IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CEPD : le régulateur estime que le « payer ou accepter » de Meta incompatible avec le RGPD
Les plateformes ne devraient pas confronter les utilisateurs à un « choix binaire » sur l'utilisation des données

Le , par Stéphane le calme

16PARTAGES

5  0 
Le Comité européen de la protection des données (CEPD ou EDPB, de l'anglais European Data Protection Board, qui regroupe les CNIL européennes) a récemment émis un avis concernant le modèle de « Payer ou Consentir » mis en place par Meta, la maison mère de WhatsApp, Facebook et Instagram. Ce modèle permet aux utilisateurs de choisir entre deux options : accepter que leurs données personnelles soient collectées (et accéder aux plateformes « gratuitement ») ou payer un abonnement pour éviter d’être la cible de publicité ciblée.

Soucieux de se plier aux règles européennes, Meta avait commencé en 2023 à proposer un abonnement à 9,99 € par mois pour Facebook et Instagram afin d’offrir une alternative aux financements via la collecte de données personnelles. Malheureusement pour l’entreprise, le CEPD estime que ce modèle n’est pas compatible avec le règlement européen sur les données personnelles (RGPD) « dans la majorité des cas ». Selon le comité, il ne sera pas possible pour les « grandes plateformes en ligne » de se conformer à l’exigence du RGPD du « consentement éclairé », si elles « confrontent les utilisateurs uniquement à un choix entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d’un abonnement ». En d’autres termes, le droit fondamental à la protection des données ne doit pas être transformé en fonctionnalité payante.

Le président du CEPD, Anu Talus, a déclaré: « Les plateformes en ligne devraient donner aux utilisateurs un véritable choix lorsqu’ils utilisent des modèles de consentement ou de paiement. Les modèles que nous avons aujourd’hui exigent généralement que les individus donnent toutes leurs données ou qu’ils paient. Par conséquent, la plupart des utilisateurs consentent au traitement afin d’utiliser un service, et ils ne comprennent pas toutes les implications de leurs choix.»

Le CEPD considère que le fait d’offrir uniquement une alternative payante aux services qui impliquent le traitement de données à caractère personnel à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement. Lors de l’élaboration de solutions de remplacement, les grandes plateformes en ligne devraient envisager de fournir aux particuliers une «alternative équivalente» qui n’entraîne pas le paiement d’une redevance. Si les responsables du traitement choisissent de facturer une redevance pour l’accès à la «alternative équivalente», ils devraient envisager de proposer une solution de remplacement supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de données à caractère personnel réduites ou nulles. Il s’agit d’un facteur particulièrement important dans l’évaluation du consentement valide en vertu du RGPD.

Le CEPD souligne que l’obtention du consentement ne dispense pas le responsable du traitement d’adhérer à tous les principes énoncés à l’article 5 du RGPD, tels que la limitation des finalités, la minimisation des données et l’équité. En outre, les grandes plateformes en ligne devraient également tenir compte du respect des principes de nécessité et de proportionnalité, et elles sont chargées de démontrer que leur traitement est généralement conforme au RGPD.

Citation Envoyé par CEPD
Le CEPD rappelle que les données à caractère personnel ne peuvent être considérées comme une marchandise négociable et que les grandes plateformes en ligne doivent garder à l'esprit la nécessité d'éviter que le droit fondamental à la protection des données ne soit transformé en une fonctionnalité que les personnes concernées doivent payer pour en bénéficier. Par conséquent, l'offre d'une (seule) alternative payante au service qui inclut le traitement à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement. Au contraire, lors de l'élaboration de l'alternative à la version du service comportant de la publicité comportementale, les grandes plateformes en ligne devraient envisager de fournir aux personnes concernées une "alternative équivalente" qui n'implique pas le paiement d'une redevance (par exemple, en incluant une forme différente de publicité qui n'est pas de la publicité comportementale).

