Publicité ciblée : sous quelle forme le consentement est-il suffisant ?
Contexte
Depuis quelques semaines déjà, Instagram, réseau social du groupe Meta (anciennement Facebook), présente un message demandant à ses utilisateurs de donner leur consentement – ou non – au traitement de leurs données personnelles fournies par des partenaires publicitaires. La finalité présentée est l’amélioration de la pertinence des publicités présentées. WhatsApp a aussi récemment mis à jour sa politique de confidentialité, précisant la base juridique du traitement comme reposant sur leurs intérêts légitimes conformément à l’art. 6 RGPD.
Ce changement de pratique s’inscrit à la suite de la décision rendue par la CJUE le 4 juillet 2023 (C‑252/21), ainsi que de la décision subséquente rendue par l’autorité norvégienne de protection des données (Datalisynet) le 14 juillet 2023. Cette dernière a en effet rendu une décision interdisant temporairement Meta de procéder à de la publicité ciblée, moyennant une astreinte de 1 million de couronnes norvégiennes par jour.
Afin de comprendre l’origine des changements mis en place par Meta, les principaux points de l’arrêt doivent être analysés.
Principaux points de l’arrêt
Les données visées par l’arrêt de la CJUE sont des données sensibles – soit, selon la terminologie européenne, des données à caractère personnel portant sur des catégories particulières – et les personnes concernées sont les utilisateurs de Facebook. Les traitements effectués sont principalement la collecte, la mise en relation et l’utilisation de ces données personnelles pour la diffusion de publicité ciblée. La particularité de ces traitements de données repose en partie sur le fait que celles-ci sont collectées en dehors du réseau social Facebook (« données off-Facebook »), par le biais d’interfaces intégrées (telles que les « Outils Facebook Business ») ou de traceurs ou cookies enregistrés.
À l’origine de cet arrêt, il y a la demande préjudicielle déposée par le tribunal régional supérieur de Düsselfdorf (Oberlandesgericht Düsseldorf), qui porte sur un litige entre l’autorité fédérale de la concurrence allemande (Bundeskartellamt) et Meta Platforms Inc., Meta Platforms Ireland Ltd. ainsi que Facebook Deutschland GmbH. L’autorité fédérale de la concurrence a en effet décidé d’interdire à ces sociétés le traitement de certaines données personnelles prévu par les conditions générales d’utilisation du réseau social Facebook. Le tribunal régional supérieur de Düsseldorf saisit la CJUE et questionne, dans un premier temps, la compétence de l’autorité fédérale de la concurrence de rendre une telle décision. Dans un deuxième temps, la conformité de plusieurs aspects des traitements par Meta est remise en cause.
Compétence de la Bundeskartellamt
La question de la compétence de la Bundeskartellamt de constater l’illégalité des traitements de données par Meta n’est pas examinée en détail dans le présent article. Nous notons toutefois la conclusion de la CJUE, qui – à la première et septième question préjudicielle – estime que dans le cadre d’un examen d’abus de position dominante d’une société, une autorité de concurrence nationale peut constater l’illégalité des traitements relatifs.
Conformité des traitements : que demande-t-on à la CJUE ?
Concernant les questions préjudicielles relatives à la conformité des traitements, celles-ci peuvent être divisées en trois parties.
- La première – objet de la deuxième question préjudicielle – est d’identifier si un traitement de données personnelles sensibles a lieu et, dans l’affirmatif, s’il porte sur des données manifestement publiques.
- La deuxième – faisant partie des troisième, quatrième et cinquième questions préjudicielles – vise à établir sur quelle(s) base(s) juridique(s) ce traitement peut reposer au sens de l’ 6 RGPD.
- La troisième – soit la sixième question préjudicielle – se concentre sur le consentement et sa capacité à être « libre » en cas de position dominante du responsable de traitement.
Un traitement de données sensibles illicite ou des données manifestement publiques ?
Sur le premier point, la CJUE est d’avis que les données « off-Facebook » permettent notamment de voir quelles pages web sont visitées par les utilisateurs. Cela est techniquement possible lorsque lesdites pages intègrent des Outils Business Facebook, voire d’autres technologies de traçage.
