pas encore définitives à notre connaissance.
Dans tous les cas, il s’agissait avant tout de Base juridique des activités de prospection commerciale à caractère personnel et pour obtenir des informations sur la base juridique applicable. Le contenu des décisions ou les considérations qu’elles contiennent sont similaires, raison pour laquelle les commentaires suivants se limitent à la décision Facebook.
Ils ont été précédés chacun par décision contraignante du Comité européen de la protection des données (CEPD)La décision de la CEPD a été prise sur la base de l’article 65(1)(a) du RGPD, parce que plusieurs autorités européennes s’étaient opposées au projet de décision de l’Irlande du 6 octobre 2021 et que les autorités, y compris l’autorité irlandaise, n’étaient pas parvenues à un accord. La décision de l’autorité irlandaise intègre désormais – par la force des choses – la décision de l’EDSA (qu’elle cite à chaque fois en détail). Le déroulement de la procédure est résumé de manière plus détaillée dans la décision de l’annexe 1.
Le point de départ de la procédure concernant la décision de Facebook était une plainte contre Facebook déposée par une personne représentée par noyb, reçue en Autriche le 25 mai 2018. noyb a contesté la décision de la Commission commenté de manière critique et s’était montré très agressif au cours de la procédure en général :
Peine minimale pour violation réelle des droits de l’utilisateur ? Un élément plutôt choquant concerne l’ampleur des amendes. Alors que le CEPD demandait une amende “nettement plus élevée”, la DPC a décidé des chiffres finaux. Alors que la DPC a infligé une amende totale de 150 millions d’euros à Facebook pour des questions de transparence, la DPC a seulement infligé une amende de 60 millions d’euros à Meta pour son manque de base légale pour le traitement de millions de données d’utilisateurs européens pendant environ cinq ans.
Max Schrems : “Apparemment, le DPC est plus préoccupé par le fait d’agresser les utilisateurs de manière transparente que de ne pas les agresser du tout..“
Facebook a lui aussi Décision commentéemais avec retenue.
Sur le fond, il s’agissait surtout de deux points qui Base juridique pour les activités de traitement de Facebook ou de Meta, et si Facebook est correctement informé de la base juridique applicable informe avait.
Concernant la base juridique
Avec effet au 25 mai 2018 – date d’entrée en vigueur du RGPD dans l’UE – Facebook avait adapté les conditions d’utilisation pour ses utilisateurs européens. Les conditions d’utilisation devaient être acceptées pour continuer à utiliser Facebook, et des consentements étaient en outre demandés pour certains traitements. Dans ce contexte, le litige portait principalement sur la question de savoir si la base juridique de la nécessité contractuelle (article 6, paragraphe 1, point b) du RGPD) était applicable ou si un consentement aurait été nécessaire.
La position de l’autorité
L’autorité irlandaise estime que Facebook n’avait pas invoqué le consentement et n’avait pas à le faire, car le consentement n’est pas une base juridique d’ordre supérieurIl ne s’agit pas d’un traitement de données à caractère personnel, mais d’un traitement sur lequel le responsable du traitement est libre de choisir la base sur laquelle il souhaite fonder son traitement :
[…] il est important de souligner que le GDPR n’établit pas une forme de hiérarchie des bases légales pouvant être utilisées pour le traitement des données personnelles
On ne peut pas non plus affirmer que l’acceptation d’un contrat vaut toujours consentement (aux traitements qui y sont liés), et le fait que les conditions contractuelles fassent référence à une déclaration de protection des données n’a pas non plus eu pour effet de rendre celle-ci partie intégrante du contrat :
A mon avis, l’acceptation en question n’est pas un acte de consentement mais, en ses termes, constitue une acceptation de, ou un accord sur, un contrat, c’est-à-dire les conditions de service.
En l’espèce, il s’agissait donc d’examiner si Facebook pouvait invoquer l’article 6, paragraphe 1, point b), du RGPD (nécessité contractuelle). Dans un premier temps, l’autorité irlandaise n’est pas habilitée à évaluer la validité du contrat:
Lorsque le GDPR fait référence à un contrat, la Commission ne peut pas déterminer plus généralement l’interprétation et la validité d’un tel contrat aux fins de la loi. La Commission n’est pas plus habilitée à le faire par la loi qu’elle ne le serait à déclarer que le traitement fondé sur le respect d’une obligation légale en vertu de l’article 6(1)(c) du GDPR est illégal simplement parce qu’un plaignant ferait valoir que l’obligation légale à laquelle il se réfère est inconstitutionnelle dans son pays.