« Les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir »

En ce qui concerne la nécessité d’un consentement libre, il convient de tenir compte des critères suivants: conditionnalité, préjudice, déséquilibre du pouvoir et granularité. Par exemple, le CEPD souligne que les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir. Les responsables du traitement devraient évaluer, au cas par cas, à la fois si une redevance est appropriée et quel montant est approprié dans les circonstances. Les grandes plateformes en ligne devraient également examiner si la décision de ne pas consentir peut conduire l’individu à subir des conséquences négatives, telles que l’exclusion d’un service de premier plan, le manque d’accès aux réseaux professionnels ou le risque de perdre du contenu ou des connexions. Le CEPD note que des conséquences négatives sont susceptibles de se produire lorsque les grandes plateformes en ligne utilisent un modèle de «consentement ou de paiement» pour obtenir le consentement pour le traitement.

Les responsables du traitement doivent également évaluer, au cas par cas, s’il existe un déséquilibre de pouvoir entre l’individu et le responsable du traitement. Parmi les facteurs à évaluer figurent la position des grandes plateformes en ligne sur le marché, la mesure dans laquelle la personne dépend du service et le public principal du service.

En outre, le CEPD fournit des éléments permettant d’évaluer les critères de consentement éclairé, spécifique et sans ambiguïté que les grandes plateformes en ligne devraient prendre en compte lors de la mise en œuvre des modèles de «consentement ou de paiement».

Le président du CEPD, Anu Talus, a ajouté: «Les responsables du traitement doivent veiller à tout moment à éviter de transformer le droit fondamental à la protection des données en une fonctionnalité dont les particuliers doivent payer pour bénéficier. Les individus devraient être pleinement conscients de la valeur et des conséquences de leurs choix.»


Meta ne partage pas ce point de vue

Un porte-parole de Meta a déclaré : « L'année dernière, la Cour de justice de l'Union européenne a statué que le modèle d'abonnement est un moyen juridiquement valable pour les entreprises de demander le consentement des personnes pour la publicité personnalisée. L'avis rendu aujourd'hui par le CEPD ne modifie pas ce jugement et l'abonnement sans publicité est conforme à la législation de l'UE ».

Meta devrait poursuivre son dialogue avec la Commission irlandaise de protection des données, son principal régulateur dans l'UE. L'avis ne devrait pas avoir d'impact sur les services de Meta.

En novembre de l'année dernière, le groupe de défense de la vie privée noyb (None Of Your Business) a déposé une plainte auprès de l'autorité autrichienne de protection des données contre Meta pour avoir introduit le modèle d'abonnement.

À l'époque, Felix Mikolasch, avocat de noyb spécialisé dans la protection des données, avait déclaré : « La législation européenne exige que le consentement soit le fruit d'un véritable libre arbitre de l'utilisateur. Contrairement à cette loi, Meta facture des frais de protection de la vie privée allant jusqu'à 250 euros par an si quelqu'un ose exercer son droit fondamental à la protection des données ».

En février, des associations de consommateurs ont déposé leur propre plainte pour empêcher Meta de donner aux utilisateurs de l'UE un « faux choix » entre l'offre d'abonnement et l'acceptation d'être profilés et suivis par le biais de la collecte de données.

Les plaintes déposées par huit membres du Bureau européen des unions de consommateurs (BEUC) se fondent sur le règlement général sur la protection des données (RGPD) de l'UE. Ils affirment que le modèle de paiement ou de consentement de Meta enfreint les principes de protection des données de la loi, notamment les principes de limitation de la finalité, de minimisation des données, de traitement équitable et de transparence, ledit traitement permettant à l'entreprise de « déduire des détails privés sur le consommateur ».

Conclusion

Meta pourrait donc être contrainte de revoir son modèle économique en Europe. Le CEPD souligne que les plateformes doivent donner un « véritable choix entre le consentement ou non » à un service comportant de la publicité comportementale, évoquant par exemple une forme de publicité n’exploitant « ;peu (ou pas) de données personnelles ;».

