La CNIL norvégienne interdit temporairement la publicité contextuelle de Meta
Le 19 juillet 2023 à 06h52
4 min
Droit
Droit
L'autorité de protection des données norvégienne, la Datatilsynet, a annoncé lundi l'interdiction temporaire du service de ciblage publicitaire comportemental de Meta « basé sur la surveillance des utilisateurs » en Norvège, considérant qu'il est « illégal ».
L'autorité explique dans son communiqué que « Meta suit en détail l'activité des utilisateurs de ses plateformes Facebook et Instagram. Les utilisateurs sont profilés en fonction de l'endroit où ils se trouvent, du type de contenu auquel ils s'intéressent et de ce qu'ils publient, entre autres ». Elle ajoute que « ces profils personnels sont utilisés à des fins marketing, ce que l'on appelle la publicité comportementale ».
Ce profilage par Meta ne respecterait pas, selon elle, le RGPD.
La Datatilsynet appuie sa décision [PDF] sur celles [PDF concernant Facebook, PDF concernant Instagram] de la commission de protection des données irlandaise (Data protection commisssion, DPC) du 31 décembre dernier qui considéraient ce ciblage contraire au RGPD.
Si Meta a effectué quelques modifications, l'autorité norvégienne pointe la récente décision de la Cour européenne de justice du 4 juillet dernier qui relève que « malgré la gratuité des services d’un réseau social en ligne tel que Facebook, l’utilisateur de celui-ci ne saurait raisonnablement s’attendre à ce que, sans son consentement, l’opérateur de ce réseau social traite les données à caractère personnel de cet utilisateur à des fins de personnalisation de la publicité. Dans ces conditions, il doit être considéré que les intérêts et les droits fondamentaux d’un tel utilisateur prévalent sur l’intérêt de cet opérateur à une telle personnalisation de la publicité par laquelle il finance son activité, de sorte que le traitement effectué par celui-ci à de telles fins ne saurait relever de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD ».
Dans sa décision, la Datatilsynet précise : « après avoir soigneusement évalué les éléments de preuve disponibles, nous sommes parvenus à la conclusion que Meta n'a pas mis ses opérations de traitement en conformité avec l'article 6, paragraphe 1, du RGPD comme demandé ».
Elle a donc décidé d'interdire pendant trois mois ce service de ciblage publicitaire comportemental à partir du 4 août, sous peine d'une amende coercitive d'un million de Couronnes norvégiennes (90 000 euros) par jour. L'autorité précise que cette décision s'applique seulement pour les utilisateurs se situant en Norvège et sera caduque dès que Meta pourra prouver sa conformité à la loi.
Alors que 82 % des Norvégiens adultes ont un compte Facebook et 65 % un compte Instagram, l'autorité précise que ce ne sont pas ces plateformes qui sont interdites en tant que telles, mais bien le ciblage publicitaire comportemental sans le consentement tacite de l'utilisateur.
La filiale européenne de Meta étant basée en Irlande, ce devrait être à l'autorité de ce pays de se prononcer. Mais son homologue norvégienne évoque « un besoin urgent d'agir pour protéger les droits et libertés des personnes concernées » et s'appuie sur l'article 66 du RGPD pour prendre elle-même cette décision. « Si nous n'intervenons pas maintenant, les droits de la majorité des Norvégiens en matière de protection des données seront violés indéfiniment », affirme-t-elle dans son communiqué.
Elle prévient qu'elle pourrait évoquer le sujet lors d'une prochaine réunion du Comité européen de la protection des données après l'été. Il pourrait décider d'une prolongation des trois mois initiaux.
Enfin, l'autorité précise que Meta peut attaquer cette décision auprès de la Cour de District d'Oslo (Oslo tingrett).
Le 19 juillet 2023 à 06h52
Commentaires (20)
Le 19/07/2023 à 07h10
D’abord j’ai lu “l’interdiction temporaire du service de ciblage publicitaire comportemental”, je me suis dit : “Super, une CNIL est passée à l’action!”
Après j’ai lu “Elle a donc décidé d’interdire pendant trois mois ce service de ciblage publicitaire comportemental”, je me suis dit : “Ils veulent taper là où ça fait mal, c’est bien!”
Puis j’ai lu “ sous peine d’une amende coercitive d’un million de Couronnes norvégiennes (90 000 euros)”….
90k euros d’amende… on peut même pas appeler ça une broutille tellement c’est peu :-(
Le 19/07/2023 à 07h48
Traduction, il y a de l’eau dans le gaz entre les CNIL et les norvégiens forcent les irlandais à étudier le dossier avec célérité. La dernière décision de la CNIL irlandaise sur Facebook a laissé des traces.
