swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Facebook et la publicité ciblée sans consentement

Mallorie Ashton-Lomax et Célian Hirsch, le 22 décembre 2021
Dans un projet de déci­sion, l’autorité de protec­tion des données irlan­daise analyse les pratiques de Facebook en matière de publi­cité ciblée. Elle consi­dère que le réseau social peut recou­rir à la clause de néces­sité prévue par l’art. 6 par. 1 let. b RGPD. Elle n’a donc pas besoin d’obtenir le consen­te­ment de ses utili­sa­teurs. Cela étant, l’au­to­rité consi­dère que Facebook a violé ses devoirs d’information et de trans­pa­rence et propose de lui infli­ger une amende de plusieurs dizaines de millions d’euros.

La Data Protection Commission (DPC), l’autorité irlan­daise de protec­tion des données, a rendu un projet de déci­sion le 6 octobre 2021. Le projet valide les pratiques de Facebook en matière de publi­cité ciblée. Cela étant, elle lui impose une amende pour n’avoir pas respecté ses obli­ga­tions d’information et de trans­pa­rence. Loin d’être défi­ni­tive, cette déci­sion devra être exami­née par les autres auto­ri­tés de protec­tion des données euro­péennes. Si l’une d’entre elles émet une objec­tion perti­nente et moti­vée, le Comité euro­péen de la protec­tion des données (CEPD) aura le dernier mot (art. 63 ss RGPD).

À l’origine de cette procé­dure se trouve None Of Your Business (NOYB), l’association fondée par Max Schrems. Celle-ci soutient que le seul motif justi­fi­ca­tif appli­cable au trai­te­ment de la publi­cité ciblée par Facebook serait le consen­te­ment au sens de l’art. 6 par. a RGPD. En pratique, l’utilisateur de Facebook se verrait contraint d’accepter toutes les utili­sa­tions de ses données prévues par les condi­tions de service (Terms of Services) s’il veut accé­der au réseau social. Or ce choix binaire ne respec­te­rait pas les condi­tions rela­tives au consen­te­ment tel que pres­crit par l’art. 7 par. 4 RGPD. Cette dispo­si­tion prévoit que le consen­te­ment ne devrait en prin­cipe pas être condi­tionné à un « trai­te­ment de données à carac­tère person­nel qui n’est pas néces­saire à l’exécution dudit contrat ». Les lignes direc­trices du CEPD précisent que si le consen­te­ment est présenté comme une partie non négo­ciable de condi­tions géné­rales, il est présumé ne pas avoir été donné libre­ment (CEPD, Lignes direc­trices 5/​2020, p. 7).

Cela étant, le consen­te­ment n’est pas le seul motif justi­fi­ca­tif qui permet le trai­te­ment de données à carac­tère person­nel. Facebook invoque ainsi l’art. 6 par. 1 let. b RGPD. Cette norme permet au respon­sable du trai­te­ment d’utiliser des données à carac­tère person­nel « si le trai­te­ment est néces­saire à l’exé­cu­tion d’un contrat auquel la personne concer­née est partie ». Le réseau social peut-il donc se passer du consen­te­ment des utili­sa­teurs pour justi­fier l’utilisation de leurs données pour la publi­cité ciblée par la rela­tion contrac­tuelle qui découle de l’acceptation des condi­tions de service ?

Dans son raison­ne­ment, l’autorité irlan­daise commence par réaf­fir­mer le prin­cipe d’égalité entre les motifs justi­fiant le trai­te­ment de données (art. 6 RGPD). Elle analyse ensuite la condi­tion de néces­sité du trai­te­ment des données dans le cadre d’un contrat entre un réseau social et ses utili­sa­teurs. Pour sa part, NOYB se fonde sur l’opinion du Groupe de travail « Article 29 » (G29). Selon le G29, la clause de néces­sité contrac­tuelle « ne couvre pas les situa­tions dans lesquelles le trai­te­ment n’est pas véri­ta­ble­ment néces­saire à l’exécution d’un contrat, mais plutôt imposé unila­té­ra­le­ment à la personne concer­née par le respon­sable du trai­te­ment » (G29, Avis 06/​2014, p.18). L’autorité se refuse d’abord de déter­mi­ner si le trai­te­ment des données par le réseau social corres­pond au noyau dur du contrat. Cette analyse relè­ve­rait selon elle du droit contrac­tuel de chaque État.

La DPC constate par la suite que l’entreprise engrange une grande partie de son revenu par la publi­cité (ciblée) et qu’ainsi son modèle d’affaires se résume à un adver­ti­sing model. Elle en conclut que la publi­cité ciblée est une des fonc­tions prin­ci­pales du contrat entre Facebook et l’utilisateur. Cette convic­tion de l’autorité est renfor­cée par la gratuité du service pour tous. Partant, le réseau social de Marc Zuckerberg n’a pas besoin du consen­te­ment pour justi­fier la publi­cité ciblée vu que cette publi­cité est néces­saire à l’exécution du contrat au sens de l’art. 6 par. 1 let. b RGPD.

