La CNIL en irlande a jugé illégales les conditions d’utilisation des services Facebook et Instagram, qui recourent à la publicité ciblée.
La maison mère de Facebook et Instagram a failli a ses obligations en matière de transparence » et se fonde sur une base juridique erronée « pour son traitement des données à caractère personnel à des fins de publicité » ciblée, a annoncé mercredi 4 janvier la DPC, l’autorité irlandaise de protection des données. Cette dernière, qui supervise pour l’Europe l’entreprise dont le siège régional est installé à Dublin, a donc infligé au groupe fondé par Mark Zuckerberg une amende de 390 millions d’euros (210 millions pour Facebook et 180 millions pour Instagram). Une autre sanction, concernant sa messagerie WhatsApp, est attendue dans quelques jours.
Au delà du montant des amen des – celuici s’élève à 1 milliard d’euros si l’on y ajoute deux autres décisions récentes de la « CNIL ir landaise» –, c’est le fond de l’affaire qui importe. Il touche la publicité ciblée, qui adapte les annonces en fonction du profil et de l’activité en ligne des utilisateurs. C’est le cœur de l’activité du leader mondial des réseaux sociaux.
« La sanction est un sérieux coup porté au modèle économique de Meta en Europe. Ses platesformes vont devoir demander le consentement de leurs membres pour leur servir de la publicité personnalisée, avec une option proposant de répondre oui ou non », s’est félicitée l’association de défense des libertés en ligne qui a déposé les plain tes à l’origine de ces décisions.
« Cela ajoute de la difficulté à un environnement déjà compliqué pour la publicité numérique » pour Mark Zuckerberg, le fondateur de Facebook et Meta. En effet, Meta a déjà beaucoup souffert des mesures prises en 2021 par Apple pour limiter le traçage publicitaire : sur ses iPhone, les applications comme Facebook ou Instagram ont été forcées de demander le consentement des utilisateurs pour suivre leur activité sur d’autres services. Or, 70 % refuseraient, ce qui a li mité la capacité de Meta de cibler ses publicités en fonction des usages, donc des centres d’intérêt, des internautes.
Meta en « désaccord profond »
En février 2022, l’entreprise avait estimé à 10 milliards de dollars (9,42 milliards d’euros) le manque à gagner pour 2022. Depuis, Meta dit avoir développé des méthodes de ciblage alternatives nécessitant moins de données, mais ce point a contribué à assombrir sa situation économique : l’entreprise a, en juillet puis en octobre, publié les deux premiers reculs de chiffre d’affaires de son histoire, puis annoncé le licenciement de 11 000 personnes. Selon M. Ives, la décision de la CNIL irlandaise est « un gros coup dans l’estomac, avec 5 % à 7 % de ses recettes publicitaires menacées ».
Face à cette sanction, Meta a réagi avec véhémence. Un signe de la combativité du géant du numérique, mais aussi de l’importance de l’enjeu. Meta est en « désaccord profond » avec les décisions, se dit « déçu » des sanctions et va faire appel, «à la fois du fond et des amendes », écrit la société californienne dans un communiqué.
« Les décisions n’imposent pas le recueil du consentement, argumente le géant du numérique. L’idée que Meta ne peut plus proposer de publicités personnalisées en Europe s’il n’obtient pas l’assentiment de chaque utilisateur est fausse. » L’entreprise assure que le recours à une « variété d’autres bases légales est possible ». Meta souligne à dessein que ce débat « dure depuis plusieurs années » et que « les régulateurs ne sont pas d’accord entre eux ».
Cette affaire a en effet donné lieu à une rude bataille juridique. Les plaintes initiales ont été dé posées en mai 2018, au moment de l’entrée en vigueur du règlement européen de protection des données (RGPD). L’association NOYB contestait la nouvelle méthode utilisée par Facebook et Instagram : présenter aux internautes des conditions d’utilisation révisées et considérer que l’acceptation de ce long contrat, nécessaire pour accéder au service, vaut accord pour recevoir des publicités ciblées. L’entreprise, qui jugeait ces dernières « essentielles » pour son service, était accusée de « forcer » le con sentement des utilisateurs.
Issue incertaine
L’autorité irlandaise, réputée peu hostile aux géants du numérique américains dont les sièges européens lui apportent des emplois et des rentrées fiscales, a en octobre 2021 a validé cette base juridique et proposé d’infliger à Meta de 26 à 36 millions d’euros d’amende pour défaut de transparence. Mais, en décembre 2022, le comité européen réunissant les 27 CNIL des pays européens a, lui, au contraire, jugé cette approche contraire au RGPD. Son arbitrage avait été réclamé par plusieurs autorités nationales, dont celle de la France, jugeant la sanction initiale insuffisante.
Le différend doit désormais être examiné par la Cour de justice de l’Union européenne. La procédure prendra du temps et son issue est incertaine. Mais l’instance n’avait pas hésité à prôner une lecture stricte du RGPD en 2020, quand elle avait jugé illégaux les transferts de données personnel les vers les Etats-Unis. Cette décision a ouvert une période d’incertitude juridique et généré une autre série de plaintes contre les services de géants du numérique… dont ceux de Meta.