Dans le contexte des modèles de "consentement ou paiement" exploités par les grandes plateformes en ligne, le CEPD souligne la nécessité pour les responsables du traitement de se conformer à toutes les exigences du RGPD, en particulier les exigences relatives à un consentement valide, telles que décrites dans le présent avis, tout en évaluant les spécificités de chaque cas.

Il convient de conclure que, dans la plupart des cas, les grandes plateformes en ligne ne pourront pas se conformer aux exigences en matière de consentement valable si elles ne proposent aux utilisateurs qu'un choix binaire entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance.
Cette décision pourrait avoir des implications importantes pour les utilisateurs et les entreprises qui opèrent sur ces plateformes. Le débat entre protection des données et modèles économiques reste complexe, mais il est essentiel de trouver un équilibre qui respecte les droits des utilisateurs tout en permettant aux entreprises de prospérer

Sources : CEPD, plainte de noyb

Et vous ?

Pensez-vous que le modèle « Payer ou Consentir » de Meta respecte le principe du consentement éclairé tel que défini par le RGPD ?
Comment les utilisateurs peuvent-ils exercer un véritable choix concernant l’utilisation de leurs données personnelles sur les plateformes en ligne ?
Quelles alternatives suggéreriez-vous pour équilibrer la protection des données personnelles et les modèles économiques des plateformes en ligne ?
Le droit à la protection des données doit-il être considéré comme un service premium ou un droit fondamental inaliénable ?
Quel impact la décision du CEPD pourrait-elle avoir sur l’expérience utilisateur et les affaires des entreprises opérant en Europe ?
Comment les régulateurs devraient-ils aborder les modèles économiques des entreprises qui semblent être en conflit avec les lois sur la protection des données ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de crazyyann
Membre du Club https://www.developpez.com
Le 19/04/2024 à 8:37
Bonne nouvelle pour les utilisateurs de Facebook mais y a une différence avec ce que font d'autres sites depuis plusieurs années (Allociné, le Monde, jeuxvideo.com)?
3  0 
Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 04/07/2024 à 9:26
C'est une excellente nouvelle vu combien Meta s'en met plein les fouilles en volant et exploitant les données personnelles des internautes consentants ou non y compris des internautes n'utilisant pas les services de Meta

en vertu du RGPD, les utilisateurs doivent être libres de refuser individuellement de donner leur consentement à des traitements de données particuliers qui ne sont pas nécessaires pour que Meta puisse fournir ces services, sans être obligés de s'abstenir complètement d'utiliser le service. Ces utilisateurs doivent se voir proposer, moyennant une redevance appropriée si nécessaire, un service approprié.
et si je comprend bien, la conclusion de la commission européenne fait que certains sites comme marmiton qui obligent payer si on refuse les cookies permettant l'exploitation des données personnelles sont donc dans l'illégalité également
3  0 
Avatar de Bigb
Membre averti https://www.developpez.com
Le 04/07/2024 à 14:29

Excellente nouvelle pour les utilisateurs européens ! Ce modèle de "pay or consent" est une stratégie pour Meta de rester dans un statu quo. Mais Personne n'est dupe !

On attend la conclusion de la Commission Européenne concernant le DMA avec impatience !
2  0 
Avatar de shenron666
Expert confirmé https://www.developpez.com
Le 05/07/2024 à 17:54
Citation Envoyé par fmartini Voir le message
Comme tous les sites du groupe Webedia et leurs fameux Cookies Wall. C'est effectivement pas très CNIL-Friendly. Toutefois, le sujet est assez "compliqué"..
si la conclusion de la Commission Européenne contre Meta venait à être validée et enterrinée ; ce qui n'est pas encore le cas ; elle pourrait contrer la décision du conseil d'état qui devrait alors se conformer à son tour et ce serait la fin des cookie walls.
2  0 
Avatar de
https://www.developpez.com
Le 05/07/2024 à 9:18
Citation Envoyé par shenron666 Voir le message
C'est une excellente nouvelle vu combien Meta s'en met plein les fouilles en volant et exploitant les données personnelles des internautes consentants ou non y compris des internautes n'utilisant pas les services de Meta

et si je comprend bien, la conclusion de la commission européenne fait que certains sites comme marmiton qui obligent payer si on refuse les cookies permettant l'exploitation des données personnelles sont donc dans l'illégalité également
Comme tous les sites du groupe Webedia et leurs fameux Cookies Wall. C'est effectivement pas très CNIL-Friendly. Toutefois, le sujet est assez "compliqué"..