Dans cette affaire, la question était de savoir si Objet du contrat également des services personnalisés et les traitements qui y sont liés étaient légitimés en conséquence. L’AESD s’est prononcée sur l’article 6, paragraphe 1, point b), du RGPD dans des lignes directrices correspondantes (“Lignes directrices 2/2019 sur le traitement des données à caractère personnel en vertu de l’article 6(1)(b) du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées par les données„).
Ce qui était contesté ici – et sur la base de ces lignes directrices restrictives – c’était ce qui entre en ligne de compte comme prestation contractuelleLe plaignant a fait valoir la liberté d’expression. Facebook a invoqué, entre autres, la liberté contractuelle, tandis que le plaignant a estimé que seul un traitement très limité était nécessaire au contrat.
L’autorité de surveillance a estimé d’une part que tout ce qui figure dans un contrat n’est pas nécessaire au contrat, mais qu’en même temps, il faut s’attendre à une Examen du concrètes Contrat et non une évaluation abstraite de la nécessité :
Conformément aux lignes directrices du CEPD, le traitement en question doit être plus que le simple traitement de données à caractère personnel mentionné dans les termes du contrat. Il doit plutôt être nécessaire à la réalisation des objectifs clairement énoncés et compris, ou “cœur” du contrat. Toutefois, les “fonctions essentielles” ne peuvent pas être considérées isolément du sens de “performance”, du sens de “nécessité” tel que défini ci-dessus, et du contenu du contrat spécifique en question. La question est donc la suivante non pas ce qui est nécessaire pour remplir les objectifs d’ ”un réseau social” au sens général, mais ce qui est nécessaire pour remplir les fonctions essentielles du contrat en question entre Facebook et les utilisateurs de Facebook. Afin d’effectuer cette évaluation, il est donc nécessaire de considérer le contrat en lui-même.
Sur la base de ce contrat concret, il faut ensuite déterminer ce que le Objectif principal (“the core function”). Ici, l’autorité irlandaise reconnaît que la publicité personnalisée est au cœur du contrat et de son fondement commercial, ce qui devait être clair pour les utilisateurs :
En appliquant les principes énoncés ci-dessus aux circonstances particulières de cette affaire, il me semble que le cœur du modèle de Facebook, en particulier dans les circonstances où les utilisateurs ne paient pas pour le service, est un modèle de publicité. Le CEPD a bien entendu précisé que le traitement ne pouvait être considéré comme licite au titre de l’article 6, paragraphe 1, point b), du GDPR “simplement parce que le traitement est nécessaire au modèle d’entreprise du responsable du traitement”. Toutefois, le cœur du service, tel que défini dans le contrat spécifique conclu avec le sujet des données dans ce cas, comprend clairement (et semble être fondé sur) les éléments suivants fourniture de publicités personnalisées. […] […] cette publicité semble donc faire partie de la substance et de l’objet fondamental du contrat. C’est, en fait, l’élément central de la transaction commerciale entre Facebook et les utilisateurs de Facebook.. Il s’ensuit qu’il s’agit d’un élément commercialement essentiel du contrat.
La position divergente de l’EDSA
L’autorité irlandaise avait défendu les arguments ci-dessus dans son projet de décision. Sans surprise, l’EDSA n’était pas du même avis :
- Les autorités de surveillance ont mis en place une pouvoir implicite d’examiner la validité d’un contrat à titre préjudiciel;
- la nécessité d’un traitement pour un contrat est un terme à interpréter de manière autonome du RGPD, qui ne peut pas contourner la protection du RGPD et de la Charte de l’UE ;
- la publicité personnalisée n’est pas nécessaire pour l’accord entre Facebook et les utilisateurs. Cela se voit notamment au fait que l’utilisateur n’obtient pas de droit contractuel à une telle publicité. En outre, cela irait à l’encontre du droit d’opposition au profilage prévu par l’article 21(2) du RGPD ;
- il serait également contraire aux attentes des utilisateurs:
la CEPD trouve qu’il est extrêmement difficile d’affirmer qu’un utilisateur moyen peut pleinement le comprendre, être conscient de ses conséquences et de son impact sur ses droits à la vie privée et à la protection des données, et s’attendre raisonnablement à ce qu’il se fonde uniquement sur les conditions de service de Facebook
- il faut aussi tenir compte de la Pouvoir de marché de Facebook :
le CEPD considère que la position dominante de Facebook joue également un rôle important dans l’évaluation de l’attachement de Meta IE à l’article 6(1)(b) du RGPD pour son service Facebook et ses risques pour les personnes concernées par les données, compte tenu notamment de la manière déficiente dont Meta IE informe les utilisateurs de Facebook des données qu’elle doit strictement traiter pour fournir le service.
