Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Schrems vs Meta, encore et encore

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Photo de Dima Solomin sur Unsplash

L’avocat général de la Cour de justice de l’Union européenne (CJUE), Athanasios Rantos, s'est prononcé contre la possibilité d'utiliser, pour de la publicité contextuelle, des données personnelles rendues publiques dans un autre cadre. Cet avis intervient dans une des batailles de Max Schrems et de son association noyb contre Meta.

Le 26 avril à 16h53

Pour l’avocat général de la CJUE, ce n'est pas parce qu'une personne rend « manifestement publique » une donnée sensible, comme son orientation sexuelle, qu'elle autorise les réseaux sociaux à les utiliser « à des fins de publicité personnalisée », explique un communiqué de la Cour [PDF].

En 2021, la Cour suprême d'Autriche a saisi la CJUE à propos d'une procédure que Max Schrems a lancée contre Meta devant la justice autrichienne en 2018. Le fondateur de l'association noyb s'était étonné d'avoir reçu « des publicités visant des personnes homosexuelles et des invitations à des événements correspondants  » sur son profil Facebook alors qu'il « n’aurait jamais mentionné son orientation sexuelle et n’aurait publié aucune donnée sensible sur son profil Facebook », explique l'avocat général dans son avis.

Or, les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont considérées comme particulièrement sensibles et sont spécifiquement protégées par l'article 9 du RGPD.

En 2020, le tribunal régional des affaires civiles de Vienne a pourtant rejeté son recours en première instance. Max Schrems a formé un pourvoi devant la Cour suprême autrichienne.

Des informations rendues publiques par Max Schrems lui-même

Mais, avant de se prononcer, celle-ci veut éclaircir certains points de la juridiction européenne et notamment du RGPD. C'est pour cela qu'elle a fait appel à la CJUE.

Car, en 2019 – donc après le lancement de la procédure –, Max Schrems a fait état de son orientation sexuelle lors d'une table ronde organisée par la représentation de la Commission européenne à Vienne et diffusée en streaming. Or, le paragraphe 2.e de l'article 9 du RGPD prévoit que le statut spécifique des données particulièrement sensibles tombe si les données à caractère personnel « sont manifestement rendues publiques par la personne concernée ».

La Cour suprême demande donc à la CJUE si le fait que Max Schrems a rendu publique cette information « autorise le traitement d’autres données relatives à l’orientation sexuelle aux fins d’agrégation et d’analyse des données aux fins de la publicité personnalisée ? ».

Mais en dehors de Facebook

Dans son avis, Athanasios Rantos, précise bien que « les données sensibles relatives à l’orientation sexuelle du demandeur ont été divulguées, en dehors de la plateforme Facebook (« hors site ») et de toute autre plateforme ou application informatique, dans le cadre d’une table ronde organisée par la Commission et dans le but de dénoncer le traitement prétendument illicite par Meta Platforms Ireland de données relatives à cette orientation sexuelle ».

Il rappelle aussi que la CJUE s'est déjà prononcée sur le fait que le recueil de données sensibles en dehors du réseau social au moyen de cookies « ou des technologies d’enregistrement similaires » ne pouvait pas se faire en considérant que la personne les rendait « manifestement publiques ».

Mais ici, pour Athanasios Rantos, « compte tenu du caractère ouvert de la table ronde, diffusée en direct puis retransmise en streaming, ainsi que de l’intérêt du public pour le thème qui y était abordé », il lui « semble fort probable » que « la déclaration du requérant ait pu atteindre un public indéfini, bien plus important que celui qui était présent en salle ». Il lui parait aussi « tout à fait possible de supposer que [...] le requérant ait eu, sinon l’intention, du moins pleinement conscience de rendre cette orientation « manifestement publique ». Bref, l'avocat général considère que cette déclaration rend publique l'information.

Des données personnelles extérieures au réseau social concerné

Par contre, cela ne signifie pas que Facebook peut l'utiliser. Car « le fait de rendre manifestement publiques des données [sensibles] ne permet pas, à lui seul, d’effectuer un traitement de ces données au sens dudit règlement ».

