La Cour de justice de l’UE met (enfin) un coup d’arrêt à la stratégie de collecte de données de Meta

La Cour de justice de l'Union européenne a jugé mardi 4 juillet que le traitement des données de Meta, la société mère de Facebook, Instagram et What's App, était illégal au regard du RGPD.

La décision a cité la pratique de Meta consistant à combiner les données collectées auprès d'utilisateurs individuels sur diverses plates-formes pour cibler plus précisément les publicités comme un abus de sa position dominante sur le marché. En d'autres termes, Meta ne peut pas traiter les données de Facebook, Instagram et What's App ensemble pour créer des profils d'utilisateurs utilisés pour diffuser des publicités.

La poursuite avait été intentée contre Meta par le chien de garde du monopole allemand, le Bundeskartellamt, arguant que le RGPD lui donnait le pouvoir de surveiller la collecte et le traitement déloyaux des données, et le tribunal a accepté.

"Le jugement aura des effets considérables sur les modèles commerciaux utilisés dans l'économie des données", a tweeté Andreas Mundt, chef du Bundeskartellamt.

Meta a déclaré qu'il réfléchissait toujours à la manière dont il procéderait après la décision.

Le groupe de surveillance de la vie privée des consommateurs NOYB a salué la décision.

"Nous nous félicitons de la décision de la CJUE", a déclaré Max Schremes de NOYB dans un communiqué. "Il précise en outre que Meta ne peut pas simplement contourner le RGPD avec certains paragraphes dans ses documents juridiques."

Meta a jusqu'à présent évité un bouton de consentement direct oui ou non au suivi et à la collecte de données sur ses plateformes en incluant la collecte de données dans ses conditions d'utilisation sur la base juridique que la publicité ciblée fait partie de ses services de base. La CJUE a sapé ce statut juridique, selon NOYB.

"Cela signifie que Meta doit demander le consentement approprié et ne peut pas utiliser sa position dominante pour forcer les gens à accepter des choses qu'ils ne veulent pas", a ajouté Schremes.

Schremes a également déclaré que la décision soutiendrait NOYB dans une poursuite en cours contre Meta en Irlande.

La décision a été rendue le jour même où la Commission européenne a présenté une proposition de réglementation détaillée pour faciliter l'application de son règlement général sur la protection des données (RGPD) dans les cas qui s'étendent au-delà des frontières des États membres, une proposition que NOYB a rencontré de vives critiques.

Selon la Commission européenne, la proposition vise à "rationaliser la coopération entre les autorités de protection des données (APD) lors de l'application du règlement général sur la protection des données dans les affaires transfrontalières".

En vertu des règles de procédure proposées, l'autorité principale de protection des données serait tenue d'envoyer un "résumé des principaux problèmes" à l'APD des autres pays impliqués dans l'affaire. Il clarifie également ce que les plaignants doivent soumettre et leurs droits d'être entendus à la fois dans les cas où leur dossier est rejeté et pendant la procédure si l'APD constate qu'ils ont un dossier. Il détaille également l'implication dans les procédures de la DPA pour les entreprises accusées de violations du RGPD, leurs droits d'accès au dossier et le contenu du dossier.

La Commission espère que les nouvelles règles « faciliteront la coopération et amélioreront l'efficacité de l'application ».

Selon la Commission, la proposition découle du rapport annuel 2020 sur le RGPD, qui a cité les différentes règles de procédure dans les États membres comme problématiques.

Le groupe de surveillance des consommateurs NOYB a qualifié la proposition de "défectueuse".

« Actuellement, le RGPD demande uniquement aux DPA de coopérer, mais il manque de détails sur la manière dont cette coopération devrait fonctionner. Malheureusement, la proposition de la Commission semble être techniquement et matériellement défectueuse et prive plutôt les citoyens de leurs droits existants que d'assurer leur application », a-t-elle déclaré dans un communiqué publié sur son site Internet. "La proposition semble être basée principalement sur (certaines) demandes de la DPA de retirer les citoyens des procédures pour les" simplifier "."

Il a critiqué la proposition pour avoir simplement tenté de "boucher des trous individuels dans le système", des insuffisances qui sont devenues évidentes lors de précédents différends sur le RGPD :

La proposition de la Commission n'adopte pas une approche systématique, déléguant la compétence aux États membres pour certaines parties de la procédure et garantissant qu'il existe des normes minimales européennes. Au lieu de cela, la proposition de la Commission semble implanter certains éléments européens dans les lois existantes, ce qui conduit à un hybride entre les lois et procédures européennes et nationales.

En plus d'être trop étroit, selon NOYB, il fait également pencher la balance en faveur des entreprises en permettant aux entreprises d'être « entendues tout au long » de l'enquête tandis que les individus ne sont entendus que « de manière minimale ». Elle critique également la proposition de permettre aux entreprises d'accéder au dossier mais pas aux plaignants.

"Cela pourrait conduire à cimenter les problèmes existants [set] devant des régulateurs opaques tels que le DPC plutôt que de les résoudre", a averti le groupe.

L'organisme de surveillance basé en Autriche a déposé des plaintes dans toute l'UE, dont beaucoup ont conduit à des actions contre des collecteurs de données.

Le lundi 3 juillet, trois entreprises en Suède ont reçu l'ordre de cesser d'utiliser Google Analytics, et une entreprise a été condamnée à une amende équivalant à plus de 1,1 million de dollars dans une affaire intentée par la NOYB.

Depuis que la Cour de justice de l'Union européenne a annulé l'accord de partage de données entre l'UE et les États-Unis dans le cadre du RGPD, un nouvel accord n'a pas encore été conclu, obligeant les entreprises utilisant le programme d'analyse de données de l'entreprise américaine à trouver leur propre solution de contournement pour Conformité RGPD.

Mais dans ce que NOYB appelle un autre coup porté à la liberté d'expression en faveur des entreprises, le parlement irlandais a adopté le 29 juin une loi interdisant le partage d'informations sur d'éventuelles violations du RGPD faisant l'objet d'une enquête de l'Autorité irlandaise de protection des données.

NOYB doute de la constitutionnalité de la loi controversée qui a à peine été adoptée.

Maintenant, cela deviendra probablement un problème à l'échelle de l'UE, et des chiens de garde comme NOYB garderont également un œil dessus.

Cet article a été publié initialement sur le site The European Conservative : cliquez ICI