- si l’on autorisait ici l’invocation de l’article 6, paragraphe 1, point a) du RGPD, il s’agirait d’une pente glissante:
Ce précédent pourrait encourager d’autres opérateurs économiques à utiliser la base légale de l’article 6, paragraphe 1, point b), du GDPR pour tous leurs traitements de données à caractère personnel.
Au final, Facebook pourrait pour la publicité personnalisée ne se fonde pas sur la base juridique de la nécessité du contrat a été nommé :
le CEPD décide que Meta IE a eu recours de manière inappropriée à l’article 6(1)(b) du RGPD pour traiter les données personnelles du plaignant dans le cadre des conditions de service de Facebook et qu’il n’existe donc pas de base légale pour traiter ces données à des fins de publicité comportementale.
L’autorité irlandaise n’a donc eu d’autre choix que de constater la même chose dans son ordonnance :
Je trouve que Facebook n’avait pas le droit de se fonder sur l’article 6(1)(b) du GDPR pour traiter les données personnelles du plaignant à des fins de publicité comportementale dans le cadre des conditions de service de Facebook.
Pour information, entre autres, sur la base juridique applicable
La question qui se posait ici était notamment de savoir quelle était l’étendue de l’obligation d’information sur ce point et, en particulier, si le responsable devait informer, quelles données, à quelles fins et sur quelle base juridique sont traitées ou si un tel lien n’est pas obligatoire.
L’autorité répond par l’affirmative :
Toutefois, ce que l’article 13 exige clairement, c’est que le purposes et légal bases doit être spécifié dans le cadre du traitement prévu. Les objectifs et les bases juridiques ne peuvent pas être simplement cités dans l’abstrait et détachés du traitement des données personnelles qu’ils concernent.
[…] Premièrement, l’absence de tout niveau de spécificité quant à ce que le contrôleur de données fait avec les données, et plus fondamentalement quant aux données qu’il traite, rendrait les informations sur les finalités de ce traitement non spécifié presque inutiles pour un sujet de données.
[…] il devrait y avoir un un lien clair entre la catégorie/les catégories de données spécifiées, le(s) but(s) de l’opération/des opérations spécifiée(s) et la base juridique sont utilisés pour soutenir la ou les opérations spécifiées.
Facebook informait les utilisateurs, à la date pertinente, par une déclaration générale dans la politique de confidentialité qui des liens vers d’autres informations en plusieurs étapes – au final, d’une manière qui n’était pas compréhensible pour l’utilisateur :
Si l’utilisateur souhaite en savoir plus, il doit consulter les Conditions d’utilisation et également les sections de la Politique de confidentialité auxquelles il est invité à se référer. Une fois que toutes les informations disponibles ont été consultées, il devient évident que les textes fournis sont des variations les uns des autres, en ce sens qu’ils ré-itèrent les buts et objectifs de Facebook dans la mise en œuvre du traitement des données (par exemple, personnalisation, communication, analyse, amélioration des produits, etc.) plutôt que de les développer ou de fournir des informations concernant les opérations de traitement. Cette approche manque de clarté et de concision, et rend difficile l’accès de l’utilisateur à des informations pertinentes en ce qui concerne les opérations de traitement qui seront fondées sur l’article 6(1)(b) du GDPR ou sur d’autres bases légales.
Au final, Facebook n’aurait pas fourni suffisamment d’informations. Le problème était surtout qu’une Le lien était manquant entre les services et les objectifs et les opérations de traitement :
Ce n’est pas que la présence de variations de la même information dans plusieurs documents soit en soi non conforme, mais plutôt qu’elle ne l’est pas lorsque, dans la pratique, elle entraîne des déclarations sur les services et les objectifs qui ne sont pas liés à des opérations de traitement spécifiques et qui ne fournissent pas d’informations pertinentes au sujet des données sur les questions fondamentales identifiées à l’article 13 du GDPR.
[…] Mettre simplement, il impossible d’identifier les opérations de traitement qui seront effectuées afin de réaliser les objectifs qui sont répétées tout au long des documents et la base légale de telles opérations. En l’absence de telles informations, l’utilisateur est left to guess what processing is performed on which datasur les bases légales spécifiées, afin d’atteindre ces objectifs. Pour les raisons exposées ci-dessus concernant l’interprétation correcte de l’article 13(1)(c) du GDPR, ces informations sont insuffisantes.
