La Data Protection Commission (DPC), l’autorité irlan­daise de protec­tion des données, a rendu un projet de déci­sion le 6 octobre 2021. Le projet valide les pratiques de Facebook en matière de publi­cité ciblée. Cela étant, elle lui impose une amende pour n’avoir pas respecté ses obli­ga­tions d’information et de trans­pa­rence. Loin d’être défi­ni­tive, cette déci­sion devra être exami­née par les autres auto­ri­tés de protec­tion des données euro­péennes. Si l’une d’entre elles émet une objec­tion perti­nente et moti­vée, le Comité euro­péen de la protec­tion des données (CEPD) aura le dernier mot (art. 63 ss RGPD).

À l’origine de cette procé­dure se trouve None Of Your Business (NOYB), l’association fondée par Max Schrems. Celle-ci soutient que le seul motif justi­fi­ca­tif appli­cable au trai­te­ment de la publi­cité ciblée par Facebook serait le consen­te­ment au sens de l’art. 6 par. a RGPD. En pratique, l’utilisateur de Facebook se verrait contraint d’accepter toutes les utili­sa­tions de ses données prévues par les condi­tions de service (Terms of Services) s’il veut accé­der au réseau social. Or ce choix binaire ne respec­te­rait pas les condi­tions rela­tives au consen­te­ment tel que pres­crit par l’art. 7 par. 4 RGPD. Cette dispo­si­tion prévoit que le consen­te­ment ne devrait en prin­cipe pas être condi­tionné à un « trai­te­ment de données à carac­tère person­nel qui n’est pas néces­saire à l’exécution dudit contrat ». Les lignes direc­trices du CEPD précisent que si le consen­te­ment est présenté comme une partie non négo­ciable de condi­tions géné­rales, il est présumé ne pas avoir été donné libre­ment (CEPD, Lignes direc­trices 5/​2020, p. 7).

Cela étant, le consen­te­ment n’est pas le seul motif justi­fi­ca­tif qui permet le trai­te­ment de données à carac­tère person­nel. Facebook invoque ainsi l’art. 6 par. 1 let. b RGPD. Cette norme permet au respon­sable du trai­te­ment d’utiliser des données à carac­tère person­nel « si le trai­te­ment est néces­saire à l’exé­cu­tion d’un contrat auquel la personne concer­née est partie ». Le réseau social peut-il donc se passer du consen­te­ment des utili­sa­teurs pour justi­fier l’utilisation de leurs données pour la publi­cité ciblée par la rela­tion contrac­tuelle qui découle de l’acceptation des condi­tions de service ?

Dans son raison­ne­ment, l’autorité irlan­daise commence par réaf­fir­mer le prin­cipe d’égalité entre les motifs justi­fiant le trai­te­ment de données (art. 6 RGPD). Elle analyse ensuite la condi­tion de néces­sité du trai­te­ment des données dans le cadre d’un contrat entre un réseau social et ses utili­sa­teurs. Pour sa part, NOYB se fonde sur l’opinion du Groupe de travail « Article 29 » (G29). Selon le G29, la clause de néces­sité contrac­tuelle « ne couvre pas les situa­tions dans lesquelles le trai­te­ment n’est pas véri­ta­ble­ment néces­saire à l’exécution d’un contrat, mais plutôt imposé unila­té­ra­le­ment à la personne concer­née par le respon­sable du trai­te­ment » (G29, Avis 06/​2014, p.18). L’autorité se refuse d’abord de déter­mi­ner si le trai­te­ment des données par le réseau social corres­pond au noyau dur du contrat. Cette analyse relè­ve­rait selon elle du droit contrac­tuel de chaque État.

La DPC constate par la suite que l’entreprise engrange une grande partie de son revenu par la publi­cité (ciblée) et qu’ainsi son modèle d’affaires se résume à un adver­ti­sing model. Elle en conclut que la publi­cité ciblée est une des fonc­tions prin­ci­pales du contrat entre Facebook et l’utilisateur. Cette convic­tion de l’autorité est renfor­cée par la gratuité du service pour tous. Partant, le réseau social de Marc Zuckerberg n’a pas besoin du consen­te­ment pour justi­fier la publi­cité ciblée vu que cette publi­cité est néces­saire à l’exécution du contrat au sens de l’art. 6 par. 1 let. b RGPD.

