Meta a provisionné 3 milliards d'euros en prévision de trois amendes visant Facebook, WhatsApp et Instagram qui pourraient dépasser 2 milliards d'euros, relève Politico.
Le Comité européen à la protection des données (CEPD, composé de représentants des 27 autorités nationales de protection des données des pays membres de l'UE) vient en effet d'adopter trois décisions, qu’elle n’a pas encore rendues publiques, dans le cadre de la procédure de règlement des litiges (article 65 du RGPD) concernant les plateformes du groupe Meta.
Ces « décisions contraignantes » répondent à des questions juridiques importantes sur des projets de décisions de l’autorité de protection des données irlandaise en tant qu'autorité chef de file concernant les plateformes de Meta, précise la CNIL, qui a traduit le communiqué du CEPD en français :
« Les projets de décisions concernant Facebook et Instagram portent notamment sur la licéité et la transparence des traitements à des fins de publicité comportementale. Le projet de décision concernant WhatsApp porte quant à lui sur la licéité du traitement aux fins de l'amélioration des services. »
La CNIL et plusieurs autres autorités de protection, en désaccord avec l’analyse de l’autorité irlandaise, avaient émis des objections sur les projets de décisions préparés par l'autorité irlandaise :
« Comme l'autorité de protection des données irlandaise a estimé que ces objections n'étaient pas pertinentes et/ou motivées, le CEPD a été appelé à régler le différend entre les autorités de protection des données européennes dans un délai de deux mois. »
L'autorité irlandaise a un mois pour tenir compte de l'évaluation juridique du CEPD et adopter ses trois décisions finales. Politico estime que, au-delà même du montant faramineux des amendes, elles pourraient faire exploser le « business model » de Meta en Europe :
« Les décisions font suite à des plaintes déposées par l'activiste autrichien Max Schrems, qui accuse la société de ne pas avoir de motifs légaux appropriés pour traiter les données de millions d'Européens. Si les décisions finales invalident l'argument de Meta selon lequel elle traite les données dans le cadre d'un contrat avec les utilisateurs, la société devra chercher une autre base juridique pour son modèle de ciblage publicitaire fondé sur les données. »
Dans son projet de décision, publié l'an passé, la commission irlandaise avait en effet « largement soutenu l'argument de Meta selon lequel elle pouvait prétendre avoir besoin de données pour remplir un "contrat" avec ses utilisateurs afin de leur fournir des publicités personnalisées », souligne Politico.
L'autorité irlandaise avait également été la seule à voter « contre les lignes directrices de l'UE qui interdisaient aux entreprises d'utiliser la base juridique du contrat pour utiliser les données afin de cibler les publicités », relève en outre Politico.
Ce qui l'avait placé en minorité, et en porte-à-faux, avec de nombreuses autres autorités européennes. Notre confrère s'était ainsi procuré un document de l'autorité norvégienne qui estimait que l'interprétation irlandaise rendrait la législation européenne sur la protection des données « inutile ».
Commentaires (13)
#1
Pourquoi n’est ce pas étonnant ?
Manipuler de la donnée personnelle aujourd’hui revient à jongler avec des bouteilles de nitroglycérine.
#1.1
Tu veux dire qu’il faudrait plaindre meta ?
#1.2
Nan, ils jouent avec le feu, faut bien qu’il s’attendent à se brûler les doigts.
C’est normal d’autant plus qu’ils abordent la confidentialité en mode business à l’américaine.
#2
Ah mince… Tout ce lobbying acharné de Meta pour
corrompre- convaincre les autorités irlandaises rendu inutile !#3
Sans max, on serait vraiment très loin là bas…
Merci à sa pugnacité !
#4
Comment je vois les choses (vu de l’Europe)…
#4.1
Mouais.
Si tu vas dans ce sens, tu dois mettre la même chose en remplaçant “RGPD” par “DATA”, et mettre un échelle de taille disproportionnée pour cette 2ème.
Quand tu voies le bénéfice que se font tous les sociétés rien qu’avec les données des clients.
#5
Dans mes souvenirs la CNIL irlandaise c’est genre 3 personnes qui ne font rien de leur journée sinon recracher ce que, par exemple dans le cas présent, Meta leur aurait fourni.
Il me semble qu’il y avait un article ici qui en parlait.
#6
J’ai de plus en plus l’impression que pour les gafa les amendes sont les nouveaux impôts. Je gagne 10 milliard, de manière illégale (en sachant pertinemment que c’est illégal), j’en donne deux en amende et je garde le reste. C’est gagnant gagnant sauf pour l’utilisateur !
#7
Sauf que collecter les données des clients et les valoriser ca a nécessité des investissements.
Le RGPD a été instauré bien après que les GAFAM aient bâtis un partie de leur business-model sur la valorisation des bases d’utilisateurs. En particulier leurs classifications suivant différents critères pour vendre du ciblage aux annonceurs (d’où la collecte de données).
Bref, pour moi c’est un jackpot aléatoire sur les GAFAM. Ca peut tomber à tout moment, donc les entreprises créent un fond pour payer l’amende au cas où. Adblock et autres extensions me paraissent faire un bien meilleur bouclier que le règlement européen.
Parce que coté utilisateur, je ne me sens pas du tout mieux/moins protégé par un cookie-wall, un formulaire de consentement à collecter des données, ou l’adresse de contact d’un DPO.
#7.1
Ben c’est pas parce-que le droit autour de la protection des données personnelles se construit lentement et parfois de façon contestable que le concept même de réglementation juridique est à jeter. Non ?
#8
Si la collecte de données perso est une chose tellement intolérable, la sentence logique devrait être l’interdiction totale du site en Europe (=filtrage) jusqu’à ce que le site ait réglé le problème.
C’est ce que l’UE a fait pour les sites de fakenews russes en moins de 5 jours. Donc qu’on ne me dise pas que c’est impossible.
Là j’ai l’impression que l’UE cherche surtout a récupérer du pognon mais sans trop taper sur le site pour ne pas tuer la poule aux oeufs d’or. Un peu le principe des radars automobiles: le dépassement de vitesse limite c’est hyper-dangereux, ca tue des enfants par milliers. Mais si on vous choppe et que vous payez 135 euros vous pouvez continuer a rouler.
#8.1
L’objet du RGPD n’est pas de dire que la collecte de données personnelles est une chose intolérable et devrait être interdite, mais d’imposer un cadre, responsabiliser ceux qui le font et permettre aux personnes d’exercer des droits dessus.
Tu dis par exemple que tu ne te sens pas “protégé” par l’adresse de contact d’un DPO, mais c’est pourtant auprès de lui que tu tu peux exercer tes droits et il a un délai légal pour te répondre. Et pour l’avoir fait plus d’une fois, de mon point de vue, ça marche. Ca m’a permis d’avoir été mis en relation avec des courtiers en données pour demander l’effacement et l’opposition au démarchage. Et obtenir une copie les données me concernant qu’ils avaient en leur possession.
C’est pas forcément parfait ou la solution ultime (ça n’existe pas), mais perso je trouve que ça a été une très bonne avancée.