Le site Répétition d’informations n’est pas inadmissible en soi, mais elle peut comporter des risques :
La manière dont l’information a été répartie sur plusieurs sections et a été présentée dans un texte rédigé de manière similaire (et avec des hyperliens) signifie qu’un utilisateur pourrait facilement passer outre tout nouvel élément disponible dans le texte lié.
Sur le principe d’équité
Dans sa décision contraignante, l’EDSA avait estimé, entre autres et en termes clairs, que Facebook avait également violé le principe d’équité (article 5, paragraphe 1, point a) du RGPD) :
Le CEPD note que, dans ce cas particulier, le breach of Meta IE’s transparency obligations is of such gravity qu’il affecte clairement les attentes raisonnables des utilisateurs de Facebook en les laissant perplexes sur le fait de savoir si cliquer sur le bouton “Accepter” aboutit à donner leur consentement au traitement de leurs données personnelles. Le CEPD note à cet égard que l’un des éléments de la conformité au principe d’équité est d’éviter la tromperie, c’est-à-dire de fournir des informations “de manière objective et neutre, en évitant tout langage ou design trompeur ou manipulateur”.
[…] La combinaison de facteurs, tels que l’asymétrie des informations créées par Meta IE à l’égard des utilisateurs de services Facebook, combinée à la situation de “à prendre ou à laisser” à laquelle ils sont confrontés en raison de l’absence de services alternatifs sur le marché et de l’absence d’options leur permettant d’ajuster ou d’opter pour un traitement particulier dans le cadre du contrat avec Meta IE, désavantage systématiquement les utilisateurs du service Facebook, limite leur contrôle sur le traitement de leurs données personnelles et compromet l’exercice de leurs droits en vertu du chapitre III du GDPR.
L’autorité irlandaise – puisque la décision de l’EDSA est contraignante – ne pouvait que confirmer, on a l’impression, contre cœur.
Décision et montant de l’amende
Correction des défauts et délai
En conséquence, l’autorité a ordonné à Facebook de remédier à ces manquements, avec une Délai de trois moisque Facebook avait qualifié de trop faible. Le fait que Facebook soit une grande entreprise a également joué un rôle déterminant, ce qui n’a pas permis de gagner du temps, mais d’en perdre :
Facebook est un grande organisation multinationale disposant d’importantes ressources financières, technologiques et humaines à sa disposition. En outre, la période intérimaire précédant une telle rectification du manque actuel d’informations fournies aux personnes concernées impliquera une privation grave et continue de leurs droits (comme indiqué à la section 9 ci-dessous). En outre, la Commission a fourni une analyse spécifique à Facebook concernant l’interprétation correcte des dispositions en question et les informations requises qui sont absentes des documents d’utilisateur pertinents. Ce site la spécificité devrait nier tout besoin d’engagement extensif avec la Commission pendant la période de mise en œuvre, et fournit des éclaircissements à Facebook sur l’objectif de ses ressources très importantes qui devraient être dirigées pour se conformer à cet ordre. En tant que tel, je ne suis pas satisfait qu’il serait impossible ou disproportionné de faire un ordre en ces termes, compte tenu de l’importance des droits des personnes concernées, de la spécificité de l’ordre et des ressources de Facebook.
Un autre point était également que Facebook devait s’attendre à un tel résultat sur la base du projet d’injonction.
Bus
Dans son projet de décision, l’autorité avait proposé une amende totale de 28 à 36 millions d’euros. L’autorité a finalement fixé le montant de l’amende à 210 millions d’euros.
L’EDSA a défini les facteurs suivants, le RGPD prévoyant expressément que pas de numerus clausus des facteurs pertinents :
- le site Chiffre d’affaires total de l’ensemble du groupeLe facteur d’évaluation est la limite supérieure de l’amende (cap) et le facteur d’évaluation :
l’EDPB instruit l’IE SA de prendre en compte le chiffre d’affaires total de toutes les entités composant l’entreprise unique, c’est-à-dire le chiffre d’affaires consolidé du groupe de sociétés dirigé par Meta Platforms, Inc.
