Meta et le non-respect du RGPD : les nouvelles sanctions possibles

Un article de la Grande Bibliothèque du Droit, le droit partagé.
France > Droit privé >  Droit du numérique  > Métavers

Haas avocats, cabinet parisien [1]
Janvier 2023



Le bilan 2022 se montre très lourd de sanctions pour le groupe Meta qui a dû faire face à de nombreuses condamnations pour sa politique de gestion des données personnelles de ses utilisateurs.

La gestion de la confidentialité des données et du recueil du consentement des utilisateurs sont les principaux motifs fondant les dernières sanctions infligées au groupe.

L’année 2022 débutait par une sanction de la CNIL [2] à hauteur de 60 millions d’euros prononcée à l’encontre de la société FACEBOOK IRELAND LIMITED, en raison de la difficulté pour les utilisateurs français de refuser les cookies dans des conditions équivalentes [3] à celles permettant de les accepter.

D’autres amendes [4] ont également été prononcées concernant le réseau social Instagram.

Début décembre 2021, le Comité européen à la protection des données (CEPD) a rendu trois décisions en application de l’article 65 du RGPD [5][1].

Au travers de ces trois décisions [6]', les trois plateformes du groupe Meta (Facebook, Instagram, Whatsapp) se sont retrouvées, une nouvelle fois, dans le viseur des autorités de contrôle.

Le mot de la fin est attendu pour janvier, formalisé par une décision de la CNIL irlandaise en tant qu’autorité de contrôle du groupe Meta ayant son siège européen en Irlande.

Quels sont les motifs de sanctions à attendre ? Quelles conséquences pour le groupe META ?

Qu’est ce que le CEPD reproche à META ?

L’objectif du RGPD est clair : garantir aux utilisateurs une conformité des plateformes concernant la collecte, le traitement et l’utilisation de leurs données personnelles.

Les décisions rendues par le CEPD

Les projets de décisions portent sur les motifs suivants :

  • Concernant Facebook et Instagram, la licéité et la transparence des traitements à des fins de publicité comportementale ;
  • Concernant WhatsApp, la licéité du traitement aux fins d’amélioration des services.

Le nœud de ces décisions à venir a trait à la question de la base légale sur laquelle repose le traitement de données opéré par ces plateformes, en application de l’article 6 du RGPD.

Concernant Facebook et Instagram plus précisément, le traitement est fondé sur :

« l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d'une personne physique, afin notamment de prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit […] qui permet, sur la base du traitement d'informations reliées au comportement d'un internaute sur le net (sites visités, produits consultés ou achetés) et d'une analyse dans la durée de ce comportement ».

Ce procédé est très répandu dans le domaine de la fourniture de services en ligne présentant la spécificité d’être gratuits pour le consommateur et proposant des services payants pour les entreprises utilisatrices.

META enfreint le RGPD

En la matière, le CEPD considère que l’exécution d’un contrat auquel la personne concernée est partie ou l’exécution de mesures précontractuelles, en application de l’article 6 b) du RGPD [7] ne peut servir de base légale à la publicité comportementale [ :

« car cette publicité finance directement la fourniture du service. […] Or un tel traitement ne peut avoir lieu sur le fondement de la nécessité contractuelle ».

Les lignes directrices du CEPD [8] témoignent à ce jour d’un positionnement clair : le refus que le traitement de données à des fins de ciblage publicitaire soit fondé sur l’exécution contractuelle.

Ces trois décisions sont donc très attendues car elles pourraient bouleverser les modèles économiques mis en œuvre à la fois par le groupe Meta, mais également suivi pas un très large panel de plateformes.

Quelles sont les conséquences des sanctions sur META et les autres plateformes intéressées ?

La publicité représente une source considérable de revenus pour les plateformes qui ont, pour la plupart, basé leur modèle économique sur cette activité [9].

La baisse de la collecte des données impacte la rentabilité économique de Meta

Dans ce cadre, la publicité comportementale vise à permettre un ciblage précis du public cible et partant, d’accentuer la rentabilité des dépenses publicitaires (et pour META, de devenir la régie incontournable en la matière) pour attraire toujours plus d’annonceurs et d’utilisateurs satisfaits par la pertinence du service proposé.

