Ça sent mauvais pour Meta. La maison mère de Facebook, Instagram et WhatsApp est visée par une récente décision des autorités européennes qui pourrait bien obliger l’entreprise à revoir en profondeur son modèle économique. Comme le détaille le Wall Street Journal, Bruxelles a jugé que la firme utilisait les données des internautes sans leur consentement, en violation du RGPD.
Un séisme pour Facebook
Selon l’avis du Comité européen à la protection des données (CEPD), Facebook et Instagram ne pourraient effectivement pas utiliser, sans prévenir, les habitudes de navigation des internautes pour offrir de la publicité ciblée. Pour le dire plus simplement, pas question d’afficher de la réclame sur des paires de chaussures après avoir visionné une vidéo parlant du sujet sur Instagram, par exemple. Il était déjà possible de désactiver le pistage intersite opéré par mouchards Facebook, mais la décision de la CEPD concerne cette fois-ci les données issues des plateformes elles-mêmes. En somme, Facebook ne peut pas utiliser les données de Facebook.com sans le consentement de l’utilisateur.
Si cela vous parait somme toute assez évident, c’est que vous avez bien potassé votre RGPD. Le règlement européen sur la protection des données proscrit en effet de tels usages. C’est pour cela que vous devez accepter ou refuser les cookies chaque fois que vous vous rendez sur un site web. Mais, au moment de l’instauration du RGPD en 2018, Facebook avait argué que le traitement de ses données était une nécessité contractuelle pour offrir un accès au site, se réfugiant donc derrière l’article 6(1)(b) du RGPD qui précise que « le traitement n’est licite que si […] le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie« .
À l’époque, la DPC (le gendarme irlandais des données personnelles, qui agit comme autorité chef de file au sein de l’UE) avait validé la position de Facebook, laissant le site pister les faits et gestes des internautes sur leurs propres plateformes. L’association Noyb (pour none of your business) — déjà à l’origine de nombreuses plaintes contre les géants du web — ne voyait cela dit pas les choses de cet œil et avait donc porté plainte auprès de plusieurs autorités européennes de régulation. 4 ans et demi plus tard, et après une intervention de la CNIL qui s’estimait « en désaccord avec l’analyse de l’autorité irlandaise« , la CEPD a donc été appelée pour trancher l’affaire et a opté pour une interprétation stricte du RGPD.
« C’est un coup dur pour Meta dans l’UE. Il faut maintenant demander aux gens s’ils veulent que leurs données soient utilisées pour des publicités ou non. Ils doivent pouvoir répondre par « oui ou non » et peuvent changer d’avis à tout moment. Cette décision garantit également des conditions de concurrence équitables avec les autres annonceurs qui doivent également obtenir un consentement explicite » se réjouit Max Schrems, fondateur de Noyb. De son côté, Meta ne se prononce pas et explique que la décision « n’est pas encore finalisée et qu’il est trop tôt pour spéculer sur le sujet.«
Le gendarme irlandais des données personnelles doit effectivement valider l’interprétation de la CEPD et en informer officiellement Meta. Il y a cependant peu de chance que l’autorité n’aille pas dans le sens de la décision de la CEPD. Meta pourra cependant faire appel. Et au vu du séisme qu’une telle décision représenterait pour son modèle économique, il y a fort à parier que la firme n’hésitera pas à le faire.