En janvier 2023, la Commission de protection des données irlandaise a infligé une amende de 390 million d’euros à Meta. Le 27 octobre 2023 cette décision a été confirmée par le Comité européen de la protection des données. Selon la Commission, la base de licéité sur laquelle reposait l’autorisation de collecter des données pour la publicité ciblée n’était pas valide. Meta était par conséquent tenu de se mettre en conformité avec le RGPD et de ne pouvait plus justifier la collecte de données pour la publicité ciblée par l’exécution du contrat ou l’intérêt légitime. La dernière option possible était d’obtenir le consentement des utilisateurs.

Depuis le mois de novembre 2023, les utilisateurs dans l’UE peuvent refuser que leurs données soient collectées à des fins de publicité ciblée. Dans ce cas, ils ont la possibilité de souscrire à un abonnement mensuel pour avoir accès à Facebook et Instagram. Les tarifs sont de 9,99 euros pour la version web et 12,99 euros sur Android et IOS.

Conséquemment, le 11 janvier 2024, noyb a déposé une nouvelle plainte à l’encontre de Meta. Ils leur reprochent de rendre le retrait du consentement trop complexe.

Conditions applicables au consentement

 Le consentement est défini de la manière suivante à l’article 4 (11) du RGPD :

« toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Pour que le consentement demandé par Meta soit valide, différentes conditions doivent être remplies (article 4 (11) RGPD) :

• Libre

Le consentement doit être donné de manière libre. Cela implique qu’un réel choix doit être fait par la personne concernée. Elle doit pouvoir refuser que ses données à caractère personnel soient traitées sans que cela ne lui porte préjudice. Lorsqu’il y existe un déséquilibre manifeste entre les pouvoirs de la personne concernée et ceux du responsable de traitement, le consentement au traitement des données n’est pas donné librement.

Les lignes directrices du CEPD indiquent qu’il ne faut « pas de risque de tromperie, d’intimidation, de coercition ou de conséquences négatives importantes (par ex. couts supplémentaires importants) si [la personne concernée] ne donne pas son consentement ».

Compte tenu de ces éléments Tobias Judin, chef de l’Autorité norvégienne de protection des données, doute que, en l’espèce, le consentement soit donné librement :

« Considering the power imbalance between Meta and its users … we doubt that the purported consents will be ‘freely given’ as required by the GDPR. ».

• Spécifique

Le traitement de données à caractère personnel doit être accepté « pour une ou plusieurs finalités spécifiques ». Cela est expressément prévu à l’article 6 (1) du RGPD. Cette disposition permet aux utilisateurs de garder un certain degré de contrôle sur l’usage qui est fait de leurs données, tout en favorisant la transparence.

• Éclairé

Le consentement doit être donné de manière éclairée. Il est nécessaire que le responsable de traitement informe la personne concernée de tous ses droits et des circonstances liées au traitement des données afin de pouvoir prendre des décisions en connaissance de cause. Selon le cas dans lequel se trouve la personne concernée, il faut se référer à l’article 13 ou 14 du RGPD qui évoque les informations à fournir à la personne concernée. Ces informations doivent être facilement compréhensibles et communiquées en des termes clairs et simples (article 12 (1) du RGPD).

Dans le cadre du modèle d’abonnement « Pay or OK », les informations à communiquer à la personne concernée pour obtenir un consentement éclairé en matière de publicité ciblée peuvent être étendues aux éléments suivants :

• Les autres formes de publicité qu’une entreprise peut utiliser telles que la publicité contextuelle ou l’absence de publicité ;
• La collecte et le traitement des données qui seront maintenus, que la personne concernée y consente ou qu’elle les refuse ;
• Dans l’hypothèse où le consentement est refusé, la base de licéité utilisée pour la collecte de données.
• Univoque

Il ne doit il y avoir aucun doute quant à la volonté de la personne concernée de donner son consentement.

Rappelons, en outre, que le consentement ne se présume pas et qu’il doit être donné par un acte positif clair, tel qu’une case à cocher (considérant 32 RGPD).

Preuve du consentement

Tel que le prévoit l’article 7 (1) du RGPD,  le responsable de traitement, ici Meta, doit être en mesure de prouver qu’une personne concernée a valablement consenti au traitement de ses données. Remarquons, cependant, qu’il ne peut pas collecter des données pour une durée qui excède celle qui est nécessaire (article 5 (1) RGPD).

Retrait du consentement 

La personne concernée doit pouvoir retirer son consentement « à tout moment » (article 7 (3) RGPD). Par ailleurs, il doit être aussi facile de retirer son consentement que de le donner.

Sur base de ce principe, noyb, une organisation de protection de la vie privée, a déposé une plainte. Selon ces derniers, Meta organise délibérément un « retrait coûteux du consentement ». Pour retirer son consentement, la seule option dont dispose l’utilisateur est « d’acheter un abonnement à 251,88 euros » par an. En plus de ce coût, la démarche à suivre est complexe. En effet, les utilisateurs doivent parcourir différentes fenêtres trouver l’option leur permettant de retirer leur consentement.

« While one (free) click is enough to consent to being tracked, users can only withdraw their consent by going through the complicated process of switching to a paid subscription. »

Coût de l’abonnement

La CJUE, dans l’affaire Bundeskartellamt, a déclaré que lorsque la personne concernée refuse de consentir au traitement de ses données à caractère personnel à des fins de publicité personnalisée, elle doit pouvoir se voir proposer une alternative, le cas échéant moyennant une « rémunération appropriée ». Si une telle alternative n’est pas suggérée, le consentement de la personne concernée est nécessaire aux fins de traitement de ses données à caractère personnel qui ne sont pas nécessaires à l’exécution du contrat. Bien que la décision ne précise pas ce qu’il y a lieu d’entendre par « appropriée », les autorités européennes étudient actuellement cette question dans le contexte du modèle « Pay or OK » de Meta.

Pour évaluer l’adéquation d’une redevance, Eric Seufert, stratège en média, suggère de regarder si (1) le prix est équivalent au revenu moyen  global par unité pour l’entreprise entre la période précédant l’abonnement et la période suivant l’abonnement, et si (2) la redevance est comparable à celle facturée par des services similaires. D’après lui, il s’agit d’un calcul complexe et dynamique, et dans l’attente de nouvelles orientations, les organisations devraient réfléchir à la meilleure façon de respecter les principes fondamentaux d’équité et de transparence dans la détermination de ces redevances.

Conclusion

Le changement de base de licéité imposé à Meta dans le cadre de la publicité ciblée force l’entreprise à se réinventer. Meta doit désormais se mettre en conformité avec le RGPD, et le modèle « Pay or OK » est une tentative de réponse à ces exigences. Cependant, tant que Meta ne respecte pas entièrement les règles énoncées ci-dessus, de nouvelles plaintes peuvent être déposées à son encontre.