Facebook et la publicité ciblée sans consentement
La Data Protection Commission (DPC), l’autorité irlandaise de protection des données, a rendu un projet de décision le 6 octobre 2021. Le projet valide les pratiques de Facebook en matière de publicité ciblée. Cela étant, elle lui impose une amende pour n’avoir pas respecté ses obligations d’information et de transparence. Loin d’être définitive, cette décision devra être examinée par les autres autorités de protection des données européennes. Si l’une d’entre elles émet une objection pertinente et motivée, le Comité européen de la protection des données (CEPD) aura le dernier mot (art. 63 ss RGPD).
À l’origine de cette procédure se trouve None Of Your Business (NOYB), l’association fondée par Max Schrems. Celle-ci soutient que le seul motif justificatif applicable au traitement de la publicité ciblée par Facebook serait le consentement au sens de l’art. 6 par. a RGPD. En pratique, l’utilisateur de Facebook se verrait contraint d’accepter toutes les utilisations de ses données prévues par les conditions de service (Terms of Services) s’il veut accéder au réseau social. Or ce choix binaire ne respecterait pas les conditions relatives au consentement tel que prescrit par l’art. 7 par. 4 RGPD. Cette disposition prévoit que le consentement ne devrait en principe pas être conditionné à un « traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Les lignes directrices du CEPD précisent que si le consentement est présenté comme une partie non négociable de conditions générales, il est présumé ne pas avoir été donné librement (CEPD, Lignes directrices 5/2020, p. 7).
Cela étant, le consentement n’est pas le seul motif justificatif qui permet le traitement de données à caractère personnel. Facebook invoque ainsi l’art. 6 par. 1 let. b RGPD. Cette norme permet au responsable du traitement d’utiliser des données à caractère personnel « si le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ». Le réseau social peut-il donc se passer du consentement des utilisateurs pour justifier l’utilisation de leurs données pour la publicité ciblée par la relation contractuelle qui découle de l’acceptation des conditions de service ?
Dans son raisonnement, l’autorité irlandaise commence par réaffirmer le principe d’égalité entre les motifs justifiant le traitement de données (art. 6 RGPD). Elle analyse ensuite la condition de nécessité du traitement des données dans le cadre d’un contrat entre un réseau social et ses utilisateurs. Pour sa part, NOYB se fonde sur l’opinion du Groupe de travail « Article 29 » (G29). Selon le G29, la clause de nécessité contractuelle « ne couvre pas les situations dans lesquelles le traitement n’est pas véritablement nécessaire à l’exécution d’un contrat, mais plutôt imposé unilatéralement à la personne concernée par le responsable du traitement » (G29, Avis 06/2014, p.18). L’autorité se refuse d’abord de déterminer si le traitement des données par le réseau social correspond au noyau dur du contrat. Cette analyse relèverait selon elle du droit contractuel de chaque État.
La DPC constate par la suite que l’entreprise engrange une grande partie de son revenu par la publicité (ciblée) et qu’ainsi son modèle d’affaires se résume à un advertising model. Elle en conclut que la publicité ciblée est une des fonctions principales du contrat entre Facebook et l’utilisateur. Cette conviction de l’autorité est renforcée par la gratuité du service pour tous. Partant, le réseau social de Marc Zuckerberg n’a pas besoin du consentement pour justifier la publicité ciblée vu que cette publicité est nécessaire à l’exécution du contrat au sens de l’art. 6 par. 1 let. b RGPD.
L’autorité irlandaise se penche ensuite sur la question de l’information à disposition de l’utilisateur lorsque celui-ci accepte les conditions de service d’utilisation. Elle aborde en particulier les conditions au respect du principe de la transparence (art. 12 par. 1 RGPD). L’art. 13 RGPD précise quelles informations doivent être mises à disposition du sujet. La personne concernée doit ainsi avoir accès à une information « transparente, compréhensible et aisément accessible » sur le traitement de ses données. L’utilisateur doit pouvoir déterminer quels sont le but et les conséquences du traitement de données (cf. considérant 39 RGPD).
Afin de vérifier si ces obligations sont respectées, la DPC examine les conditions de service de Facebook. Elle considère que le document truffé d’hyperliens rend l’information peu compréhensible. Par ailleurs, les documents disponibles se contentent de préciser quels sont les objectifs de Facebook lors du traitement des données. Ces documents ne précisent néanmoins pas les différents types de traitement des données en lien avec le motif justifiant le traitement au sens de l’art. 6 RGPD. Pour ces raisons, l’autorité ordonne au réseau social de réviser ses conditions de service (Terms of Service) ainsi que sa politique d’utilisation des données (Data Policy) dans un délai de trois mois et impose en sus une amende administrative calculée selon la nature de l’infraction, sa durée et sa gravité ainsi que le nombre d’utilisateurs touchés et le dommage éprouvé. Elle propose une amende entre 28 et 36 millions d’euros (cf. art. 58 par. 2 let. d RGPD et art. 83 RGPD) pour les violations constatées des art. 5 par. 1 let. a RGPD, 12 par. 1 RGPD et 13 par. 1 let. c RGPD.
À notre avis et en appliquant l’art. 6 par. 1 let. b RGPD, la DPC s’éloigne malheureusement de la position du CEPD. En effet, le Comité considère que le traitement de données à caractère personnel pour de la publicité ciblée n’est en règle générale pas nécessaire à l’exécution d’un contrat de services en ligne. Selon le Comité, il serait difficile de faire valoir que le contrat n’a pas été exécuté uniquement parce que la publicité ciblée n’a pas pu être opérée par l’entreprise (CEPD, Lignes directrices 2/2019, p. 14–15). Selon la vision de l’autorité irlandaise, invoquer la publicité comme modèle d’affaires suffirait pour justifier le traitement de données au sens de l’art. 6 par. 1 let. b RGPD.
Quelle serait la situation si ce cas se présentait en Suisse à l’aune de notre nouveau droit ? La violation par Facebook du principe de transparence (art. 6 al. 3 nLPD) aurait pour conséquence que le traitement des données constituerait une atteinte (présumée illicite) à la personnalité (art. 30 al. 1 nLPD). Facebook devrait ainsi invoquer un motif justificatif afin de renverser cette présomption d’illicéité (art. 31 al. 1 nLPD). De la même manière qu’en droit européen, le réseau social pourrait invoquer, comme motif justificatif, que la publicité ciblée est « en relation directe avec (…) l’exécution d’un contrat » (art. 31 al. 2 let. a nLPD). Il n’aurait ainsi pas non plus besoin de se prévaloir du consentement de ses utilisateurs.
Loin d’être un sujet qui occupe uniquement les autorités européennes, les plateformes telles que Facebook seront peut-être prochainement réglementées en Suisse. En effet, le 17 novembre 2021, le Conseil fédéral a mandaté le Département fédéral de l’environnement, des transports, de l’énergie et de la communication pour produire une note sur la nécessité d’une règlementation des plateformes numériques dans l’optique aussi « de lutter contre les pratiques commerciales non transparentes » (OFCOM, Communiqué de presse du 17 novembre 2021). Affaire à suivre.
Proposition de citation : Mallorie Ashton-Lomax / Célian Hirsch, Facebook et la publicité ciblée sans consentement, 22 décembre 2021 in www.swissprivacy.law/110
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.