L’autorité irlan­daise se penche ensuite sur la ques­tion de l’information à dispo­si­tion de l’utilisateur lorsque celui-ci accepte les condi­tions de service d’utilisation. Elle aborde en parti­cu­lier les condi­tions au respect du prin­cipe de la trans­pa­rence (art. 12 par. 1 RGPD). L’art. 13 RGPD précise quelles infor­ma­tions doivent être mises à dispo­si­tion du sujet. La personne concer­née doit ainsi avoir accès à une infor­ma­tion « trans­pa­rente, compré­hen­sible et aisé­ment acces­sible » sur le trai­te­ment de ses données. L’utilisateur doit pouvoir déter­mi­ner quels sont le but et les consé­quences du trai­te­ment de données (cf. consi­dé­rant 39 RGPD).

Afin de véri­fier si ces obli­ga­tions sont respec­tées, la DPC examine les condi­tions de service de Facebook. Elle consi­dère que le docu­ment truffé d’hyperliens rend l’information peu compré­hen­sible. Par ailleurs, les docu­ments dispo­nibles se contentent de préci­ser quels sont les objec­tifs de Facebook lors du trai­te­ment des données. Ces docu­ments ne précisent néan­moins pas les diffé­rents types de trai­te­ment des données en lien avec le motif justi­fiant le trai­te­ment au sens de l’art. 6 RGPD. Pour ces raisons, l’autorité ordonne au réseau social de révi­ser ses condi­tions de service (Terms of Service) ainsi que sa poli­tique d’utilisation des données (Data Policy) dans un délai de trois mois et impose en sus une amende admi­nis­tra­tive calcu­lée selon la nature de l’in­frac­tion, sa durée et sa gravité ainsi que le nombre d’utilisateurs touchés et le dommage éprouvé. Elle propose une amende entre 28 et 36 millions d’euros (cf. art. 58 par. 2 let. d RGPD et art. 83 RGPD) pour les viola­tions consta­tées des art. 5 par. 1 let. a RGPD, 12 par. 1 RGPD et 13 par. 1 let. c RGPD.

À notre avis et en appli­quant l’art. 6 par. 1 let. b RGPD, la DPC s’éloigne malheu­reu­se­ment de la posi­tion du CEPD. En effet, le Comité consi­dère que le trai­te­ment de données à carac­tère person­nel pour de la publi­cité ciblée n’est en règle géné­rale pas néces­saire à l’exécution d’un contrat de services en ligne. Selon le Comité, il serait diffi­cile de faire valoir que le contrat n’a pas été exécuté unique­ment parce que la publi­cité ciblée n’a pas pu être opérée par l’entreprise (CEPD, Lignes direc­trices 2/​2019, p. 14–15). Selon la vision de l’autorité irlan­daise, invo­quer la publi­cité comme modèle d’affaires suffi­rait pour justi­fier le trai­te­ment de données au sens de l’art. 6 par. 1 let. b RGPD.

Quelle serait la situa­tion si ce cas se présen­tait en Suisse à l’aune de notre nouveau droit ? La viola­tion par Facebook du prin­cipe de trans­pa­rence (art. 6 al. 3 nLPD) aurait pour consé­quence que le trai­te­ment des données consti­tue­rait une atteinte (présu­mée illi­cite) à la person­na­lité (art. 30 al. 1 nLPD). Facebook devrait ainsi invo­quer un motif justi­fi­ca­tif afin de renver­ser cette présomp­tion d’illicéité (art. 31 al. 1 nLPD). De la même manière qu’en droit euro­péen, le réseau social pour­rait invo­quer, comme motif justi­fi­ca­tif, que la publi­cité ciblée est « en rela­tion directe avec (…) l’exécution d’un contrat » (art. 31 al. 2 let. a nLPD). Il n’aurait ainsi pas non plus besoin de se préva­loir du consen­te­ment de ses utilisateurs.

Loin d’être un sujet qui occupe unique­ment les auto­ri­tés euro­péennes, les plate­formes telles que Facebook seront peut-être prochai­ne­ment régle­men­tées en Suisse. En effet, le 17 novembre 2021, le Conseil fédé­ral a mandaté le Département fédé­ral de l’environnement, des trans­ports, de l’énergie et de la commu­ni­ca­tion pour produire une note sur la néces­sité d’une règle­men­ta­tion des plate­formes numé­riques dans l’optique aussi « de lutter contre les pratiques commer­ciales non trans­pa­rentes » (OFCOM, Communiqué de presse du 17 novembre 2021). Affaire à suivre.



Proposition de citation : Mallorie Ashton-Lomax / Célian Hirsch, Facebook et la publicité ciblée sans consentement, 22 décembre 2021 in www.swissprivacy.law/110


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Données personnelles : une approche dynamique, contextuelle et pragmatique
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law