Pour la CJUE, la question est indépendante du fait que les données soient exactes ou non, ou de l’existence d’une intention de la part du responsable de traitement de collecter ces données. En effet, l’art. 9 par. 1 RGPD prévoit une interdiction de principe du traitement de données personnelles sensibles. Cette interdiction se justifie au vu des risques importants pour les libertés et droits des personnes concernées. Dans son arrêt, la CJUE ne se prononce pas sur la question de l’existence ou non d’un traitement de données sensibles, laissant le soin à l’Oberlandesgericht Düsseldorf de procéder à cette analyse. La CJUE met toutefois en évidence que la consultation de certaines pages web peut révéler des données sensibles, et ceci, même sans insérer des données sur ces sites. On peut notamment imaginer que la consultation de sites médicaux, religieux ou sur des thèmes relatifs à une orientation sexuelle en particulier soit à même de révéler des informations tombant sous la description de l’art. 9 RGPD. Ce raisonnement peut cependant être nuancé par la possibilité qu’une telle consultation repose sur une simple curiosité ou une volonté de s’informer de la part de l’internaute et non d’une composante « personnelle » qui serait à l’origine de la consultation de telles pages.
Ayant établi ce raisonnement, la CJUE se penche ensuite sur l’éventuel caractère « public » des données personnelles. En effet, une exception à l’interdiction de principe de l’art. 9 par. 1 RGPD est le cas où les données sont « manifestement rendues publiques par la personne concernée ». Pour tomber dans cette exception, il est nécessaire que la personne concernée ait voulu, de manière explicite et par un acte positif clair, rendre accessibles ses informations au grand public.
En l’espèce, s’il s’avère que la consultation de pages web est de nature à révéler des données sensibles, cette consultation seule ne permet pas de déduire une intention de rendre publiques des informations sensibles de la part de l’internaute. Dans le cas où des plug-ins sociaux sont utilisés, tels que les boutons de sélection « j’aime » ou « partage », il est nécessaire pour l’utilisateur de pouvoir paramétrer l’étendue de la publication de ces données. Il est donc nécessaire que la personne concernée exprime ce choix de manière claire et en toute connaissance de l’étendue de la publication pour tomber dans l’exception à l’interdiction de principe de l’art. 9 par. 1 RGPD.
Quelles bases juridiques ?
La CJUE examine quelles bases juridiques au sens de l’art. 6 RGPD pourraient être retenues pour un traitement relatif à de la publicité ciblée. Le consentement, le contrat, l’intérêt légitime, la sauvegarde des intérêts vitaux et l’intérêt public sont examinés un à un. Sans entrer dans une analyse détaillée de chacune de ces bases juridiques, on peut dégager certains points dignes d’intérêt.
En préambule de son analyse, la CJUE établit que si un traitement englobe des données sensibles en plus de données personnelles « normales », sans dissociation entre les deux types de données, le traitement est en principe interdit sur la base de l’art. 9 par. 1 RGPD. Ce raisonnement implique que lorsqu’un jeu de données contient même une seule information de type sensible, celui-ci est alors « contaminé » et se retrouve soumis aux exigences strictes concernant le traitement de données de catégories spéciales.
Deuxièmement, la CJUE apporte des précisions s’agissant de l’examen du traitement sur la base de la nécessité relative à l’exécution d’un contrat (art. 6 par. 1 let. b RGPD). En effet, le traitement de données concerné doit être « objectivement indispensable pour réaliser une finalité intégrante de la prestation contractuelle ». Le traitement doit donc être essentiel, sans que d’autres solutions moins intrusives soient présentes. Selon la CJUE, il semble que le traitement effectué par Meta, portant sur des données issues d’autres services que ceux du réseau social Facebook, ne remplisse pas cette condition et ne puisse être considéré comme nécessaire pour la finalité de personnalisation du contenu et de la fluidité d’utilisation des services du groupe Meta. Ce raisonnement correspond également
Troisièmement, dans la revue des intérêts légitimes invoqués par Meta pour justifier le traitement, prévu à l’art. 6 par. 1 let. c RGPD, la CJUE se penche, entre autres, sur l’intérêt de la personnalisation de la publicité. Dans son argumentaire, la CJUE prend en compte les « attentes raisonnables » de la personne concernée ainsi que l’étendue du traitement et son impact. Elle estime que malgré la gratuité du service offert, la personne concernée ne peut s’attendre à ce que ses données soient traitées sans son consentement. De plus, un traitement étendu et illimité aurait un impact important sur l’internaute, menant à un sentiment de surveillance. La mention du « sentiment de surveillance » est intéressante, démontrant que la perception du traitement par la personne concernée semble avoir une importance dans la détermination de la légitimité des intérêts du responsable de traitement.
