CEPD : le régulateur estime que le « payer ou accepter » de Meta incompatible avec le RGPD

Les plateformes ne devraient pas confronter les utilisateurs à un « choix binaire » sur l'utilisation des données

Le Comité européen de la protection des données (CEPD ou EDPB, de l'anglais European Data Protection Board, qui regroupe les CNIL européennes) a récemment émis un avis concernant le modèle de « Payer ou Consentir » mis en place par Meta, la maison mère de WhatsApp, Facebook et Instagram. Ce modèle permet aux utilisateurs de choisir entre deux options : accepter que leurs données personnelles soient collectées (et accéder aux plateformes « gratuitement ») ou payer un abonnement pour éviter d’être la cible de publicité ciblée.

Soucieux de se plier aux règles européennes, Meta avait commencé en 2023 à proposer un abonnement à 9,99 € par mois pour Facebook et Instagram afin d’offrir une alternative aux financements via la collecte de données personnelles. Malheureusement pour l’entreprise, le CEPD estime que ce modèle n’est pas compatible avec le règlement européen sur les données personnelles (RGPD) « dans la majorité des cas ». Selon le comité, il ne sera pas possible pour les « grandes plateformes en ligne » de se conformer à l’exigence du RGPD du « consentement éclairé », si elles « confrontent les utilisateurs uniquement à un choix entre le consentement au traitement des données personnelles à des fins de publicité comportementale et le paiement d’un abonnement ». En d’autres termes, le droit fondamental à la protection des données ne doit pas être transformé en fonctionnalité payante.

Le président du CEPD, Anu Talus, a déclaré: « Les plateformes en ligne devraient donner aux utilisateurs un véritable choix lorsqu’ils utilisent des modèles de consentement ou de paiement. Les modèles que nous avons aujourd’hui exigent généralement que les individus donnent toutes leurs données ou qu’ils paient. Par conséquent, la plupart des utilisateurs consentent au traitement afin d’utiliser un service, et ils ne comprennent pas toutes les implications de leurs choix.»

Le CEPD considère que le fait d’offrir uniquement une alternative payante aux services qui impliquent le traitement de données à caractère personnel à des fins de publicité comportementale ne devrait pas être la voie à suivre par défaut pour les responsables du traitement. Lors de l’élaboration de solutions de remplacement, les grandes plateformes en ligne devraient envisager de fournir aux particuliers une «alternative équivalente» qui n’entraîne pas le paiement d’une redevance. Si les responsables du traitement choisissent de facturer une redevance pour l’accès à la «alternative équivalente», ils devraient envisager de proposer une solution de remplacement supplémentaire. Cette alternative gratuite devrait être sans publicité comportementale, par exemple avec une forme de publicité impliquant le traitement de données à caractère personnel réduites ou nulles. Il s’agit d’un facteur particulièrement important dans l’évaluation du consentement valide en vertu du RGPD.

Le CEPD souligne que l’obtention du consentement ne dispense pas le responsable du traitement d’adhérer à tous les principes énoncés à l’article 5 du RGPD, tels que la limitation des finalités, la minimisation des données et l’équité. En outre, les grandes plateformes en ligne devraient également tenir compte du respect des principes de nécessité et de proportionnalité, et elles sont chargées de démontrer que leur traitement est généralement conforme au RGPD.


[B]« Les frais facturés ne peuvent pas amener les individus à se sentir obligés de consentir »[...