L'autorité de protection des données norvégienne, la Datatilsynet, a annoncé lundi l'interdiction temporaire du service de ciblage publicitaire comportemental de Meta « basé sur la surveillance des utilisateurs » en Norvège, considérant qu'il est « illégal ».
L'autorité explique dans son communiqué que « Meta suit en détail l'activité des utilisateurs de ses plateformes Facebook et Instagram. Les utilisateurs sont profilés en fonction de l'endroit où ils se trouvent, du type de contenu auquel ils s'intéressent et de ce qu'ils publient, entre autres ». Elle ajoute que « ces profils personnels sont utilisés à des fins marketing, ce que l'on appelle la publicité comportementale ».
Ce profilage par Meta ne respecterait pas, selon elle, le RGPD.
La Datatilsynet appuie sa décision [PDF] sur celles [PDF concernant Facebook, PDF concernant Instagram] de la commission de protection des données irlandaise (Data protection commisssion, DPC) du 31 décembre dernier qui considéraient ce ciblage contraire au RGPD.
Si Meta a effectué quelques modifications, l'autorité norvégienne pointe la récente décision de la Cour européenne de justice du 4 juillet dernier qui relève que « malgré la gratuité des services d’un réseau social en ligne tel que Facebook, l’utilisateur de celui-ci ne saurait raisonnablement s’attendre à ce que, sans son consentement, l’opérateur de ce réseau social traite les données à caractère personnel de cet utilisateur à des fins de personnalisation de la publicité. Dans ces conditions, il doit être considéré que les intérêts et les droits fondamentaux d’un tel utilisateur prévalent sur l’intérêt de cet opérateur à une telle personnalisation de la publicité par laquelle il finance son activité, de sorte que le traitement effectué par celui-ci à de telles fins ne saurait relever de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD ».
Dans sa décision, la Datatilsynet précise : « après avoir soigneusement évalué les éléments de preuve disponibles, nous sommes parvenus à la conclusion que Meta n'a pas mis ses opérations de traitement en conformité avec l'article 6, paragraphe 1, du RGPD comme demandé ».
Elle a donc décidé d'interdire pendant trois mois ce service de ciblage publicitaire comportemental à partir du 4 août, sous peine d'une amende coercitive d'un million de Couronnes norvégiennes (90 000 euros) par jour. L'autorité précise que cette décision s'applique seulement pour les utilisateurs se situant en Norvège et sera caduque dès que Meta pourra prouver sa conformité à la loi.
Alors que 82 % des Norvégiens adultes ont un compte Facebook et 65 % un compte Instagram, l'autorité précise que ce ne sont pas ces plateformes qui sont interdites en tant que telles, mais bien le ciblage publicitaire comportemental sans le consentement tacite de l'utilisateur.
La filiale européenne de Meta étant basée en Irlande, ce devrait être à l'autorité de ce pays de se prononcer. Mais son homologue norvégienne évoque « un besoin urgent d'agir pour protéger les droits et libertés des personnes concernées » et s'appuie sur l'article 66 du RGPD pour prendre elle-même cette décision. « Si nous n'intervenons pas maintenant, les droits de la majorité des Norvégiens en matière de protection des données seront violés indéfiniment », affirme-t-elle dans son communiqué.
Elle prévient qu'elle pourrait évoquer le sujet lors d'une prochaine réunion du Comité européen de la protection des données après l'été. Il pourrait décider d'une prolongation des trois mois initiaux.
Enfin, l'autorité précise que Meta peut attaquer cette décision auprès de la Cour de District d'Oslo (Oslo tingrett).
Commentaires