- le Nombre de personnes concernées;
- ceux avec les blessures le bénéfice réalisé (que l’EDSA n’a pas pu déterminer) ;
- le Taille de l’entreprise en général, car l’amende doit être effectivement dissuasive, non seulement pour Meta, mais aussi pour tous ;
- le effet dissuasif de l’amende, qui doit effectivement réduire la probabilité d’une récidive, et en l’espèce également au regard du fait que la publicité personnalisée est au cœur du modèle commercial de Facebook :
En supportant le coût de la sanction administrative, l’entreprise peut éviter de supporter le coût de l’adaptation de son modèle d’entreprise à celui qui est conforme ainsi que toute perte future qui résulterait de cette adaptation.
- de manière générale, les Gravité de la blessureIl est également important de noter que la licéité du traitement est une exigence de base. En outre :
La CEPD considère que ces descriptions générales signalent par elles-mêmes les la complexité, l’échelle massive et l’intrusivité de la pratique de la publicité comportementale que Meta IE effectue par le biais du service Facebook. Il s’agit de faits pertinents à considérer pour évaluer l’adéquation de l’article 6(1)(b) du RGPD en tant que base légale pour la publicité comportementale et dans quelle mesure les utilisateurs raisonnables peuvent comprendre et s’attendre à une publicité comportementale lorsqu’ils acceptent les conditions de service de Facebook et considèrent que cela est nécessaire pour que Meta IE puisse fournir ses services.
- le Gravité de la faute. L’EDSA indique notamment qu’il y a toujours eu des signes que l’article 6, paragraphe 1, point b), du RGPD n’était pas pertinent et que l’infraction a donc été commise en connaissance de cause, mais qu’il n’a pas été établi qu’elle a également été commise volontairement, mais qu’il fallait certainement partir du principe qu’il y a eu négligence grave ;
- le Gravité des conséquences pour les personnes concernées :
Le traitement de données en question – la publicité comportementale – implique des décisions concernant les informations que les personnes concernées sont exposées ou exclues de la réception. Le CEPD rappelle que les dommages non matériels sont explicitement considérés comme pertinents au titre du paragraphe 75 et que ces dommages peuvent résulter de situations “où les personnes concernées pourraient être privées de leurs droits et libertés ou empêchées d’exercer un contrôle sur leurs données à caractère personnel”. Étant donné la nature et la gravité de la violation de l’article 6, paragraphe 1, du GDPR, un risque de préjudice causé aux personnes concernées est, dans de telles circonstances, consubstantiel à la constatation de la violation elle-même”.
- Dommages à la réputationLes autorités de poursuite pénale ont également pris des mesures pour réduire le montant de l’amende (même si ce n’est pas le cas en l’espèce) :
En principe, le CEPD convient que les coûts de réputation pourraient être pris en compte dans une certaine mesure, si des arguments crédibles sont avancés quant aux graves préjudices qui en résulteraient.
- que le principe d’équité avait également été violé, c’est-à-dire qu’il n’était pas possible d’accorder aux personnes juridiquement plus larges le droit de participer à la procédure. Objet de la violation;
- le cas échéant, un Avantage concurrentiel résultant de la violation:
En principe, le CEPD convient que un avantage concurrentiel pourrait être un facteur aggravant si l’affaire fournit des informations objectives selon lesquelles cela a été obtenu à la suite de la violation du GDPR. Dans le cas présent, le CEPD considère qu’il ne dispose pas d’informations suffisamment précises pour évaluer l’existence d’un avantage concurrentiel résultant de l’infraction.
En revanche, il n’y a pas lieu de prendre en compte (en principe) les éléments suivants mesures d’atténuation de Facebook – le rétablissement de la conformité ne compte pas comme une circonstance atténuante.
Sur cette base – et en s’appuyant sur d’autres facteurs comme la durée de la blessure – la Commission inflige une amende de 210 millions d’euros. La violation était grave, la faute était également grave et le traitement portait sur une large base de données :
Ayant pris en compte les soumissions finales, je reste d’avis que la violation de l’article 6, paragraphe 1, du GDPR se situe dans la fourchette supérieure de l’échelle, en termes de gravité, aux fins de l’évaluation du critère de l’article 83, paragraphe 2, point a).
[…] 6 Comme indiqué ci-dessus, le CEPD a estimé que l’infraction à l’article 6, paragraphe 1, était “gravement fautive”. Dans ces circonstances, j’ai proposé de considérer ce facteur comme un facteur aggravant de poids significatif.
[…] Compte tenu de la nature de la publicité comportementale, il semble indiscutable que le traitement d’un large éventail de données à caractère personnel est nécessaire pour atteindre les objectifs de la publicité comportementale. Dans ces circonstances, j’ai proposé de considérer qu’il s’agissait d’un facteur aggravant d’importance modérée.