L’autorité irlan­daise se penche ensuite sur la ques­tion de l’information à dispo­si­tion de l’utilisateur lorsque celui-ci accepte les condi­tions de service d’utilisation. Elle aborde en parti­cu­lier les condi­tions au respect du prin­cipe de la trans­pa­rence (art. 12 par. 1 RGPD). L’art. 13 RGPD précise quelles infor­ma­tions doivent être mises à dispo­si­tion du sujet. La personne concer­née doit ainsi avoir accès à une infor­ma­tion « trans­pa­rente, compré­hen­sible et aisé­ment acces­sible » sur le trai­te­ment de ses données. L’utilisateur doit pouvoir déter­mi­ner quels sont le but et les consé­quences du trai­te­ment de données (cf. consi­dé­rant 39 RGPD).

Afin de véri­fier si ces obli­ga­tions sont respec­tées, la DPC examine les condi­tions de service de Facebook. Elle consi­dère que le docu­ment truffé d’hyperliens rend l’information peu compré­hen­sible. Par ailleurs, les docu­ments dispo­nibles se contentent de préci­ser quels sont les objec­tifs de Facebook lors du trai­te­ment des données. Ces docu­ments ne précisent néan­moins pas les diffé­rents types de trai­te­ment des données en lien avec le motif justi­fiant le trai­te­ment au sens de l’art. 6 RGPD. Pour ces raisons, l’autorité ordonne au réseau social de révi­ser ses condi­tions de service (Terms of Service) ainsi que sa poli­tique d’utilisation des données (Data Policy) dans un délai de trois mois et impose en sus une amende admi­nis­tra­tive calcu­lée selon la nature de l’in­frac­tion, sa durée et sa gravité ainsi que le nombre d’utilisateurs touchés et le dommage éprouvé. Elle propose une amende entre 28 et 36 millions d’euros (cf. art. 58 par. 2 let. d RGPD et art. 83 RGPD) pour les viola­tions consta­tées des art. 5 par. 1 let. a RGPD, 12 par. 1 RGPD et 13 par. 1 let. c RGPD.

À notre avis et en appli­quant l’art. 6 par. 1 let. b RGPD, la DPC s’éloigne malheu­reu­se­ment de la posi­tion du CEPD. En effet, le Comité consi­dère que le trai­te­ment de données à carac­tère person­nel pour de la publi­cité ciblée n’est en règle géné­rale pas néces­saire à l’exécution d’un contrat de services en ligne. Selon le Comité, il serait diffi­cile de faire valoir que le contrat n’a pas été exécuté unique­ment parce que la publi­cité ciblée n’a pas pu être opérée par l’entreprise (CEPD, Lignes direc­trices 2/​2019, p. 14–15). Selon la vision de l’autorité irlan­daise, invo­quer la publi­cité comme modèle d’affaires suffi­rait pour justi­fier le trai­te­ment de données au sens de l’art. 6 par. 1 let. b RGPD.

Quelle serait la situa­tion si ce cas se présen­tait en Suisse à l’aune de notre nouveau droit ? La viola­tion par Facebook du prin­cipe de trans­pa­rence (art. 6 al. 3 nLPD) aurait pour consé­quence que le trai­te­ment des données consti­tue­rait une atteinte (présu­mée illi­cite) à la person­na­lité (art. 30 al. 1 nLPD). Facebook devrait ainsi invo­quer un motif justi­fi­ca­tif afin de renver­ser cette présomp­tion d’illicéité (art. 31 al. 1 nLPD). De la même manière qu’en droit euro­péen, le réseau social pour­rait invo­quer, comme motif justi­fi­ca­tif, que la publi­cité ciblée est « en rela­tion directe avec (…) l’exécution d’un contrat » (art. 31 al. 2 let. a nLPD). Il n’aurait ainsi pas non plus besoin de se préva­loir du consen­te­ment de ses utilisateurs.

Loin d’être un sujet qui occupe unique­ment les auto­ri­tés euro­péennes, les plate­formes telles que Facebook seront peut-être prochai­ne­ment régle­men­tées en Suisse. En effet, le 17 novembre 2021, le Conseil fédé­ral a mandaté le Département fédé­ral de l’environnement, des trans­ports, de l’énergie et de la commu­ni­ca­tion pour produire une note sur la néces­sité d’une règle­men­ta­tion des plate­formes numé­riques dans l’optique aussi « de lutter contre les pratiques commer­ciales non trans­pa­rentes » (OFCOM, Communiqué de presse du 17 novembre 2021). Affaire à suivre.