Le 19/07/2023 à 08h09
C’est une mesure d’astreinte qui implique une amende 90.000 euros pour chaque jour qui ne respecte pas l’interdiction au delà du 04 août. A ce petit jeu là, ça peut quand même vite chiffrer.
Le 19/07/2023 à 08h28
Si ça avait été 90k€ par utilisateur, là ouais ça aurait été dissuasif.
Le 19/07/2023 à 08h42
Cette info aura permis de m’apprendre que le RGPD s’applique dans tout l’Espace économique européen (dont fait partie la Norvège), et pas uniquement dans l’UE (dont elle ne fait pas partie).
Merci, NextInpact.
Le 19/07/2023 à 09h13
Car ils l’ont accepté : les non membres de l’UE ne peuvent pas l’avoir voté
Le 19/07/2023 à 09h15
À l’origine, moi aussi ça me semblait peu, mais si on fait les multiplications, ça fait tout de même 2,7 millions par mois, donc 8,1 millions d’euros pour l’expérimentation de 3 mois. Ça commence à sortir du négligeable pour juste un pays. Imagine si les 29 autres font pareil, ça chiffrerait beaucoup !
Le 19/07/2023 à 10h11
ça me semble discutable… Même si l’utilisateur n’est pas très au fait des modes de financement des RS, il a consenti en validant les CGU et la politique de confidentialité…
Le 19/07/2023 à 10h36
Le consentement de traitement des données personnelles pour telle ou telle finalité doit être explicite et pas global. En plus, il doit être éclairé (donc le traitement et ses finalités doivent être décrits). La décision de la CJUE le rappelle.
Le 19/07/2023 à 10h33
Ce qui est intéressant ici, c’est que l’autorité de protection des données norvégienne appuis sa décision sur la récente décision de la Cour européenne de justice du 4 juillet dernier.
Celle-ci dit clairement que la publicité ciblée sur un service gratuit ne peut pas s’appuyer sur l’intérêt légitime ( f) du 1 de l’article 6 du RGPD) mais sur le consentement ( a)).
Ils disent que les intérêts ou les libertés et droits fondamentaux de la personne concernée prévalent dans ce cas l’intérêt légitime du fournisseur de service gratuit.
C’est une bombe atomique ! La plupart des services justifient le traitement de données personnelles pour faire de la publicité ciblée par leur intérêt légitime.
Il ne suffit donc plus de permettre de refuser ce traitement (certains formulaires permettent de décocher l’intérêt légitime) mais il faut que l’utilisateur accepte le traitement de ses données pour la publicité ciblée. Il ne doit donc pas être coché par défaut.
Le 19/07/2023 à 11h35
+1
Le 19/07/2023 à 10h37
AMHA : trop long pour “Le Brief”, conviendrait mieux à un article gratuit.
Sinon, merci :)
Le 19/07/2023 à 11h30
Je pense aussi que c’est long pour une brève.
Le 19/07/2023 à 11h00
+1
Le 19/07/2023 à 11h01
C’est 1ussi ce que j’ai directement pensé
Le 19/07/2023 à 11h58
Le 19/07/2023 à 12h28
Quand c’est trop court, ça râle, quand c’est plus long ça râle aussi, faudrait savoir :-P
Concernant la somme, c’est effectivement dérisoire par rapport au chiffre d’affaire de Meta (117 milliards en 2022), par contre, c’est probablement plus pour que les autres instances européennes se bougent le c.
Le 20/07/2023 à 12h19
Cher Bilbon,
Si je dis j’en ai marre des commentaires de personnes qui ne comprennent pas ce qu’elles lisent => je râle.
Si je dis A Mon Humble Avis, je soumet une opinion, je ne râle pas.
Ai-je le droit d’exprimer mon opinion sans râler tout en gardant un ton courtois?
Le 19/07/2023 à 12h43
Ils ont eux même écrit dans leur dernier billet de la semaine dernière qu’ils allaient migrer les longs briefs dans la section principale en articles gratuits, pour que ca fasse plus de news dans la section principale.
Celui là c’est un bon exemple.
Le 20/07/2023 à 19h17
On s’étonnait, cela étant dit, du manque de textes officiels (du type loi ou règlement ad hoc) permettant de soutenir ce réputé « intérêt ».
La légitimité ne relevant pas, quant à elle, du domaine de la convention écrite, on en retenait donc seulement du leitmotiv réel ou affulblé.
Ce qui est conforme à l’idée que la publicité n’est pas un contenu a priori cohérent avec le contenu de la page consultée.
Déclarer légitimes les ajouts sauvages de code pour faire du ping ou du cookie chez le surveillant attitré ou ses comparses n’est pas si conforme à la liberté qu’on pourrait le croire…