« En effet, l’application de cette dernière disposition a simplement pour conséquence de lever la "protection spéciale" conférée à certaines données à caractère personnel particulièrement sensibles » explique-t-il. Mais il ajoute qu' « une fois cette protection sciemment écartée par la personne concernée elle-même (qui les a manifestement rendues publiques), ces données à caractère personnel, à l’origine "protégées", deviennent des données "ordinaires" (à savoir non sensibles) qui, comme toutes autres données à caractère personnel, ne peuvent faire l’objet d’un traitement licite que dans les conditions prévues » par le RGPD.

Et ce traitement de données à caractère personnel est notamment soumis à un principe de collecte « pour des finalités déterminées, explicites et légitimes ». Avoir rendu publiques ces données sur sa propre orientation sexuelle « n’autorise pas, en soi, le traitement desdites données ou d’autres données relatives à l’orientation sexuelle de cette personne en vue de l’agrégation et de l’analyse des données à des fins de publicité personnalisée », conclut Athanasios Rantos.

Max Schrems et son avocate Katharina Raabe-Stuppnig sont « satisfaits de l'avis, même si ce résultat était très attendu », expliquent-ils dans un communiqué de l'association noyb.

« Ce n'est pas parce que certaines informations sont publiques qu'elles peuvent être utilisées à d'autres fins. Si vous faites un commentaire politique sur les médias sociaux, il ne peut pas être utilisé pour cibler la publicité politique. Si les utilisateurs perdaient tous leurs droits sur les informations publiées, la liberté d'expression s'en trouverait considérablement freinée », interprète Katharina Raabe-Stuppnig.

Comme le rappelle le communiqué de la CJUE, « les conclusions de l’avocat général ne lient pas la Cour de justice » et cet avis est non contraignant pour la Cour suprême d'Autriche. Mais les juges suivent généralement ces avis.

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je suis perplexe.
J'arrive pas à comprendre sur la décision bien la non antériorité de l'information et donc son usage indu ou si c'est juste le caractère spécial de l'info.


(
votre avatar
A priori un peu les deux. De ce que je comprends, il peut poursuivre Meta pour avoir divulgué une information à un tiers (des annonceurs) et même de l'avoir collectée sans consentement, puisque pas RGPD compliant de base.

En revanche même s'il s'agit d'une orientation sexuelle, donnée qualifiée sensible, ça ne serait pas considéré comme tel dans un procès. C'est pas un cas général, ça le concerne lui puisqu'il a déjà diffusé ouvertement l'information. En gros, c'est équivalent à cibler le Pape François sur des sujets catholiques. En revanche, s'il fait pareil avec un lambda, c'est bien une "donnée sensible".

C'est plutôt une question de gros sous en cas de procès...
votre avatar
En tout cas, ils cherchent les emmerdes chez Meta en traitant les données concernant son orientation sexuelle alors même qu'il est leur opposant le plus connu et le plus actif en ce qui concerne les données personnelles. Je serais eux, je ferais un traitement très minimal des données de son profil quitte à ne lui présenter aucune publicité.

A priori, cette orientation sexuelle a été déduite de son activité vue par Meta et ses traqueurs et non pas de la vidéo où il a rendu public cette orientation sexuelle. De plus, ce n'est pas Meta qui a utilisé l'article 9 § 2 e) du RGPD pour se défendre mais la Cour suprême d'Autriche qui pose la question préjudicielle à la CJUE sans que ça soit a priori nécessaire à cette affaire.

La détermination de son orientation sexuelle a de toute façon été faite antérieurement à la table ronde où il en a parlé.
votre avatar
C'est un peu toute la problématique sur le traitement par Meta aujourd'hui, c'est archi obscur sur la façon de collecter les données et la liste dont il dispose, tout autant que la façon de cibler.

Même en cliquant sur "Pourquoi je vois cette publicité ?", l'explication est bancale et ne sort que des critères hyper vagues. Typiquement, à l'instant il me dit que la pub du promoteur immobilier cible "tous les plus de 18 ans en France", j'ai un peu de mal à croire qu'on me cache pas un critère, puisque le contenu même de la pub c'est un programme immobilier dans la ville d'à côté.

De même, certains mots-clés utilisés sur Messenger ressortent très rapidement dans des pubs Facebook derrière, et c'est évidemment pas marqué "Parce que vous venez d'en parler avec votre ami en privé". 😅
votre avatar
Mon commentaire était juste sur l'aspect juridique.