[SPOILER][/SPOILER]
1  0 
Avatar de air-dex
Membre expert https://www.developpez.com
Le 19/04/2024 à 14:37
Merci Meta de réveiller les instances gouvernementales sur cet abus, afin qu'elles interdisent ce "Pay or Okay".

Si Meta y va c'est aussi parce que beaucoup de petits acteurs (de la presse pour beaucoup) y sont allés et qu'on les a laissé faire. Donc pourquoi pas eux aussi après tout ? On a laissé faire et il faut que ça cesse.
0  0 
Avatar de orfraie
Membre régulier https://www.developpez.com
Le 28/04/2024 à 12:41
Le problème, c'est que le modèle très rentable de pubilicité ciblée s'est installé avant que les puissances publiques s'inquiètent de la protection des données personnelles des citoyens.
Ce modèle rapporte de manière annuelle des sommes énormes aux opérateurs. Pour eux, appliquer, de bonne foi, le consentement , c'est accepter de diffuser des publicités non ciblées beaucoup moins rémunératrices. Par "beaucoup moins" , il faut comprendre que cela ne couvre plus les exigences de leurs parties prenantes (Salariés, actionnaires, R&D, achats).
Essayer de disputer un bout de viande à une chatte, si elle voit qu'elle n'est pas en position de l'obtenir sans dommage, elle lâchera le morceau, Faites de même avec ses chatons, la chatte ne reculera pas. Les sites qui pratiquent le "pay-or-okay" voient leurs publicités ciblées comme leur chatons.
Malheureusement pour les citoyens, la puissance publique s'est auto castrée dans la première phrase de son réglement. Pour rappel "Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
La libre circulation des données est un des problèmes, Le mot libre signifie que les contrôleurs (au sens du réglement) ont le droit de faire circuler ces données en restant dans le cadre du RGPD.

D'autres problèmes sont les formulations dans le réglement . Pour illustrer le feed ci dessus sur les centaines de contributeurs , prenez l'art 15.1.g qui dit " g) lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;" Cela autorise le contrôleur du traitement à décider de ce qui est disponible ou pas. Autre exemple dans le préambule 62 qui dit que "....la communication d'informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. "
Cela autorise le contrôleur a décidé si l'effort est proportionné

La puissance publique européenne n'a pas voulu faire le sacrifice de l'avantage compétitif de cette libre circulation tout en laissant ce bénéfice aux acteurs NON européens. Quelqu'un doit payer cette marge de manoeuvre, c'est nous. Et ne croyons pas qu'à l'inverse , nous serions non pénalisés, la chute de compétitivité est aussi une forme de paiement.

Côté IA , c'est pire, avec le RGPD nous avons un réglement ==> tu te tais et tu appliques.Avec l'IA Act , c'est une directive çàd du droit "mou",==> chaque état ré-implante à sa sauce et où la jurisprudence ne contrôlera plus rien globalement (contrairement au RGPD)

Maintenant le prix, vous faites une recherche Google lambda, comme la plupart d'entre nous le fait quotidiennement. Vous cliquez sur un lien qui vous amène sur un CookiesWall, Il faudrait payer ? Pourquoi pas, mais prendre un abonnement récurrent pour ne jamais revisiter ce site, ce n'est pas acceptable.
Idée ? Accès libre pour une consultation unique par interval de temps, après si comme nous l'avons vu , on en peut plus s'y opposer durablement, si on y revient régulièrement, on devra discuter. Pour mémoire , le "Pay-or-Okay" a été déjà beaucoup validé par les autorités de contrôle UE. Certes, ça va discuter en back office , mais la bataille est déjà perdue pour le citoyen.
0  0