Le RGPD prévoit six bases légales pour le traitement des données personnelles. Dans l'affaire Meta contre Bundeskartellamt, la CJUE s'est prononcée aujourd'hui sur chacune d'entre elles, clarifiant ainsi l'interprétation du RGPD. La CJUE a largement interdit à Meta d'utiliser des données à caractère personnel au-delà de ce qui est strictement nécessaire pour fournir les produits de base (tels que la messagerie ou le partage de contenu). Tous les autres traitements (comme la publicité et le partage de données à caractère personnel) requièrent le consentement libre et valable des utilisateurs.
Cette première déclaration est basée sur la retransmission en direct du jugement et sur le communiqué de presse de la CJUE. Elle sera mise à jour dès que le texte intégral du jugement sera disponible.
Première déclaration. noyb doit encore étudier les détails de cet arrêt massif. D'après la lecture en direct de l'arrêt, il semble que Meta/Facebook n'ait plus le droit d'utiliser autre chose que le consentement pour les opérations cruciales sur lesquelles il s'appuie pour faire des profits en Europe.
Max Schrems : "Nous nous félicitons de la décision de la CJUE. Elle clarifie davantage le fait que Meta ne peut pas simplement contourner le RGPD avec quelques paragraphes dans ses documents juridiques. Cela signifie que Meta doit obtenir un consentement approprié et ne peut pas utiliser sa position dominante pour forcer les gens à accepter des choses qu'ils ne veulent pas. Cela aura également un impact positif sur le litige en cours entre noyb et Meta en Irlande".
Meta voulait "contourner" le RGPD. L'article 6, paragraphe 1, du RGPD prévoit six bases juridiques pour le traitement des données, dont l'une est le consentement au titre de l'article 6, paragraphe 1, point (a). Mais Meta voulait contourner l'obligation de consentement par le biais des cinq autres bases juridiques. La CJUE les a toutes traitées, citant l'article 6, paragraphe 1, point (a), jusqu'au point (f) dans son arrêt. Meta a principalement tenté de contourner l'obligation de consentement pour le suivi et la publicité en ligne en faisant valoir que les publicités font partie du "service" qu'elle doit contractuellement aux utilisateurs. Le prétendu changement de base juridique a eu lieu exactement le 25 mai 2018 à minuit, date d'entrée en vigueur du RGPD. La "nécessité contractuelle" visée à l'article 6, paragraphe 1, point (b), est généralement comprise de manière étroite et permettrait, par exemple, à une boutique en ligne de transmettre l'adresse à un service postal, car cela est strictement nécessaire à la livraison d'une commande. Meta a toutefois estimé qu'elle pouvait simplement ajouter des éléments aléatoires au contrat (tels que des publicités personnalisées), afin d'éviter que les utilisateurs n'aient à donner leur consentement par oui ou par non.
Max Schrems : "Au lieu d'avoir une option 'oui/non' pour les publicités personnalisées, ils ont simplement déplacé la clause de consentement dans les termes et conditions. Ce n'est pas seulement injuste, c'est aussi clairement illégal. Nous n'avons connaissance d'aucune autre entreprise qui ait tenté d'ignorer le RGPD de manière aussi arrogante."
Le recours de Meta à l'"intérêt légitime" a également échoué. Après la décision de l'EDPB, interdisant le "contournement" en vertu de l'article 6, paragraphe 1, point b), Meta est passé à l'article 6, paragraphe 1, point f), du RGPD ce printemps. La CJUE semble également balayer les espoirs de Meta de passer simplement à un soi-disant "intérêt légitime" pour la publicité en vertu de l'article 6, paragraphe 1, point f), du RGPD. Bien que la CJUE n'ait pas exclu l'existence d'un intérêt légitime (par exemple pour la sécurité du réseau), le jugement clarifie qu'il n'y a pas d'"intérêt légitime" qui l'emporterait sur les droits des utilisateurs lorsque les contrôleurs tentent de fournir de la publicité. Cela empêche fondamentalement tout contrôleur de l'UE de diffuser de la publicité autrement que sur la base d'un consentement librement donné (oui/non).
Max Schrems : "C'est un coup dur pour Meta, mais aussi pour les autres sociétés de publicité en ligne. Elle clarifie le fait que les diverses théories juridiques utilisées par l'industrie pour contourner le RGPD sont nulles et non avenues".
Sources : CJUE, Noyb
Et vous ?
Que pensez-vous de cette déclaration ?
Voir aussi :
L'Autorité norvégienne de protection des données prend position contre Google Analytics
Estimant à son tour que son utilisation est « en violation des règles de transfert du RGPD »
Meta condamné à une amende de plus de 400 M$ en Irlande pour avoir utilisé les données personnelles à des fins publicitaires,
La société est sommée de revoir son processus de collecte de données
Meta a prévenu qu'elle pourrait quitter l'Europe
Et les mécanismes de partage des données apparus après les révélations d'espionnage de Snowden sont au cœur du problème