Le modèle « payer ou accepter » de Meta n’est pas conforme au Digital Markets Act. Telle est la conclusion préliminaire de l’enquête de la Commission européenne sur les pratiques publicitaires de l’entreprise. Celle-ci, face au DMA, avait choisi de proposer un abonnement pour se débarrasser des publicités, sans répondre sur le fond de ce qui lui était reproché.
À l’automne dernier, Meta avait annoncé l’arrivée d’abonnements pour se débarrasser de la publicité sur Facebook et Instagram. Il s’agissait alors de la réponse de l’éditeur à l’Europe qui lui réclamait une mise en conformité avec le RGPD. Il avait d’ailleurs été condamné quelques mois plus tôt pour infraction au Règlement, avec une amende de 1,2 milliard d’euros.
Face à l’utilisation des données pour personnaliser la publicité (publicité comportementale), Meta avait choisi la voie de l’abonnement plutôt que celle du consentement. Ce dernier, évoqué un temps l’été dernier, a disparu du discours officiel.
Devant la manœuvre et une facture pour le moins salée, on s’attendait à une prise de position claire de la part de la Commission. En mars déjà, elle craignait « que le choix binaire imposé par le modèle "payer ou consentir" de Meta n'offre pas de véritable alternative au cas où les utilisateurs ne donneraient pas leur consentement ». Quelques semaines plus tard, sans citer Meta, la Commission européenne estimait que les formules « payer ou accepter » ne permettaient pas le consentement libre des internautes.
Le « choix binaire » de Meta n'est pas conforme au DMA
Dans un communiqué publié aujourd’hui, la Commission confirme : le « modèle publicitaire "payer ou accepter" n'est pas conforme à la loi sur les marchés numériques (DMA) ». « Ce choix binaire oblige les utilisateurs à consentir à la combinaison de leurs données personnelles et ne leur fournit pas une version moins personnalisée, mais équivalente des réseaux sociaux de Meta », ajoute la Commission dans son avis préliminaire.
Elle rappelle que les contrôleurs d’accès, tels que définis par le DMA, « doivent demander le consentement des utilisateurs pour combiner leurs données personnelles entre les services de la plateforme principale désignée et d'autres services » (article 5, paragraphe 2). Si l’internaute refuse, les contenus doivent quand même être affichés, dans une version moins personnalisée.
Or, les abonnements de Meta ne sauraient être conformes, car ils ne remplissent pas les conditions nécessaires au libre consentement :
- Ils ne permettent pas un service utilisant moins de données à caractère personnel mais équivalent à celui basé sur les annonces personnalisées
- Ils ne permettent pas aux internautes d’exercer « leur droit de consentir librement à la combinaison de leurs données personnelles »
Au tour de Meta
Cette conclusion préliminaire ne « préjuge pas de l’issue de l’enquête », rappelle la Commission européenne. Elle ajoute que Meta peut maintenant prendre acte des faits reprochés et travailler à sa réponse, en se basant sur les éléments fournis par la Commission. La conclusion de l’enquête interviendra dans les 12 mois suivant l’ouverture de la procédure, donc d’ici au 25 mars 2025.
Si cet avis préliminaire devait être confirmé, l’amende infligée par la Commission pourrait grimper jusqu’à 10 % du chiffre d’affaires mondial, et jusqu’à 20 % en cas de récidive.
« Notre avis préliminaire est que le modèle publicitaire de Meta n'est pas conforme à la loi sur les marchés numériques. Nous voulons donner aux citoyens les moyens de contrôler leurs propres données et d'opter pour une publicité moins personnalisée », a indiqué Margrethe Vestager, vice-présidente de la Commission et commissaire à la concurrence.
Commentaires (20)
#1
"Ils ne permettent pas un service utilisant moins de données à caractère personnel mais équivalent à celui basé sur les annonces personnalisées"
La réponse toute trouvée est :"Ben vu qu'on gagnera moins d'argent, pourquoi le service devrait-il être équivalent ?". Et même si je n'aime pas Meta, sur ce point, ça pourrait être cohérent...
#1.1
C'est d'ailleurs pour cela qu'il est difficile de penser que le consentement à la combinaison des données entre services serait libre. (La phrase en-dessous de celle que tu as cité). Tu n'as que le choix entre payer cher le service ou accepter que l'on traite tes données personnelles en plus en les combinant entre services de META.