Je n'ai pas dit que c'était obscur.
Je pense au contraire que c'est très performant : ils ont tellement de données et peuvent faire tellement de parallèles entre groupes de personnes qu'ils savent choisir parfaitement les publicités à te présenter parce qu'ils ont appris plein de choses sur toi. Ce n'est pas parce qu'ils ne te disent pas comment ils font (comme avec toute IA, ils ne savent pas quelles sont les données qui ont conduit à choisir la pub) qu'ils ne sont pas sûr que leur résultat est pertinent.
votre avatar
Mais en même temps, est-ce légal de prévoir dans le fichier une case "utilisateur chiant, faire gaffe avec lui" ?
votre avatar
Non, Boulanger et Darty (de mémoire) en avaient fait les frais (pas une case à cocher, mais commentaires désobligeants). Et c'est quelque chose qu'on peut obtenir via le droit à la l'accès des données personnelles accordé par le RGPD. Le modèle que propose la CNIL mentionne les "éventuels champs commentaires".
votre avatar
Tout à fait. La CNIL a sanctionné ce type de commentaire par le passé. De mémoire aussi, c'était des commentaires plutôt négatif ("c'est un con", "cette personne a pété un boulon", etc.).

Par contre, elle autorise des commentaires, tant qu'ils sont objectifs et factuels.

Ainsi, on peut dire :
- "client exigeant" à la place de client chiant, ce qui pourrait inciter à lui mettre un commercial avec de l'expérience et pas l'alternant qui vient d'arriver
- "risque de comportement agressif / violent" au lieu de "client a pété un plomb" pour mettre en face une personne de la carrure de Teddy Riner plutôt que celle plutôt fluette de Christophe Willem (sans aucun jugement vis-à-vis de ces deux personnes hein !)
votre avatar
Le titre dit :
Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs
Je ne sais pas trop d'où ça c'est tiré.

L'avocat général a dit essentiellement 2 choses :

1) que le rgpd s'oppose à un traitement des données personnelles pour de la publicité ciblée sans limite dans le temps ou en fonction de la nature des données. Sur ce premier point, c'est en particulier la durée indéterminée qui pose problème.

2) le fait que des données personnelles sur son orientation sexuelle aient été rendues publiques par l'intéressé n'autorise pas, en soi, le traitement de ces données ou d'autres concernant son orientation sexuelle a des fins de publicité personnalisées.

Il n'y a rien qui parle directement de données récupérées ailleurs dans ses conclusions. J'ai relu plusieurs fois sans rien trouver de tel qui puisse expliquer le titre de l'article, mais j'ai peut-être raté un point et dans ce cas, je veux bien que l'on me le cite.

Pour moi, le seul endroit où il y a une notion "d'ailleurs" c'est ceci :
D’autre part, une distinction pourrait être également effectuée entre le traitement des données à caractère personnel collectées sur la plateforme Facebook et en dehors de celle-ci, à savoir sur des pages Internet, des applications autres que Facebook ou sur les appareils des utilisateurs, ce dernier étant plus intrusif que le premier (21).
Ce n'est qu'une indication pour la Cour Suprême d'Autriche pour mesurer "le degré d'ingérence" de Meta en ce qui concerne la nature des données traitées (que j'ai cité au point 1) mais cela ne permet pas d'être affirmatif comme l'est le titre sur ce point.
votre avatar
Dans le même genre, il y a glassdoor qui depuis peut récupère les infos qu'il peut trouver sur ses utilisateurs pour remplir leur profil sans leur dire (incluant leurs prénoms et noms, même s'ils ne sont pas directement visible sur le site) et mettant parfois des fausses infos (erreur légitime ? erreur de "scrap" ?).
votre avatar
salut !
ce serait, déjà bien, SI l'Article 1er était respecté !



Règle n° 1 : informer les personnes concernées par la collecte de données personnelles

Le RGPD impose d’informer les personnesdès lors que leurs données sont collectées. Celles-ci doivent notamment être informées de l’identité de l’organisme, de la finalité du traitement des données les concernant et de la possibilité d’exercer leurs droits.
votre avatar
J'ai l'impression que tu te trompes d'article :
Article premier - Objet et objectifs
Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

  • Des informations rendues publiques par Max Schrems lui-même

  • Mais en dehors de Facebook

  • Des données personnelles extérieures au réseau social concerné

Fermer