Un consentement libre malgré une position dominante ?
La validité du consentement fait l’objet de la sixième question préjudicielle du tribunal régional supérieur de Düsseldorf, plus précisément en lien avec la position dominante qu’occupesrait Meta. En effet, selon l’art. 4 par. 11 RGPD, le consentement doit, entre autres, être « libre ». Ceci est renforcé aux considérants 42 et 43 RGPD, où il est rappelé que
« le consentement ne peut être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice »
et que le consentement ne peut constituer un fondement juridique valable pour le traitement
« lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable de traitement ».
Dans le cas d’espèce, la CJUE estime que le fait que le réseau social occupe une position dominante sur le marché n’affecte pas la possibilité pour les utilisateurs de consentir au traitement de leurs données personnelles. Cependant, cet élément présente une importance dans l’examen de la validité et la liberté du consentement, dont le fardeau de la preuve repose sur le responsable du traitement.
Sur le cas des données « off-Facebook », partant du principe que le traitement de celles-ci n’est pas nécessaire à l’exécution du contrat, la CJUE estime qu’un consentement spécifique à ce traitement devrait être donné. La possibilité de refuser, moyennant une rémunération appropriée ou une alternative équivalente, devrait également être proposée. Il semble dès lors que la seule base juridique pouvant être retenue dans le cadre d’activité de publicité ciblée soit le consentement. Comme développé par le WP29 dans son Opinion 2/2010, le consentement doit être obtenu avant le traitement des données personnelles, de manière active (opt-in) et en toute connaissance de cause.
Conclusion
Il semblerait que cette décision – couplée à celle de l’autorité de protection des données norvégienne – ait porté certains fruits sur la pratique de Meta concernant la publicité ciblée. Un consentement spécifique relatif au traitement de données provenant de partenaires de Meta (données « off-Facebook ») a été introduit pour la plateforme Instagram, pour la finalité de publicité ciblée. Au moment d’ouvrir l’application, un message spécifique s’affiche pour l’utilisateur avec la demande de consentement, exigeant une acceptation ou un refus avant de pouvoir continuer à utiliser l’application.
Dans les informations accompagnant le consentement, il est précisé que le paramètre peut être modifié à tout moment, que celui-ci s’applique aussi aux publicités sur d’autres applications et sites web qui utilisent les partenaires de Meta et que d’autres informations fournies par les partenaires publicitaires ne sont pas contrôlées par ce paramètre. Concernant le dernier point, il n’est cependant pas précisé quel type de donnée est concerné ni la finalité de leur traitement.
Malgré ces changements, Meta a demandé au tribunal de district d’Oslo une injonction temporaire visant à annuler l’interdiction prononcée le 14 juillet. En effet, une décision additionnelle a été rendue par l’autorité de protection des données norvégienne, exigeant le paiement d’amende coercitive d’un million de couronnes norvégiennes par jour de non-conformité (environ CHF 83’000), à partir du 14 août.
La décision du tribunal de district d’Oslo est attendue dans le courant du mois d’août et aura certainement des conséquences importantes sur la manière dont le groupe Meta envisage le traitement des données personnelles.
Proposition de citation : Charlotte Beck, Publicité ciblée : sous quelle forme le consentement est-il suffisant ?, 22 août 2023 in www.swissprivacy.law/244
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.