CEPD : le régulateur estime que le « payer ou accepter » de Meta incompatible avec le RGPD

Les plateformes ne devraient pas confronter les utilisateurs à un « choix binaire » sur l'utilisation des données

Le Comité européen de la protection des données (CEPD ou EDPB, de l'anglais European Data Protection Board, qui regroupe les CNIL européennes) a récemment émis un avis concernant le modèle de « Payer ou Consentir » mis en place par Meta, la maison mère de WhatsApp, Facebook et Instagram. Ce modèle permet aux utilisateurs de choisir entre deux options : accepter que leurs données personnelles soient collectées (et accéder aux plateformes « gratuitement ») ou payer un abonnement pour éviter d’être la cible de publicité ciblée.

Soucieux de se plier aux règles européennes, Meta avait commencé en 2023 à proposer un abonnement à 9,99 € par mois pour Facebook et Instagram afin d’offrir une alternative aux financements via la collecte de données personnelles. Malheureusement pour l’entreprise, le CEPD estime que ce modèle n’est pas compatible avec le règlement européen sur les données personnelles (RGPD) « dans la majorité des cas ». Selon le comité, il ne sera pas possible pour les « grandes plateformes en ligne » de se conformer à l’exigence du RGPD du « consentement éclairé », si elles « confrontent les utilisateurs uniquement à un choix entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d’un abonnement ». En d’autres termes, le droit fondamental à la protection des données ne doit pas être transformé en fonctionnalité payante.

Le président du CEPD, Anu Talus, a déclaré: « Les plateformes en ligne devraient donner aux utilisateurs un véritable choix lorsqu’ils utilisent des modèles de consentement ou de paiement. Les modèles que nous avons aujourd’hui exigent généralement que les individus donnent toutes leurs données ou qu’ils paient. Par conséquent, la plupart des utilisateurs consentent au traitement afin d’utiliser un service, et ils ne comprennent pas toutes les implications de leurs choix.»

Le CEPD considère que le fait d’offrir uniquement une alternative payante aux services qui impliquent le traitement de données à caractère personnel à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement. Lors de l’élaboration de solutions de remplacement, les grandes plateformes en ligne devraient envisager de fournir aux particuliers une «alternative équivalente» qui n’entraîne pas le paiement d’une redevance. Si les responsables du traitement choisissent de facturer une redevance pour l’accès à la «alternative équivalente», ils devraient envisager de proposer une solution de remplacement supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de données à caractère personnel réduites ou nulles. Il s’agit d’un facteur particulièrement important dans l’évaluation du consentement valide en vertu du RGPD.

Le CEPD souligne que l’obtention du consentement ne dispense pas le responsable du traitement d’adhérer à tous les principes énoncés à l’article 5 du RGPD, tels que la limitation des finalités, la minimisation des données et l’équité. En outre, les grandes plateformes en ligne devraient également tenir compte du respect des principes de nécessité et de proportionnalité, et elles sont chargées de démontrer que leur traitement est généralement conforme au RGPD.


« Les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir »

En ce qui concerne la nécessité d’un consentement libre, il convient de tenir compte des critères suivants: conditionnalité, préjudice, déséquilibre du pouvoir et granularité. Par exemple, le CEPD souligne que les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir. Les responsables du traitement devraient évaluer, au cas par cas, à la fois si une redevance est appropriée et quel montant est approprié dans les circonstances. Les grandes plateformes en ligne devraient également examiner si la décision de ne pas consentir peut conduire l’individu à subir des conséquences négatives, telles que l’exclusion d’un service de premier plan, le manque d’accès aux réseaux professionnels ou le risque de perdre du contenu ou des connexions. Le CEPD note que des conséquences négatives sont susceptibles de se produire lorsque les grandes plateformes en ligne utilisent un modèle de «consentement ou de paiement» pour obtenir le consentement pour le traitement.

Les responsables du traitement doivent également évaluer, au cas par cas, s’il existe un déséquilibre de pouvoir entre l’individu et le responsable du traitement. Parmi les facteurs à évaluer figurent la position des grandes plateformes en ligne sur le marché, la mesure dans laquelle la personne dépend du service et le public principal du service.

