Le Comité européen de la protection des données (CEPD ou EDPB, de l'anglais European Data Protection Board, qui regroupe les CNIL européennes) a récemment émis un avis concernant le modèle de « Payer ou Consentir » mis en place par Meta, la maison mère de WhatsApp, Facebook et Instagram. Ce modèle permet aux utilisateurs de choisir entre deux options : accepter que leurs données personnelles soient collectées (et accéder aux plateformes « gratuitement ») ou payer un abonnement pour éviter d’être la cible de publicité ciblée.Soucieux de se plier aux règles européennes, Meta avait commencé en 2023 à proposer un abonnement à 9,99 € par mois pour Facebook et Instagram afin d’offrir une alternative aux financements via la collecte de données personnelles. Malheureusement pour l’entreprise, le CEPD estime que ce modèle n’est pas compatible avec le règlement européen sur les données personnelles (RGPD) « dans la majorité des cas ». Selon le comité, il ne sera pas possible pour les « grandes plateformes en ligne » de se conformer à l’exigence du RGPD du « consentement éclairé », si elles « confrontent les utilisateurs uniquement à un choix entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d’un abonnement ». En d’autres termes, le droit fondamental à la protection des données ne doit pas être transformé en fonctionnalité payante.
Le président du CEPD, Anu Talus, a déclaré: « Les plateformes en ligne devraient donner aux utilisateurs un véritable choix lorsqu’ils utilisent des modèles de consentement ou de paiement. Les modèles que nous avons aujourd’hui exigent généralement que les individus donnent toutes leurs données ou qu’ils paient. Par conséquent, la plupart des utilisateurs consentent au traitement afin d’utiliser un service, et ils ne comprennent pas toutes les implications de leurs choix.»
Le CEPD considère que le fait d’offrir uniquement une alternative payante aux services qui impliquent le traitement de données à caractère personnel à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement. Lors de l’élaboration de solutions de remplacement, les grandes plateformes en ligne devraient envisager de fournir aux particuliers une «alternative équivalente» qui n’entraîne pas le paiement d’une redevance. Si les responsables du traitement choisissent de facturer une redevance pour l’accès à la «alternative équivalente», ils devraient envisager de proposer une solution de remplacement supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de données à caractère personnel réduites ou nulles. Il s’agit d’un facteur particulièrement important dans l’évaluation du consentement valide en vertu du RGPD.
Le CEPD souligne que l’obtention du consentement ne dispense pas le responsable du traitement d’adhérer à tous les principes énoncés à l’article 5 du RGPD, tels que la limitation des finalités, la minimisation des données et l’équité. En outre, les grandes plateformes en ligne devraient également tenir compte du respect des principes de nécessité et de proportionnalité, et elles sont chargées de démontrer que leur traitement est généralement conforme au RGPD.
Envoyé par CEPD
Le CEPD rappelle que les données à caractère personnel ne peuvent être considérées comme une marchandise négociable et que les grandes plateformes en ligne doivent garder à l'esprit la nécessité d'éviter que le droit fondamental à la protection des données ne soit transformé en une fonctionnalité que les personnes concernées doivent payer pour en bénéficier. Par conséquent, l'offre d'une (seule) alternative payante au service qui inclut le traitement à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement. Au contraire, lors de l'élaboration de l'alternative à la version du service comportant de la publicité comportementale, les grandes plateformes en ligne devraient envisager de fournir aux personnes concernées une "alternative équivalente" qui n'implique pas le paiement d'une redevance (par exemple, en incluant une forme différente de publicité qui n'est pas de la publicité comportementale).
« Les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir »
En ce qui concerne la nécessité d’un consentement libre, il convient de tenir compte des critères suivants: conditionnalité, préjudice, déséquilibre du pouvoir et granularité. Par exemple, le CEPD souligne que les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir. Les responsables du traitement devraient évaluer, au cas par cas, à la fois si une redevance est appropriée et quel montant est approprié dans les circonstances. Les grandes plateformes en ligne devraient également examiner si la décision de ne pas consentir peut conduire l’individu à subir des conséquences négatives, telles que l’exclusion d’un service de premier plan, le manque d’accès aux réseaux professionnels ou le risque de perdre du contenu ou des connexions. Le CEPD note que des conséquences négatives sont susceptibles de se produire lorsque les grandes plateformes en ligne utilisent un modèle de «consentement ou de paiement» pour obtenir le consentement pour le traitement.
Les responsables du traitement doivent également évaluer, au cas par cas, s’il existe un déséquilibre de pouvoir entre l’individu et le responsable du traitement. Parmi les facteurs à évaluer figurent la position des grandes plateformes en ligne sur le marché, la mesure dans laquelle la personne dépend du service et le public principal du service.
En outre, le CEPD fournit des éléments permettant d’évaluer les critères de consentement éclairé, spécifique et sans ambiguïté que les grandes plateformes en ligne devraient prendre en compte lors de la mise en œuvre des modèles de «consentement ou de paiement».
Le président du CEPD, Anu Talus, a ajouté: «Les responsables du traitement doivent veiller à tout moment à éviter de transformer le droit fondamental à la protection des données en une fonctionnalité dont les particuliers doivent payer pour bénéficier. Les individus devraient être pleinement conscients de la valeur et des conséquences de leurs choix.»
Meta ne partage pas ce point de vue
Un porte-parole de Meta a déclaré : « L'année dernière, la Cour de justice de l'Union européenne a statué que le modèle d'abonnement est un moyen juridiquement valable pour les entreprises de demander le consentement des personnes pour la publicité personnalisée. L'avis rendu aujourd'hui par le CEPD ne modifie pas ce jugement et l'abonnement sans publicité est conforme à la législation de l'UE ».
Meta devrait poursuivre son dialogue avec la Commission irlandaise de protection des données, son principal régulateur dans l'UE. L'avis ne devrait pas avoir d'impact sur les services de Meta.
En novembre de l'année dernière, le groupe de défense de la vie privée noyb (None Of Your Business) a déposé une plainte auprès de l'autorité autrichienne de protection des données contre Meta pour avoir introduit le modèle d'abonnement.
À l'époque, Felix Mikolasch, avocat de noyb spécialisé dans la protection des données, avait déclaré : « La législation européenne exige que le consentement soit le fruit d'un véritable libre arbitre de l'utilisateur. Contrairement à cette loi, Meta facture des frais de protection de la vie privée allant jusqu'à 250 euros par an si quelqu'un ose exercer son droit fondamental à la protection des données ».
En février, des associations de consommateurs ont...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