Néanmoins, pour que cette publicité soit efficace, elle nécessite une collecte massive des données personnelles de ses utilisateurs.

Or, META fait face à diverses procédures au travers desquelles il lui est reproché de forcer le consentement des utilisateurs à la collecte et la réutilisation massive de leurs données personnelles, parfois de manière combinée entre ses différentes plateformes (FACEBOOK, INSTAGRAM, WHATSAPP).

Ainsi, toute diminution de leur capacité à collecter et utiliser gratuitement les données personnelles de leurs utilisateurs est de nature à impacter directement sa rentabilité économique, au-delà même du montant des sanctions prononcées.

Meta confronté à la baisse du nombre d'utilisateurs

De plus, on constate une tendance des utilisateurs à se diriger vers des plateformes plus respectueuses de leurs données personnelles. En effet, la prise en compte de leur vie privée tend à devenir un paramètre d’une offre [10] (au même rang que le prix ou la qualité du service).

Dès lors, META devra faire face à une double difficulté :

  • Maintenir son modèle économique, le cas échéant, en le faisant évoluer ;
  • Positionner un service qui remplisse les normes établies par le RGPD.


Cet enjeu sera d’autant plus renforcé par la réglementation européenne à intervenir qui viendra directement limiter certaines de ses pratiques :

  • Le Digital Market Act (DMA) qui pose certaines interdictions à l’encontre des plateformes considérées comme « contrôleurs d’accès », notamment en lien avec des pratiques dites d’auto-préférence et d’utilisation/combinaison des données collectées au travers de la plateforme [11];
  • Le Digital Services Act (DSA) – applicable à toute plateforme quelle que soit sa taille, qui interdit le ciblage publicitaire sans le consentement exprès des utilisateurs, ainsi que des obligations de transparence par rapport aux mesures mises en œuvre pour garantir les contenus proposés [12].


Ces deux règlements interviendront respectivement le 2 mai 2023 et le 1er janvier 2024.

Une parallélisation des règlementations en matière de données personnelles et de droit de la concurrence se dessine progressivement.

Les conséquences de l'entrée en vigueur du DMA et DSA sur Meta

Ainsi, une plateforme collectant des données personnelles sans respect des règles posées par le RGPD pourrait bénéficier d’un avantage concurrentiel à l’égard de ses concurrents qui, dans certaines circonstances, pourraient caractériser des abus concurrentiels.

En attestent les récentes conclusions de l’avocat général dans une affaire pendante devant la Cour de Justice de l’Union Européenne (CJUE) concernant META qui indiquent :

  • Qu’une autorité de concurrence ne peut se prononcer, à titre principal, sur la violation des règles du RGPD et ordonner la cessation de l’infraction ;
  • Qu’une autorité de concurrence peut tenir compte de la compatibilité d’une pratique commerciale avec le RGPD ;
  • Que les politiques de confidentialité des entreprises ne peuvent, par leur seule nature, échapper à un examen au regard des règles de concurrence [13].


La conformité en matière de protection des données, en lien avec leur position sur le marché, représente ainsi un enjeu crucial pour tous les acteurs aussi bien opérateurs de plateformes que tout détenteur de solution numérique.

Celles-ci doivent déployer une véritable gouvernance des données afin de monitorer leur activité sur leurs données et s’assurer de leur conformité aux divers corpus de règles applicables.

Référence

  1. « En vue d'assurer l'application correcte et cohérente du présent règlement dans les cas d'espèce, le comité adopte une décision contraignante dans les cas suivants: a) lorsque, dans le cas visé à l'article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l'égard d'un projet de décision de l'autorité de contrôle chef de file ou que l'autorité de contrôle chef de file a rejeté cette objection au motif qu'elle n'est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l'objet de l'objection pertinente et motivée, notamment celle de savoir s'il y a violation du présent règlement; b) lorsqu'il existe des points de vue divergents quant à l'autorité de contrôle concernée qui est compétente pour l'établissement principal; c) lorsqu'une autorité de contrôle compétente ne demande pas l'avis du comité dans les cas visés à l'article 64, paragraphe 1, ou qu'elle ne suit pas l'avis du comité émis en vertu de l'article 64. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le comité de la question.