#1.2
J'ai peut-être loupé quelque chose (tu peux m'indiquer le texte en question, s'il existe), mais il ne me semble pas que, si l'application de la loi fait baisser le chiffre d'affaire, alors on est libre de l'ignorer.
#1.3
Actuellement, les publicitaires veulent (et sont prêts à payer) pour de la pub ciblée car elle est, au moins dans certains cas d'usage, plus efficace que la pub moins ciblée.
Si un nombre significatif de personnes refusent la pub ciblée, ça peut redonner de la valeur à la pub non ciblée. Car finalement ce sera l'unique façon d'adresser certaines cibles.
Et certains critères restent disponibles sans consentement je crois - la localisation approximative, la nature de la page actuellement visitée
#2
Aussi, cet avis préliminaire semble aller dans le bon sens, mais les justificatifs me semblent un peu légers. Arriver à faire interdire le "paye ou laisse nous tes données" serait un vrai plus, quitte à limiter l'acces à certains contenus...
#3
On peut rêver, c'est lundi ^^
#3.1
#3.2
#3.3
#4
#5
Parce qu'une telle jurisprudence (si elle était confirmée), ferait à peu près sauter tous les cookiewalls. Alors que ici la décision n'aurait de conséquences que sur les cookiewall des grands groupes.
#5.1
Le consentement libre du DMA fait référence à la définition du consentement du RGPD. Donc, sur le point du consentement non libre, s'il violent celui du DMA, ils violent aussi celui du RGPD.
Ici, dans le cadre du DMA, il s'agit non pas du traitement des données personnelles par un service de META mais de la combinaison des données personnelles (et de leur traitement).
Les entités qui jugent les violations de ces différents textes européens ainsi que les procédures sont différentes.
Pour le DMA, c'est la Commission qui peut enquêter et ouvrir une procédure. Un recours peut être introduit devant la Cour de justice de l'UE (CJUE).
Pour le RGPD, ce sont les CNIL qui instruisent et prennent des sanctions, avec appel possible devant la juridiction nationale compétente (le Conseil d'État en France par exemple). Pour META, ça se passerait en Irlande.
Édit : j'ajoute que si la Commission décidait que le consentement n'est pas libre, la CNIL irlandaise aurait du mal à décide le contraire. Une sorte de jurisprudence indirecte.
Historique des modifications :
Posté le 01/07/2024 à 16h56
L'un n'empêche pas l'autre. Il est fort probable que Meta viole à la fois le RGPD et le DMA.
Le consentement libre du DMA fait référence à la définition du consentement du RGPD. Donc, sur le point du consentement non libre, s'il violent celui du DMA, ils violent aussi celui du RGPD.
Ici, dans le cadre du DMA, il s'agit non pas du traitement des données personnelles par un service de META mais de la combinaison des données personnelles (et de leur traitement).
Les entités qui jugent les violations de ces différents textes européens ainsi que les procédures sont différentes.
Pour le DMA, c'est la Commission qui peut enquêter et ouvrir une procédure. Un recours peut être introduit devant la Cour de justice de l'UE (CJUE).
Pour le RGPD, ce sont les CNIL qui instruisent et prennent des sanctions, avec appel possible devant la juridiction nationale compétente (le Conseil d'État en France par exemple). Pour META, ça se passerait en Irlande.
Édit : j'ajoute que si la Commission décidait que le consentement n'est pas libre, la CNIL irlandaise aurait du mal à décide le contraire. Une sorte de jurisprudence indirecte.
#6
Nos connexions sont trackées par tous les intermédiaires de la chaîne: OS, navigateur, DNS, ISP, Operateur de réseau (ex: Cloudflare), script tiers (cdn) ... et au final le site web (analytique).
On ne peut compter que sur leur bonne foi respective pour garantir notre vie privée. Autant dire que c'est mort.
#7
https://next.ink/1856/cookie-walls-en-absence-cadre-strict-cnil-fournit-criteres-devaluation/
#7.1
Voir mon commentaire expliquant qu'il y a à la fois le DMA et le RGPD.
Ensuite, la CNIL dans ton article en lien explique comment elle pourrait appliquer le RGPD. Ce n'est pas une loi française spécifique.
Rien ne dit que la CNIL ne trouverait META conforme au RGPD ; elle n'est pas compétente puisque c'est la CNIL irlandaise qui l'est.
#7.2
Y'a pas eu un cas où la CNIL était compétente car Facebook France se déclarait comme responsable du traitement de données ? Il me semble avoir vu ça y'a quelques temps.
#7.3
#8
#8.1
#8.2