En outre, le CEPD fournit des éléments permettant d’évaluer les critères de consentement éclairé, spécifique et sans ambiguïté que les grandes plateformes en ligne devraient prendre en compte lors de la mise en œuvre des modèles de «consentement ou de paiement».

Le président du CEPD, Anu Talus, a ajouté: «Les responsables du traitement doivent veiller à tout moment à éviter de transformer le droit fondamental à la protection des données en une fonctionnalité dont les particuliers doivent payer pour bénéficier. Les individus devraient être pleinement conscients de la valeur et des conséquences de leurs choix.»


Meta ne partage pas ce point de vue

Un porte-parole de Meta a déclaré : « L'année dernière, la Cour de justice de l'Union européenne a statué que le modèle d'abonnement est un moyen juridiquement valable pour les entreprises de demander le consentement des personnes pour la publicité personnalisée. L'avis rendu aujourd'hui par le CEPD ne modifie pas ce jugement et l'abonnement sans publicité est conforme à la législation de l'UE ».

Meta devrait poursuivre son dialogue avec la Commission irlandaise de protection des données, son principal régulateur dans l'UE. L'avis ne devrait pas avoir d'impact sur les services de Meta.

En novembre de l'année dernière, le groupe de défense de la vie privée noyb (None Of Your Business) a déposé une plainte auprès de l'autorité autrichienne de protection des données contre Meta pour avoir introduit le modèle d'abonnement.

À l'époque, Felix Mikolasch, avocat de noyb spécialisé dans la protection des données, avait déclaré : « La législation européenne exige que le consentement soit le fruit d'un véritable libre arbitre de l'utilisateur. Contrairement à cette loi, Meta facture des frais de protection de la vie privée allant jusqu'à 250 euros par an si quelqu'un ose exercer son droit fondamental à la protection des données ».

En février, des associations de consommateurs ont déposé leur propre plainte pour empêcher Meta de donner aux utilisateurs de l'UE un « faux choix » entre l'offre d'abonnement et l'acceptation d'être profilés et suivis par le biais de la collecte de données.

Les plaintes déposées par huit membres du Bureau européen des unions de consommateurs (BEUC) se fondent sur le règlement général sur la protection des données (RGPD) de l'UE. Ils affirment que le modèle de paiement ou de consentement de Meta enfreint les principes de protection des données de la loi, notamment les principes de limitation de la finalité, de minimisation des données, de traitement équitable et de transparence, ledit traitement permettant à l'entreprise de « déduire des détails privés sur le consommateur ».

Conclusion

Meta pourrait donc être contrainte de revoir son modèle économique en Europe. Le CEPD souligne que les plateformes doivent donner un « véritable choix entre le consentement ou non » à un service comportant de la publicité comportementale, évoquant par exemple une forme de publicité n’exploitant « peu (ou pas) de données personnelles ».

Cette décision pourrait avoir des implications importantes pour les utilisateurs et les entreprises qui opèrent sur ces plateformes. Le débat entre protection des données et modèles économiques reste complexe, mais il est essentiel de trouver un équilibre qui respecte les droits des utilisateurs tout en permettant aux entreprises de prospérer

Sources : CEPD, plainte de noyb

Et vous ?

Pensez-vous que le modèle « Payer ou Consentir » de Meta respecte le principe du consentement éclairé tel que défini par le RGPD ?
Comment les utilisateurs peuvent-ils exercer un véritable choix concernant l’utilisation de leurs données personnelles sur les plateformes en ligne ?
Quelles alternatives suggéreriez-vous pour équilibrer la protection des données personnelles et les modèles économiques des plateformes en ligne ?
Le droit à la protection des données doit-il être considéré comme un service premium ou un droit fondamental inaliénable ?
Quel impact la décision du CEPD pourrait-elle avoir sur l’expérience utilisateur et les affaires des entreprises opérant en Europe ?
Comment les régulateurs devraient-ils aborder les modèles économiques des entreprises qui semblent être en conflit avec les lois sur la protection des données ?